S_TABU_NAM in ein Berechtigungskonzept integrieren
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Sie sollten daher eine kryptografische Authentifizierung und eine Verschlüsselung der Kommunikation erzwingen, indem Sie Secure Network Communication (SNC) einrichten. SNC bietet einen starken kryptografischen Authentifizierungsmechanismus, verschlüsselt die Datenübertragung und wahrt die Integrität der übertragenen Daten. Seit einiger Zeit ist SNC ohne einen SSOMechanismus (SSO = Single Sign-on) für SAP GUI und die RFC-Kommunikation aller SAP-NetWeaver-Kunden frei verfügbar. Sie sollten SNC immer zwischen SAP GUI und Anwendungsserver implementieren, da diese Kommunikation auch über offene Netze laufen kann. Für die RFC-Kommunikation brauchen Sie eine SNC-Implementierung, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte.
Legen Sie einen Funktionsbaustein im Kundennamensraum an. Dabei wählen Sie den ausgelieferten Baustein SAMPLE_INTERFACE_00001650 als Vorlage. Für uns hat es sich bewährt, im Namen des neuen Funktionsbausteins die Bezeichnung BTE und die Nummer der Vorlage (hier: 1650) zu verwenden.
Auswertung der Berechtigungsprüfung SU53
Prüfen Sie, ob es für Ihr Release zu beachtende Korrekturempfehlungen gibt. Wir empfehlen Ihnen, vor der Ausführung der Transaktion SU25 den Korrekturreport SU24_AUTO_REPAIR auszuführen (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie diesen Report gegebenenfalls schon im Altrelease aus, aber auf jeden Fall vor dem Import der neuen Vorschlagswerte. Nutzen Sie den Testmodus des Reports, um sich mögliche Korrekturen im Vorfeld anzuschauen. Um sicherzustellen, dass Sie mit Ihren Upgradearbeiten keine Informationen verlieren, können Sie außerdem die Daten der Transaktion SU24 über Schritt 3 (Transport der Kundentabellen) in die Transaktion SU25 in einen Transportauftrag schreiben und freigeben. Über diesen Weg wird ein Backup Ihrer SU24-Daten vorgenommen. Nun kann es mit den Upgradenacharbeiten losgehen. Achtung: Führen Sie dabei nicht Schritt 1 (Kundentabellen wurden initial befüllt) aus, denn damit werden die Kundentabellen USOBT_C und USOBX_C, d. h. die SU24-Daten, komplett mit den SAP-Vorschlagswerten überschrieben. Sie wollen Ihre SU24-Daten jedoch behalten und mit den Vorschlagswertänderungen für das neue Release ergänzen!
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Die Konfigurationsvalidierung nutzt die Konfigurationsdaten der CCDB für den Abgleich der Einstellungen.