Wie du Rollen und Berechtigungen im SAP-System analysierst
Welche Berechtigungsobjekte werden geprüft (SU22)?
Der Industry Portfolio User ist ausschließlich berechtigt Industrie Lösungen zu verwenden, sofern er die jeweiligen Industry Packages Nutzungsrechte erworben hat. Der SAP Industry Portfolio User hat zusätzlich die gleichen Rechte wie ein SAP Employee User, hat diese also sozusagen im Bauch.
Es ist jedoch gar nicht so einfach, alle Drittsysteme zu identifizieren und festzustellen, ob Indirect Use der SAP-Systeme vorliegt. Die SAP-Tools zur Lizenzvermessung sind nicht in der Lage, eine solche vollständige Analyse durchzuführen.
SAP User / Authorization
Zu diesem Zweck synchronisieren sich UST*-Tabellen mit den USR*-Tabellen. Sie sind weniger präzise und dienen der SUIM als „voraufbereitete“ Datengrundlage.
Unter anderem werden diese weitläufigen und starken Berechtigungen zum Installationszeitpunkt diesem Benutzer übertragen, wie zum Beispiel von den technischen Benutzern SYS oder _SYS_REPO. Diese Berechtigungen können auch nicht einfach wieder entzogen werden, da nach Installationszeitpunkt ein Benutzer existieren muss, um die Konfiguration der SAP HANA Datenbank zu ermöglichen. Die Berechtigungen dieses Benutzers lassen sich mit dem aus SAP NetWeaver ABAP bekannten SAP_ALL Standardprofil vergleichen. Das bedeutet auch, dass wenn der Benutzer SYSTEM auch auf neue Datenbank-Artefakte wie z. B. Tabellen, Schemas, Views – die nach dem Installationszeitpunkt der SAP HANA Datenbank erzeugt wurden – berechtigt werden soll, müssen ihm diese Berechtigungen zunächst vom Eigner der Datenbankobjekte übertragen werden. Dies kann z. B. für ein Schema mittels nachfolgenden SQL Statement in dieser Form realisiert werden: GRANT SELECT on SCHEMA to SYSTEM with GRANT OPTION.
Etliche Aufgaben im Bereich der SAP Benutzerverwaltung können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess zur Prüfung kommen.
Die Rede ist von den Ankündigungen der SAP, die Basis zur Vergabe von Named-User-Lizenzen zu ändern und zwar von „tatsächlicher Nutzung“ zur Nutzung auf Basis „vorhandener Berechtigungen“.