SAP Security
Dynamische Workprozesse konfigurieren
Im Bereich der SAP Basis-Administration gibt es viele Aufgaben, welche in langen aber unregelmäßigen Abständen anfallen, wie beispielsweise das Anpassen der Systemänderbarkeit. Dadurch fehlt häufig das Know-How und es wird schnell zur nächsten Suchmaschine gegriffen, wo lange und teilweise unvollständige Foreneinträge die Suche nach dem richtigen Vorgehen noch mehr erschweren. Aus diesem Grund werde ich zukünftig regelmäßig wiederkehrende Aufgaben aus der SAP Basis-Administration für Sie in einfachen Tutorials festhalten. Den Start wird dieser Blogbeitrag zum Thema Systemänderbarkeit und Mandantensteuerung machen. Falls Sie direkt zu einer Schrittfür- Schritt-Anleitung springen wollen, scrollen Sie einfach nach ganz unten, dort habe ich alles einmal zusammengefasst. Systemänderbarkeit - Was ist das? Mit der Systemänderbarkeit lässt sich einstellen, welche Objekte des Repositories und des mandantenunabhängigen Customizings änderbar sind oder nicht. Repository-Objekte können zusätzlich noch weiter angepasst werden, und zwar in Bezug auf die Software-Komponente und den Namensraum. Sie können jeweils einstellen, ob ein Objekt änderbar, eingeschränkt änderbar oder nicht änderbar sein soll. Eingeschränkt änderbar heißt in diesem Zusammenhang, dass Repository- Objekte nur als nicht-Originale angelegt werden können (kleiner Hinweis: für Pakete ist die Einstellung "eingeschränkt änderbar" und "änderbar" identisch in der Funktion). Kommen wir nun zum direkten Vorgehen zur Umstellung der Systemänderbarkeit. Systemänderbarkeit ändern Als Vorbereitung sollten Sie abklären, wie lange die Änderbarkeit in Ihrem System stattfinden soll. Ich habe bei meinen Kunden die Erfahrung gemacht, dass es häufig gewünscht ist, das System für bestimmte Aufgaben aus den Fachbereichen nur zeitweise auf "änderbar" zu stellen. Sofern Sie dies organisiert haben, rufen Sie im 000-Mandanten die Transaktion SE06 auf und klicken Sie auf den Button "Systemänderbarkeit". Sollten Sie keine Berechtigungen für diese Transaktion haben, können Sie es alternativ entweder mit der Transaktion SE03 --> Systemänderbarkeit oder über die Transaktion SE09 -> Springen -> Transport Organizer Tools -> Systemänderbarkeit (unter "Administration") versuchen. Folgender Screenshot zeigt den Weg über die SE03: Hier können Sie je nach Anfrage die gewünschten Namensräume und Softwarekomponenten umstellen.
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Migration und Verwaltung der auf der Cloud basierenden Lösungen
Der Schulungsteilnehmer wird in der Lektion SAP NetWeaver BI Berechtigungskonzept in den Berechtigungsfunktionen des SAP Business Information Warehouse fit gemacht. Dabei werden die Unterschiede zwischen dem Berechtigungskonzept für ERP Systeme und dem Berechtigungskonzept für NetWeaver BI vermittelt.
Die SAP Basis stellt den Grundstein des SAP-Systems dar, also das Fundament, ohne das das System nicht funktionsfähig arbeiten kann. Des Weiteren beinhaltet es einige Administrations-Tools und Middleware-Programme. Diese Programme können mit Hilfe der SAP Basis unabhängig vom eingesetzten Betriebssystem und der Datenbank verwendet werden.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Wir empfehlen Ihnen, diesen Cache auf maximal 7 bis 10 % des physischen Speichers zu reduzieren.
Außerdem enthält der Erweiterte Speicher einen Globalen Bereich in dem Daten unabhängig von Nutzerkontexten abgelegt werden können.