Fazit: Kontrollierte Benutzerverwaltung für mehr Sicherheit
Funktionsbaustein BAPI_USER_CHANGE
Insbesondere die Benutzertypen System und Kommunikation werden häufig falsch verwendet. Der Typ Kommunikation sollte nur verwendet werden wenn auch ein Endanwender - mit Möglichkeit zur Kennwortänderung - per RFC verbunden wird. Z. B. bei Tools wie dem BEx Analyser oder dem DVS Easy Doc Management. Das setzt aber voraus, dass das RFC Tool auch in der Lage ist Kennwortänderungen durchzuführen. In der Regel trifft dies nur auf wenige RFC Werkzeuge zu.
Es gilt, alle Systeme zentral und möglichst automatisiert zu verwalten, was über ein zentrales Identity-Management-System realisiert wird. Von dort aus erfolgt das automatisierte Provisioning der richtigen Rollen und Berechtigungen über Konnektoren in die angeschlossenen Systeme, was das systemübergreifende Management von Identitäten stark vereinfacht.
SAP Benutzerverwaltung und Identity Management in ABAP-Systemen
Geschwindigkeit und Agilität werden zu kritischen Erfolgsfaktoren erfolgreicher Unternehmen. Damit einher gehen oft Mitarbeiterwachstum und der flexible Einsatz von Fachkräften in den unterschiedlichsten Abteilungen und Projekten. IT-Abteilungen können in diesem Fall an Kapazitätsgrenzen geraten, da die Vergabe von Benutzern, Rollen und Berechtigungen in den relevanten Systemen verbreitet noch auf manuellen Prozessschritten beruht.
Die voreingestellten Berechtigungsrollen des neuen SAP-Systems für die Konsolidierung und Planung, SAP Group Reporting,sind in der folgenden Grafik dargestellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik dargestellten Berechtigungsrollen zeigen lediglich die durch SAP voreingestellten technischen Spezifikationen. Allerdings können diese als Aufsatzpunkt genutzt und nach der Erstellung einer Kopie entsprechend angepasst werden.
Mit "Shortcut for SAP Systems" werden Aufgaben im Bereich der SAP Benutzerverwaltung vereinfacht und fehlende Funktionen des Standards ergänzt.
Es macht z.B. durchaus Sinn, den Tasktyp “BACKGROUND” zu wählen, um damit alle im Hintergrund ausgeführten Transaktionen auszuwerten.
Ziel ist es, Compliance-Risiken dauerhaft zu minimieren bzw. vollständig zu eliminieren.