sap basis
SAP Security für Administratoren
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
Bei der ursprünglichen Implementierung (Classic) ist die XS Engine in die Codebasis des Indexservers von SAP HANA integriert, mit anderen Worten, die XS Engine ist ein Indexserver, der mit einer besonderen Konfiguration gestartet wird. Die Programmiersprache ist JavaScript. Diese Implementierung wird aber aufgrund der Nachteile, die durch die enge Integration entstehen, abgelöst.
Berechtigungsmanagement: Vor- und Nachbereitung von Audits sowie laufende oder punktuelle Unterstützung
Aus diesem Grund können Sie als ein Benutzer der Gruppe auch keine Registerkarten sehen. Wählen Sie nun die Anwendungen / Registerkarten aus, auf die die Gruppe Zugriff erhalten soll (mit STRG können Sie mehrere markieren) und wählen Sie den Button Gewähren. Hinweis: Wählen Sie über den Button und nicht das Dropdown-Menü Gewähren aus! Über das Dropdown-Menü regeln Sie, ob und wie weit Benutzer der Gruppe, die Sie aktuell bearbeiten, selbst CMC-Registerkartenkonfigurationen an anderen Gruppen / Benutzern vornehmen können! Für die gewünschten Registerkarten "Gewähren" auswählen. Falls Sie danach noch immer keine Anwendungen / Registerkarten sehen, liegt es daran, dass der Gruppe / dem Benutzer das allgemeine Anzeigenrecht auf der obersten Ebene der jeweiligen Registerkarte fehlt. Wechseln Sie dazu auf die gewünschte Registerkarte (im Beispiel ist das Universen), wählen Sie Verwalten --> Sicherheit auf oberster Ebene --> Alle Universen (je nach Registerkarte unterscheidet sich der letzte Punkt). Bestätigen Sie den auftauchenden Hinweis und vergeben Sie für die gewünschten Gruppen zumindest das folgende Recht: Allgemein --> Allgemein --> Objekte Anzeigen. Sobald dieses Recht vergeben wurde, taucht die Registerkarte auch auf der CMC-Startseite wieder auf. Sie können anschließend die Registerkarten auf der CMC-Startseite sehen.
Wenn der zusätzliche Speicher im Erweiterten Speicherbereich für den Nutzerkontext immer noch nicht ausreicht, kann der optionale zweite Rollbereich dafür genutzt werden. Die Größe des zweiten Rollbereichs wird durch die Differenz aus den Parametern ztta/roll_first und ztta/roll_area bestimmt. Der Rollbereich wurde im Kernel-Release 7.4 abgeschafft, weshalb diese Parameter von da an obsolet sind. Stattdessen wird der Nutzerkontext heute direkt im Erweiterten Speicher abgelegt.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Mit dem Werkzeug Weitere Funktionen > LAN-Überprüfung mit Ping lässt Netzwerk-Check sich ein grober Netzwerktest durchführen.
Auch müssen Leistungen der Basis durch das IT-Service-Management erfasst und beschrieben sein, wie auch Techniken wie bspw eine RACI-Matrix zur Identifikation und Dokumentation der Verantwortlichkeiten der SAP-Basis zum Einsatz kommen.