Berechtigungskonzept des AS ABAP
Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
Wildwuchs mit dem Systemlastmonitor verhindern
Die Protokollierung findet sowohl im Zentralsystem als auch in den Tochtersystemen statt. Sollen die Änderungsbelege auch für die angeschlossenen Tochtersysteme gelesen werden, müssen die Tochtersysteme ebenfalls auf dem im SAP-Hinweis 1902038 genannten Release- bzw. Support-Package-Stand sein. Außerdem benötigen die RFC-Benutzer in den jeweiligen Tochtersystemen die Berechtigung zum Lesen der Änderungsbelege über das Berechtigungsobjekt S_USER_SYS mit der neuen Aktivität 08 (Änderungsbelege lesen).
Um eine fundierte Aussage über die Komplexität und den damit verbundenen Aufwand zu treffen, ist vorab eine grundlegende Systemanalyse erforderlich. Die daraus gewonnenen Ergebnisse bilden eine hervorragende Grundlage den Projektumfang und den Realisierungszeitraum abzuschätzen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Die Berechtigungen zum Zugriff auf Tabellen direkt zu vergeben, ist flexibel und sinnvoll, ist nur dann nicht empfehlenswert, wenn der Mechanismus ausgehebelt wird, indem der Anwender über generische Pflegetools generellen Tabellenzugriff erhält.
Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabellen abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten.