SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Testen der Berechtigung
Die allgemeinen Berechtigungen sind ganz normale Berechtigungsobjekte im SAP HCM, die den Zugriff auf PA-/PD-Infotypen (Tabellen PAnnnn / HRPnnnn), Cluster für die eigene Person oder für andere Personen regelt. Typische Berechtigungsobjekte sind dabei “P_PERNR”, “P_ORGIN”, “P_ORGXX”, “PLOG” und “P_PLCX”.
Bei der Kopie der Werte in die Zwischenablage sollten Sie beachten, dass nur solche Werte in die Zwischenablage kopiert werden, die Sie zuvor markiert haben. Dabei werden die Werteintervalle, die in den Berechtigungsfeldwerten gepflegt sein können, durch einen Tabstopp separiert, in der Zwischenablage gespeichert.
Berechtigungen nach einem Upgrade anpassen
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden. Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden.
Auf ähnliche Weise können Sie die Übersetzung auch mithilfe der Transaktion SECATT (Extended Computer Aided Test Tool, eCATT) anstelle der Transaktion LSMW durchführen.