SU24 Pflege der Berechtigungsvorschlagswerte
Behebung und Unterstützung bei Störungen (2nd und 3rd Level Support)
In diesem Artikel zum Thema SAP Security Automation möchte ich einen kleinen Blick in die Zukunft von automatisierten Prozessen im SAP Security Bereich wagen. Das Thema Security Automation bietet für viele Unternehmen noch eine Menge Potential in Bezug auf Zeitersparnis und Prozessoptimierung. Unser tägliches Arbeitsumfeld bietet zahlreiche Aufgaben, die schon heute exzellent automatisch bearbeitet werden könnten. Aus diesem Grund stelle ich in diesem Artikel zwei der Möglichkeiten vor, welche im weit gefassten Bereich Security Automation bereits bestehen. Security Automation mittels SAP Security Check Die erste Möglichkeit der Security Automation, die ich hier vorstellen möchte, ist die automatische Prüfung der vorhandenen Berechtigungen. Haben Sie sich schon einmal gefragt, wer von den Usern in Ihrem SAP-System kritische Berechtigungen besitzt? Und haben Sie dies schon einmal per Hand versucht nachzuvollziehen? Dies ist je nach Kenntnisstand und Erfahrung des Berechtigungsadministrators eine Arbeit, bei der einiges an Zeit ins Land geht. Wenn zusätzlich eine Wirtschaftsprüfung angekündigt wird und das SAP-System bezüglich kritischer Berechtigungen sowie Segregation of Duties überprüft werden soll, dann ist es sehr schwierig allen Anforderungen zu genügen und die Berechtigungslandschaft diesbezüglich abzusichern. Aus diesem Grund stellen verschiedene Anbieter Lösungen bereit, mittels Toolunterstützung die Überprüfung des Berechtigungswesens in Hinblick auf kritische Berechtigungen und Segregation of Duties zu automatisieren. So können Berechtigungsadministratoren ihre wertvolle Zeit dazu nutzen, die Fehler zu beheben, anstatt eben diese Fehler erst zu suchen. Wir nutzen beispielsweise ein Tool, welches die Überprüfung von über 250 Regeln durchläuft. Anschließend erhalten wir eine Auswertung darüber, gegen welche Regeln verstoßen wird und welche Punkte in Ordnung sind. Ein einfaches Beispiel für solche Regeln ist die Verwendung des Profils SAP_ALL. Ein weiteres wäre die Vergabe der Sprungberechtigung im Debugging (Berechtigungsobjekt S_DEVELOP mit dem Feld ACTVT = 02). Dies sind zwei relativ simple Beispiele des Regelwerks von Security Check-Tools. Weiterführend werden auch Abfragen getätigt, welche im Bereich Segregation of Duties angesiedelt sind. Die Verwendung dieses Tools ermöglichte es uns, von der manuellen Überprüfung von kritischen Berechtigungen zu einem automatischen Ablauf überzugehen.
Zudem bereiten die Anwendungen die Daten so auf, dass sie der Nutzer über die Präsentationsschicht visuell erfassen kann. Umgekehrt übermittelt der Applikationsserver sämtliche Daten, die ein Nutzer über die Präsentationsschicht eingibt, in die zugrundeliegende Datenbank.
ABAP-Trace erstellen
Falls Sie in der Abbruch-Meldung einen tp-Step genannt bekommen, handelt es sich um einen transportauftrag-unabhängigen Schritt, dessen Protokolle sich nicht mit Protokolle anzeigen lassen. Analysieren Sie in diesem Fall die folgenden Dateien: tp-Step 6: P tp-Step N: N tp-Step S: DS Alle Protokolle befinden sich in /usr/sap/trans/log.
Mit einfacher Job-Programmierung kann man in übersichtlichen Umgebungen mit wenigen Abhängigkeiten starten. Steigt die Anzahl der Jobs und die Komplexität bietet sich eine automatische Job-Steuerung an. Honico Batchman ist eine derartige Lösung, ein 100% SAP integriertes AddOn, welches über normale Transporte schnell und einfach installiert wird. Vorteil hierbei: Es ist keine zusätzliche Infrastruktur notwendig, sondern die bestehende SAP Systemlandschaft wird für die gesamte Steuerung und Ausführung genutzt, ohne sich damit einen Performanceverlust einzuhandeln. Damit kann auch die volle Revisions- und Betriebssicherung (Compliance) gewährleistet werden. Da reine SAP Systeme eher die Ausnahme sind, können auch Non-SAP Systeme mitgesteuert und überwacht werden. Als dritte Möglichkeit sind High-End Lösungen erhältlich, die zusätzlich die Infrastruktur und Legacy mit überwachen. Weit verbreitete Produkte in diesem Segment sind UC4 und Arvato Streamworks. Diese drei Lösungsmöglichkeiten unterschieden sich vom Preis und Leistungsumfang gravierend. IT-Abteilungen in den Unternehmen müssen daher bewerten, welche Lösung für die eigenen Anforderungen am besten geeignet ist.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Die Cofiles werden aus den zugehörigen Dateien erzeugt und in das Verzeichnis /usr/sap/trans/cofiles (UNIX) abgelegt.
Grundsätzlich geht der Trend dahin, pro Rechner eine große Instanz mit vielen Workprozessen und großem SAP Extended Memory einzurichten.