Sicherheitsrichtlinien für Benutzer definieren
Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Jede Aktion des Notfallbenutzers muss nachvollziehbar sein, was die entsprechende Konfiguration von Protokollierungskomponenten wie dem Security Audit Log voraussetzt. Im Nachgang des Einsatzes werden stets sämtliche Logdateien ausgewertet und alle Details in einer Dokumentation festgehalten. Möglicherweise wird konzeptionell festgelegt, dass im Ernstfall auch an andere ausgewählte User eine erweiterte Berechtigungsvergabe erfolgen darf, das obliegt der Abwägung des Unternehmens.
Unternehmen bekämpfen historisch gewachsenen Wildwuchs bei den Berechtigungen am besten dadurch, dass dieser verhindert wird. Hier hilft eine Analyse, ob das aktuelle Berechtigungskonzept für das Unternehmen ausreichend ist.
Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden dann in Ordnern und Seiten organisiert.
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Mit dem folgenden Coding können Sie die selektierten Posten zum Ausgleichsbeleg ermitteln, die Sie in der Tabelle POSTAB (mit der Struktur RFOPS) im Programm SAPMF05A finden können.
Ihre Sicherheitsvorgaben definieren Sie für die komplette SAP-Systemlandschaft; sie betreffen z. B. die Einstellungen der Profilparameter, den Umgang mit Sicherheitshinweisen oder kritische Berechtigungen, die nur an Notfallbenutzer vergeben werden dürfen.