Servicebenutzer
Rollenverwaltung
Für die Pflege und Zuordnung von HANA-Berechtigungen zu Benutzern steht Ihnen die Anwendung SAP HANA Studio zur Verfügung. Das SAP HANA Studio wird auf Ihrem Arbeitsplatzrechner installiert. Anschließend können Sie sich darüber mit Benutzer und Passwort an einer oder mehreren HANA-Datenbanken anmelden. Das SAP HANA Studio und die HANADatenbank unterliegen aktuell noch umfangreichen Weiterentwicklungen; daher müssen die jeweiligen Versionen des SAP HANA Studios mit den zu verbindenden HANA-Datenbanken kompatibel sein. Aus diesem Grunde empfehlen wir Ihnen, die Informationen zur Nutzung bestimmter Versionen des SAP HANA Studios in den SAP-Hinweisen zu prüfen.
Die Definition der kritischen Berechtigungen erfolgt in diesen Schritten: Wählen Sie auf dem Einstiegsbildschirm den Button Kritische Berechtigungen. Ihnen werden nun in der Dialogstruktur zwei Ordnerpaare angezeigt: – Varianten zu kritischen Berechtigungen > kritische Berechtigung – kritische Berechtigung > Berechtigungsdaten. Öffnen Sie im Änderungsmodus in der unteren Ordnerhierarchie mit einem Doppelklick den Ordner kritische Berechtigung, und wählen Sie anschließend Neue Einträge. Geben Sie nun im rechten Bildschirmbereich für die Felder ID Berechtigung, Text, Farbe und Transaktionscode die entsprechenden Daten ein. Speichern Sie Ihre Eingaben. Beim Speichern werden Sie nach einem Customizing- Auftrag gefragt. Geben Sie diesen entsprechend an. Markieren Sie den soeben angelegten Eintrag, und öffnen Sie per Doppelklick den Ordner Berechtigungsdaten, um die Berechtigungsdaten zu pflegen. Anschließend erstellen Sie eine Variante. Hierzu öffnen Sie mit einem Doppelklick den Ordner Varianten zu kritischen Berechtigungen und wählen Neue Einträge. Geben Sie nun den Namen und die Beschreibung der Variante ein, und speichern Sie Ihre Eingaben. Nun weisen Sie der Variante die Kennung der erstellten kritischen Berechtigung zu. Dazu markieren Sie die Variante, und anschließend gelangen Sie per Doppelklick in den Unterordner Varianten zu kritischen Berechtigungen > kritische Berechtigungen in der Eingabemaske. Klicken Sie nun auf Neue Einträge, und wählen Sie aus der Liste Ihre soeben erstellte Variante aus – in unserem Beispiel ZB01. Anschließend speichern Sie Ihre Eingaben. Abschließend können Sie Ihre Reportvariante mit kritischen Berechtigungen ausführen. Hierzu gehen Sie zurück auf den Einstiegsbildschirm des Reports RSUSR008_009_NEW und wählen im Bereich Name der Variante die Option für kritische Berechtigungen aus. Selektieren Sie nun mithilfe der Wertehilfe die soeben erstellte Variante, und führen Sie diese aus.
BERECHTIGUNGEN IN SAP-SYSTEMEN
Die Passwortsperre ist nicht dazu geeignet, die Anmeldung am System zu unterbinden, denn sie verhindert nicht die Anmeldung mittels Single Sign-on. Erfahren Sie, wie Sie die Systemanmeldung sicher sperren können. Im SAP-System werden verschiedene Sperrgründe unterschieden. Daher kommt es manchmal zu Verwirrung, wenn ein Benutzer trotz Passwortsperre noch dazu in der Lage ist, sich z. B. mittels Single Sign-on (SSO) am System anzumelden. Wir erklären Ihnen daher im Folgenden die Unterschiede zwischen dem Sperren von Passwörtern, Sperren und Gültigkeiten von Benutzerkonten und Gültigkeiten von zugeordneten Berechtigungen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Als Ergebnis erhalten Sie eine erweiterte IMG-Struktur, in unserem Beispiel FF Log Einstellungen, die Sie über die Transaktion SPRO aufrufen können.
Betrachten wir zuerst den Transport Ihrer Berechtigungsvorschlagswerte aus verschiedenen Entwicklungssystemen in ein Konsolidierungssystem.