Eine Benutzergruppe als Pflichtfeld im Benutzerstamm definieren
Testen der Berechtigung
Im schriftlich dokumentierten Berechtigungskonzept sollte auch das Kapitel der Berechtigungsrezertifizierung definiert sein. Damit ist eine regelmäßige, mindestens einmal im Jahr durchzuführende Überprüfung der vergebenen Berechtigungen im SAP®-System gemeint. Im Zuge dieses Prozesses sollten die zuständigen Fachbereiche die Vergabe der jeweiligen Rollen an Benutzer in ihrem Bereich überprüfen und noch einmal kritisch hinterfragen. Durch diesen Prozess kann letzten Endes sichergestellt werden, dass die Benutzer auch tatsächlich nur jene Berechtigungen im SAP®-System besitzen, die sie auch tatsächlich brauchen. Es muss also definiert sein, in welchem Zeitraum und in welcher Form die Fachbereiche die Informationen über die vergebenen Berechtigungen erhalten und bezüglich der Korrektheit der Vergabe zurückmelden müssen. In der Vorbereitung ist daher zu überprüfen, ob der Prozess gemäß den internen Vorgaben, aber auch gemäß möglicher Optimierungsvorschläge des Wirtschaftsprüfers, ausgeführt wurde und sämtliche Nachweise griffbereit für den Prüfer abgelegt sind.
Bisher gab es keine Möglichkeiten, um für diese Benutzer andere Passwortregeln oder Anforderungen an die Passwortänderungen zu definieren. Heute ist dies mithilfe der Sicherheitsrichtlinien, die Sie benutzer- und mandantenspezifisch zuordnen, möglich. Wir zeigen Ihnen im Folgenden, wie Sie Sicherheitsrichtlinien definieren und wie diese wirken.
Nutzungsdaten für die Rollendefinition verwenden
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Das Berechtigungsobjekt S_RFCACL wird durch das Einspielen des SAP-Hinweises 1416085 aus dem Profil SAP_ALL entfernt. Dieser Hinweis ist in allen neueren Support Packages für die Basiskomponente enthalten; dies betrifft also alle Systeme bis herunter zum Basisrelease 4.6C. Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird. Diese Felder legen fest, aus welchen Systemen und Mandanten bzw. für welche Benutzerkennungen Anmeldungen am Zielsystem erlaubt sein sollen. Die Gesamtberechtigung für diese Felder erlaubt also die Anmeldung aus beliebigen Systemen und Mandanten bzw. für beliebige Benutzer und erzeugt dadurch erhebliche Sicherheitsrisiken.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
So individuell wie die Anforderungen jedes einzelnen Unternehmens sind, so individuell sind die Anforderungen an die Architektur von Berechtigungskonzepten.
Daher behandeln wir im Folgenden ausschließlich die Themen Zeitraumabgrenzung und Protokollierung.