Abfrage der Daten aus einem HCM-Personalstammdatensatz
Reports starten
Pflegen Sie die Werte nicht oder setzen Sie sie auf einen anderen Wert als YES, werden die Rollenmenüs des Referenzbenutzers beim Aufbau des Benutzermenüs nicht berücksichtigt. Die beiden Schalter gelten systemweit; eine mandantenspezifische Ausprägung ist daher nicht möglich. Haben Sie beide Schalter auf YES gesetzt, können Sie an den Einträgen des Benutzermenüs nicht mehr erkennen, ob sie aus den Rollenmenüs des Referenzbenutzers oder des Benutzers selbst stammen. Referenzbenutzer haben noch einen weiteren Vorteil: Sie können sie auch für die Vererbung des vertraglichen Benutzertyps einsetzen. Ein Benutzer erbt die Klassifizierung des Referenzbenutzers, wenn er keine weiteren Rollen- oder Profilzuordnungen mit Klassifizierung hat, oder nicht manuell klassifiziert wurde.
Single Role: Ermöglicht die automatische Generierung eines Berechtigungsprofils. Die Rolle enthält die Berechtigungsdaten und das Anmeldemenü für den Benutzer.
Security Audit Log konfigurieren
Änderungsbelege der Berechtigungsvorschlagspflege können Sie sich mit dem Report SU2X_SHOW_HISTORY anschauen (verfügbar mit dem im SAPHinweis 1448611 benannten Support Package). Falls der Hinweis nicht implementiert ist, verwenden Sie die Tabellen USOBT_CD und USOBX_CD. Wir empfehlen Ihnen, den Korrekturreport SU24_AUTO_REPAIR regelmäßig auszuführen. Dieser Report bereinigt Inkonsistenzen und ergänzt fehlendende Modifikationsflags in den Daten der Transaktion SU24, die bei der Ausführung der Transaktion SU25 als Fehler auftauchen können. Lesen Sie hierzu den SAP-Hinweis 1539556. Modifikationsflags werden jeweils bei den Datensätzen in der Transaktion SU24 angefügt, wenn diese von Ihnen verändert wurden. Sie sehen diese Flags in den Tabellen USOBT_C und USOBX_C.
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden.
Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.