Das SAP-Berechtigungskonzept
Lösungen für die Benutzerverwaltung in SAP HANA anwenden
In vielen SAP-Umgebungen gibt es historisch gewachsene Berechtigungsstrukturen, die unnötige Sicherheitslücken verursachen. Diese sollten genau geprüft werden.
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Damit ein Aufruf der Transaktionen aus SAP ERP aus dem SCM-System funktioniert, muss für jede ERP-Transaktion die aufzurufende RFC-Verbindung gepflegt werden. Klicken Sie dazu auf den Button Weitere Knotendetails, und wählen Sie den Eintrag Zielsystem.
Sie möchten den Zugriff auf die Dateien des Anwendungsservers absichern? Erfahren Sie, welche Möglichkeiten Ihnen die Berechtigungsobjekte S_DATASET und S_PATH bieten, welche Einschränkungen bestehen und welche Fallstricke lauern. Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen. Die von SAP ausgelieferten Berechtigungsvorschläge zum Berechtigungsobjekt S_DATASET bieten Ihnen keine große Hilfestellung, und zu S_PATH gibt es praktisch keine Informationen, da Sie dieses Berechtigungsobjekt erst durch das Customizing der Tabelle SPTH aktivieren müssen. Häufig werden daher die Berechtigungen zu S_DATASET zu großzügig ausgeprägt, die Tabelle SPTH kaum gepflegt und S_PATH gar nicht benutzt. Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Eine Massenanlage von Rollen für einen Roll-out ist eine sehr nützliche Sache.
Zunächst müssen Sie sich über die Form der Namen einig sein.