Prüfung des SAP-Berechtigungskonzepts
Nach fehlenden Berechtigungen tracen
Grundsätzlich können alle Berechtigungsfelder in die Organisationsebene hochgestuft werden; es gibt allerdings technische Ausnahmen und Felder, bei denen dies nicht sinnvoll ist. Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL. Außerdem können Sie das Feld ACTVT nicht zur Organisationsebene erheben. Sinnvoll sind nur die Felder, die innerhalb einer Rolle mit einem Wertebereich belegt werden können. Dies muss natürlich übergreifend für das Berechtigungskonzept betrachtet werden. So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet. Mit dem Report PFCG_ORGFIELD_CREATE können Sie ein Berechtigungsfeld als Organisationsebene definieren. Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Gründe für fehlerhafte Organisationsebenen sind Werte, die im Berechtigungsobjekt selbst manuell gepflegt wurden, anstatt über den Button Orgebenen, sowie fehlerhafte Transporte oder fehlerhaft erstellte oder gelöschte Organisationsebenen. Da eine korrekte Vererbung in solchen Fällen nicht mehr stattfinden kann, benötigen Sie eine Möglichkeit, um fehlerhafte Werte der Organisationsebenen in den PFCG-Rollen zurückzusetzen.
Kritische Berechtigungen
Diese Startberechtigungsprüfung wird inaktiv ausgeliefert. Damit sie verwendet werden kann, müssen Sie sie aktivieren. Nach der Aktivierung können Sie über Berechtigungen gezielt steuern, welche Web-Dynpro-ABAP-Anwendungen Benutzer ausführen dürfen. Bei der Startberechtigungsprüfung von Web-Dynpro-ABAP-Anwendungen verwendet das System das Berechtigungsobjekt S_START analog zum Berechtigungsobjekt S_TCODE für Transaktionen. Das Objekt hat die Felder AUTHPGMID, AUTHOBJTYP und AUTHOBJNAM, die den Schlüsselfeldern PGMID, OBJECT und OBJ_NAME des Objektkatalogs (Tabelle TADIR) entsprechen. Während der Startberechtigungsprüfung prüft die Web-Dynpro-ABAP-Laufzeit also den Schlüssel des Objektkatalogeintrags für die Web-Dynpro-ABAP-Anwendung.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Ordnen Sie einer Tabellenberechtigungsgruppe mit der Transaktion SE11 oder SE54 Tabellen oder Sichten zu.
Das LSMW-Skript arbeitet die Importdatei Zeile für Zeile und somit Rolle für Rolle durch.