Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Berechtigungskonzept – Benutzerverwaltungsprozess
Die sichere Verwaltung von Zugriffsmöglichkeiten im SAP-System ist essenziell für jedes Unternehmen. Umso wichtiger ist es, die vergebenen Berechtigungen zu analysieren und zu verbessern. Dieser Schritt dient zur optimalen Vorbereitung für Ihren S/4 HANA-Umstieg. Managed Services unterstützt dabei die zentrale und effiziente Verwaltung, um einen optimalen Überblick zu gewährleisten. Um Ihre Prozesse nachhaltig zu verbessern, liefert eine Datenbank Informationen über mögliche Optimierungen bei den SAP Lizenzen.
Möchten Sie lediglich die Beschreibung der Rolle übersetzen, empfiehlt es sich, die Transaktion PFCG aufzuzeichnen und vor dem Durchlaufen des LSMW-Skripts die Quellsprache der Rolle mithilfe des Reports Z_ROLE_SET_MASTERLANG zu ändern. Den Report zum Ändern der Quellsprache erhalten Sie über den SAP-Hinweis 854311. Auf ähnliche Weise können Sie die Übersetzung auch mithilfe der Transaktion SECATT (Extended Computer Aided Test Tool, eCATT) anstelle der Transaktion LSMW durchführen. Des Weiteren ist eine Automatisierung mithilfe eines kundenspezifischen ABAP-Programms möglich. Hierzu sollten Sie sich die Tabelle AGR_TEXTS einmal genauer anschauen. Die Tabelle beinhaltet die verschiedenen Textbausteine in den verschiedenen Sprachen. Wir zeigen Ihnen hier einen Ausschnitt der Tabelle mit unserer Beispielrolle Z_SE63. Den Kurztexten wird in der Spalte LINE der Wert 00000 zugeordnet, und die Langtexte erhalten die Werte 00001 bis 0000x. Die Sprachschlüssel werden in der Spalte SPRAS angezeigt. Mithilfe eine ABAP-Programms lassen sich nun die Pendants für die Textfelder in der Zielsprache in die Felder der Tabellen schreiben.
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Vertrauliche Informationen aus Ihrem SAP-System können auch per E-Mail verschickt werden. Sorgen Sie dafür, dass diese Daten nur verschlüsselt übermittelt werden. In Ihrem SAP-System liegen sehr viele Daten, die häufig auch vertraulich sind. Dies können geschäftskritische oder personenbezogene Daten oder auch Passwörter sein. Es kommt immer wieder vor, dass solche Daten auch per E-Mail versendet werden müssen. Sorgen Sie daher dafür, dass diese Informationen immer verschlüsselt und gegebenenfalls signiert werden. Durch die Verschlüsselung soll die Vertraulichkeit der Daten gewährleistet werden, d. h., dass ausschließlich der Empfänger der E-Mail dazu in der Lage sein soll, sie zu lesen. Die digitale Signatur dient hingegen der Integrität der Daten; über sie kann der Absender einer E-Mail verifiziert werden. Wir stellen Ihnen die für die Verschlüsselung erforderlichen Konfigurationsschritte vor und beschreiben beispielhaft die Verschlüsselung des Versands von Initialpasswörtern. Im SAP-System gibt es zwei Möglichkeiten zur Verschlüsselung und Signierung von E-Mails: über SAPconnect, über einen sicheren E-Mail-Proxy eines Drittanbieters.
Ihre Systemlandschaft entspricht keiner typischen Dreisystemlandschaft? Erfahren Sie, was Sie in diesem Fall bei Upgradenacharbeiten für die Vorschlagswerte von Rollen beachten sollten. Ihre Systemlandschaft kann sich von den typischen Dreisystemlandschaften z. B. dadurch unterscheiden, dass Sie mehrere Entwicklungssysteme bzw. Entwicklungsmandanten haben. Über Transporte werden dann alle Entwicklungen und Customizing-Einträge in einem Konsolidierungssystem zusammengefügt. Führen Sie Ihre Upgradenacharbeiten in der Transaktion SU25 durch, und transportieren Sie mit Schritt 3 Ihre Vorschlagswerte, d. h. Ihre SU24-Daten. Führen Sie diesen Schritt hingegen in allen Entwicklungssystemen aus, laufen alle Transporte in Ihrem Konsolidierungssystem zusammen, und nur der letzte Import der Tabellen wird verwendet. Gleiche Einträge werden außerdem als zu löschende Einträge erkannt. Ähnlich verhält es sich mit Ihren PFCG-Rollen. Pflegen Sie diese in mehreren Entwicklungssystemen bzw. –mandanten, und möchten Sie nun die Rollen mit ihren generierten Profilen transportieren, besteht die Gefahr, dass die Nummern für die Profile gleichlauten, da sich die Profilnamen aus dem ersten und dritten Zeichen der System-ID des Systems und einer sechsstelligen Nummer zusammensetzen. Stammen nun auch noch die Profile aus demselben System (auch wenn der Mandant ein anderer ist), kann es aufgrund der gleichen Profilnamen zu Importfehlern kommen. Außerdem kann die Herkunft des Profils im Nachhinein nicht mehr nachvollzogen werden. Daher brauchen Sie eine Möglichkeit, um die Daten für die Berechtigungsvorschlagswerte und die PFCG-Rollen in Y-Landschaften transparent und konsistent zu transportieren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Sollten Sie den Haken zur Tabellenprotokollierung für mehrere Tabellen setzen wollen, müssen Sie beachten, dass die Grundsätze zur Änderung von Dictionary-Objekten gelten, d. h., dass Sie in laufenden Systemen eine erhöhte Systembelastung erzeugen.
Im Business-Intelligence-Umfeld (BI-Umfeld) kann dies z. B. bei direkten Zugriffen auf Data Marts in der Datenbank der Fall sein.