Aktivitätslevel
ACCESS CONTROL | BERECHTIGUNGSMANAGEMENT FÜR SAP®
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Berechtigungen für Entwicklungspakete (Package Privileges): Package Privileges sind Berechtigungen, die den Zugriff auf Entwicklungspakete in der SAP-HANA-Datenbank steuern. Pakete enthalten Design- Time-Versionen von Objekten, die mit diesem Paket mittels einer Delivery Unit transportiert und somit für andere Systeme zur Verfügung gestellt werden können.
Managed Services
Anschließend sollten Sie die neueste Version der Hash-Algorithmen aktivieren, indem Sie den Profilparameter login/password_downwards_compatibility auf den Wert 0 setzen. Dies ist erforderlich, da SAP-Systeme standardmäßig die Abwärtskompatibilität beibehalten. Das heißt, dass, abhängig von Ihrem Basisrelease, entweder die neuen Hash-Algorithmen bei der Speicherung der Passwörter nicht verwendet werden, oder es werden zusätzliche veraltete Hash-Werte der Passwörter gespeichert. Anschließend sollten Sie prüfen, ob es noch veraltete Hash-Werte für Passwörter in Ihrem System gibt und diese gegebenenfalls löschen. Nutzen Sie dazu den Report CLEANUP_PASSWORD_HASH_VALUES.
Beim Zugriff auf Tabellen oder Views wird mit dem Berechtigungsobjekt S_TABU_DIS die Berechtigung für eine bestimmte Tabellenberechtigungsgruppe in der Berechtigungsprüfung erteilt. Beachten Sie in diesem Zusammenhang auch Tipp 73 »Berechtigungsobjekte für die Tabellenbearbeitung verwenden« und das dort vorgestellte Berechtigungsobjekt S_TABU_NAM. Tabellenberechtigungsgruppen legen Sie mithilfe der Transaktion SE54 oder über den Pflegedialog V_TBRG_54 an. Sie fallen unter das mandantenabhängige Customizing und können bis SAP NetWeaver 7.31 SP 2 lediglich vier Zeichen beinhalten. Zum Anlegen einer Tabellenberechtigungsgruppe rufen Sie die Transaktion SE54 auf und wählen dort im Bereich Bearbeiten Tabelle/View die Option Berechtigungsgruppen aus. Über den Button Anlegen/Ändern gelangen Sie zur Übersicht der bereits vorhandenen Tabellenberechtigungsgruppen. Auf diesem Weg können Sie z. B. auch die Bezeichnung einer Tabellenberechtigungsgruppe ändern. In der Übersicht der Tabellenberechtigungsgruppen klicken Sie auf den Button Neue Einträge, um eine neue Tabellenberechtigungsgruppe anzulegen. Vergeben Sie einen Namen für Ihre Berechtigungsgruppe und eine sprechende Bezeichnung. Nachdem Sie die neuen Einträge gespeichert haben, ist Ihre kundeneigene Tabellenberechtigungsgruppe angelegt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Während unter SAP ERP nur Rollen mit Berechtigungen für das GUI System relevant waren sind für die Anwendungen unter FIORI entsprechende Businessrollen erforderlich.