Texte in Berechtigungsrollen übersetzen
Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen
Zur Erstellung von PFCG-Rollen sind gut gepflegte Vorschlagswerte überaus hilfreich. Wir geben Ihnen einen groben Leitfaden, wann es sinnvoll ist, Vorschlagswerte zu pflegen. SAP liefert Vorschlagswerte für die Erstellung von PFCG-Rollen in den Tabellen USOBT und USOBX mittels Upgrades, Support Packages oder Hinweisen aus. Diese Vorschlagswerte beinhalten Wertvorschläge für Berechtigungen von SAP-Standardapplikationen, die in PFCG-Rollen gepflegt werden können. Vorschlagswerte werden nicht nur für Transaktionscodes ausgeliefert, sondern auch für Web-Dynpro-Anwendungen, RFC-Funktionsbausteine oder externe Services. Diese Vorschlagswerte können Sie an Ihre Anforderungen anpassen. Dies geschieht jedoch nicht in den ausgelieferten Tabellen, sondern in den Kundentabellen USOBT_C und USOBX_C. Die Pflege wird in der Transaktion SU24 vorgenommen.
Sicherheitshinweise korrigieren Schwachstellen in der SAP-Standardsoftware, die intern oder extern ausgenutzt werden können. Sorgen Sie mithilfe der Anwendung »Systemempfehlungen« dafür, dass Ihre Systeme auf dem aktuellen Stand sind. SAP-Software wird hohen Qualitätssicherungsstandards unterzogen – trotzdem kann es zu Sicherheitslücken im Code kommen. Diese Sicherheitslücken können im schlimmsten Fall externen und internen Eindringlingen Tür und Tor öffnen. In einschlägigen Internetforen ist es nicht schwer, Anleitungen zur Ausnutzung dieser Sicherheitslücken zu finden. Ein Berechtigungskonzept ist nur so gut wie der Code, der die Berechtigungsprüfungen ausführt. Findet keine Berechtigungsprüfung im Code statt, kann auch das Berechtigungskonzept den Zugriff nicht einschränken. Aus diesen Gründen hat SAP den Security Patch Day (jeden zweiten Dienstag im Monat) eingeführt, der Ihnen eine bessere Planung für die Implementierung der Sicherheitshinweise ermöglichen soll. Zusätzlich können Sie die Anwendung Systemempfehlungen im SAP Solution Manager nutzen, um eine detaillierte, systemübergreifende Übersicht der benötigten Sicherheitshinweise zu erhalten. Der Systemstatus und die bereits implementierten SAP-Hinweise werden dabei berücksichtigt. Sorgen Sie mit dieser Unterstützung dafür, dass sich Ihre Systemlandschaft auf dem aktuellen Sicherheitsstand befindet.
Umsetzung der Berechtigung
Ein sorgloser Umgang mit den Berechtigungen bei sensiblen Mitarbeiterdaten kann ganz schön in die Hose gehen. Verhindern Sie einen unkontrollierten und weitreichenden Reporting-Zugriff auf Ihre HCM-Daten, indem Sie das Berechtigungsobjekt P_ABAP richtig nutzen. In vielen Unternehmen ist der korrekte Einsatz von P_ABAP nicht bekannt. Daher kommt es häufig zu falschen Ausprägungen, die im schlimmsten Fall unkontrollierten Reporting-Zugriff auf alle Daten der logischen Datenbank PNPCE (bzw. PNP) erlauben. Auf diesem Weg können Sie also Ihre vorher mühsam in einem Berechtigungskonzept definierten Zugriffsbeschränkungen wieder aushebeln. Daher gilt es, den Einsatz von P_ABAP im Einzelfall zu prüfen und die vorhandenen Einschränkungsmöglichkeiten zu nutzen. Im Folgenden beschreiben wir die Logik, die hinter diesem Berechtigungsobjekt steckt, und welche Ausprägungen Sie unbedingt vermeiden sollten.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Zusätzlich ermöglicht es eine gezielte Aktivierung bzw. Deaktivierung der Implementierungen.
Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management (BRM) von SAP Access Control 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar).