SAP Berechtigungen Sicherheitsrichtlinien für Benutzer definieren

Direkt zum Seiteninhalt
Sicherheitsrichtlinien für Benutzer definieren
ABAP-Programme debuggen mit Replace
Ab SAP NetWeaver 7.31 ermöglicht das Security Audit Log die vollständige Darstellung von längeren Ereignisparametern in Meldungen. Dazu wurde der maximale Speicherplatz für Variablen in Meldungen auf 2 GB angehoben. Zur Einspielung dieser Erweiterung benötigen Sie einen Kernel- Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in SAP-Hinweis 1819317.

Der Berechtigungstrace ist jedoch ein Langzeittrace, den Sie über den dynamischen Profilparameter auth/authorization_trace einschalten können. Dieser Trace ist benutzer- und mandentenunabhängig. Der Trace ergänzt in Tabelle USOB_AUTHVALTRC die Berechtigungsprüfungen, die vor dem Ausführen der Anwendung noch nicht erfasst worden sind. Diese Funktion kann auch für kundeneigene Entwicklungen verwendet werden. Wechseln Sie nun in die Transaktion RZ11 (Pflege der Profilparameter), tragen Sie den Parameternamen auth/authorization_trace in das Selektionsfeld ein, und klicken Sie auf Anzeigen. Sie gelangen nun zur Detailansicht des Profilparameters mit sämtlichen Eigenschaften und der Verlinkung zu einer Dokumentation. Um den Trace einzuschalten, klicken Sie auf Wert ändern, und es öffnet sich ein Pop-up-Fenster. Tragen Sie hier im Feld Neuer Wert »Y« oder »F« für Filter ein, falls Sie einen Filter definieren möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), und speichern Sie Ihre Eingabe. Es erscheint nun eine Warnung mit der Information, dass der Parameterwert beim Durchstarten des Anwendungsservers wieder zurückgesetzt würde.
Servicebenutzer
Die generischen Einträge führen zu Löschungen im Zielsystem, wenn die gleichen Einträge aus beiden Entwicklungssystemen stammen. Um dem vorzubeugen, spielen Sie den SAP-Hinweis 1429716 ein. Anschließend verwenden Sie zum Transport Ihrer SU24-Daten den Report SU24_TRANSPORT_TABLES. Dieser Report erstellt auf der Basis der Anwendungsnamen eine detaillierte Transportstückliste. Da der Report deutlich höhere Laufzeiten als Schritt 3 der Transaktion SU25 hat, raten wir Ihnen, diesen Report nur in einer Y-Landschaft anzuwenden.

Die direkten Folgen sind überberechtigte Benutzer, eine fehlende Übersicht und gefährliche Sicherheitslücken. Um das System langfristig wieder auf Vordermann zu bringen, ist ein Redesign meist die effizienteste Lösung. Dabei setzen wir, je nach Anforderung und Projektrahmen, auch auf bewährte Softwarelösungen unserer Partner.

Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.

Hierfür müssen die SU22 SAP Berechtigungsvorschlagswerte über die SU25 in die kundeneigenen Tabellen der SU24 transportiert werden.

Dies kann z. B. bei der Buchung über Schnittstellen in kundeneigenen Prozessen erforderlich sein, wenn die Buchung nur unter bestimmten Voraussetzungen oder auf bestimmte Konten möglich sein soll.
SAP Corner
Zurück zum Seiteninhalt