SAP Floorplan Manager
NEUE TECHNOLOGIEN & INNOVATION
Es ist daher also nicht unüblich, dass im Rahmen einer Revision oder durch externe Prüfer eine regelmäßige Überprüfung der Berechtigungszuordnungen gefordert wird. Dies ist mit SAPStandardmitteln ein sehr mühsamer Prozess. Ein Berechtigungsadministrator müsste in diesem Szenario zunächst manuell jeden Mitarbeiter einem bestimmten Vorgesetzten zuordnen und deren Rollen ermitteln. Danach müsste ein Export dieser Rollen aus dem System passieren (beispielsweise in eine Excel-Datei) und diese wiederum dem Vorgesetzten vorgelegt werden, sodass dieser entscheiden kann, ob die Rollenzuordnung passend ist oder nicht.
Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems… RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung? Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert? Change now: Es geht um Pro-Aktivität! Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie: 1) Unser E-Book über SAP RFC-Schnittstellen 2) Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen 3) Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!
Vorbereitung vollen Zugangs zu SAP-Systemen und Lösungen für den Katastrophenfall (High Availability/Disaster Recovery)
Mandantenübergreifende Tabellen können geändert werden. Das Kontrollsystem eines anderen, produktiven Mandanten kann damit ausgehebelt und unterlaufen werden. Ganz schön viel Macht! Wussten Sie zudem, dass das SAP-System eine Funktion bereitstellt, die Tabellenänderungsprotokolle (Tabelle DBTA BLOG) löscht und diese mandantenübergreifend wirksam ist? Wenn die Tabellenänderungsprotokolle nicht zusätzlich über das Archivierungsobjekt BC_DBLOGS archiviert worden sind, ist eine Nachvollziehbarkeit nicht mehr gegeben. Genau so lässt sich jede kriminelle Tat innerhalb Ihres Unternehmens wunderbar vertuschen. Ähnliches ermöglicht der Vollzugriff auf die Batch-Verwaltung mit der Berechtigung alle Hintergrundjobs in allen Mandanten zu verwalten. So können alte Hintergrundjobs gelöscht werden, die unbefugt gelaufen sind. Einige Punkte gibt es auch bei der Verwaltung von Druckaufträgen zu bedenken. In der Regel sind die folgenden beiden SAP Zugriffsberechtigungen zum Schutz von Druckaufträgen zu aktivieren: S_SPO_DEV (Spooler-Geräteberechtigungen) S_SPO_ACT (Spooler-Aktionen). Warum? Vertrauliche Informationen in Druckaufträgen sind nicht gegen unbefugte Kenntnisnahme geschützt. (Streng) vertrauliche Druckaufträge können unbefugt gelesen oder auf fremde Drucker umgeleitet und ausgedruckt werden. Druckaufträge sind ungeschützt, sofern keine zusätzlichen SAPZugriffsberechtigungen für den Schutz der Druckausgaben aktiviert sind. Die Druckaufträge sind mandantenübergreifend, das heißt, die Berechtigungsvergabe sollte an der Stelle ebenfalls gut durchgedacht werden.
Bei der horizontalen Skalierung wird die Verteilung der Daten auf die Knoten explizit festgelegt. Wenn Sie Tabellenreplikation nicht explizit einschalten, werden Daten nicht redundant, also auf unterschiedlichen Rechnern gleichzeitig gehalten. Eine Neuverteilung kann über Administrationswerkzeuge durchgeführt werden. Ist einmal festgelegt, welche Tabelle bzw. Partition einer Tabelle auf einem bestimmten Knoten liegt, legt dies auch fest, auf welchem Knoten die Anfrage bearbeitet wird. Damit ist im Falle der horizontalen Skalierung eine gute Datenlokalität entscheidend für eine gute Performance, denn beim Transport zwischen Knoten entstehen signifikante Mehrkosten. Es ist der Trend zu beobachten, dass horizontale Skalierung bei reinen OLAP-Systemen (SAP Business Warehouse on SAP HANA) bereits weit verbreitet ist, während sich diese Entwicklung bei OLTP-Systemen erst am Anfang befindet.
Etliche Aufgaben der SAP Basis können mit "Shortcut for SAP Systems" einfacher und schneller erledigt werden.
Dieser Übersicht entnehmen Sie, dass sich praktisch alle Workprozesse im Zustand PRIV befinden.
Einen Engpass erkennen Sie, wenn der Wert peak gleich dem Wert maximal ist.