Berechtigungen
DIE „TOP SEVEN“
Dieser Report prüft das Customizing der CRM-Business-Rolle, für die die PFCG-Rolle erstellt werden soll und schreibt alle Bereichsstartseiten und logischen Links in Form von externen Services in eine Textdatei. Diese Textdatei wird lokal im SAP-Ordner unter c:/Benutzer//SAP gespeichert. Auf der Registerkarte Menü der PFCG-Rolle können Sie diese Textdatei über Übernahme von Menüs > Import aus Datei hochladen.
Wir empfehlen Ihnen daher, einen Hintergrundjob über die Transaktion PFUD einzuplanen, der einen regelmäßigen Benutzerabgleich durchführt (siehe Trick 17, »Transaktion PFUD regelmäßig einplanen«). Haben Sie übrigens gewusst, dass Sie über den Profilparameter auth/tcodes_not_checked die Transaktionsstartberechtigung für die Transaktionen SU53 und SU56 ausschalten können? Tragen Sie hierzu den Wert SU53, SU56 oder SU53 SU56 für den Profilparameter ein. Damit benötigt der Endanwender nicht mehr die Berechtigungen für die Ausführung dieser Transaktionscodes über das Berechtigungsobjekt S_TCODE.
Lösungsansätze für effiziente Berechtigungen
Das Security Audit Log (SAL) verfügt in den aktuellen Releases über zehn verschiedene Filter, über die gesteuert wird, welche Ereignisse protokolliert werden. Diese Filter können Sie über die Transaktion SM19 konfigurieren. Die Ereignisse sind als unkritisch, schwerwiegend oder kritisch kategorisiert.
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Sammelrolle - Besteht aus beliebig vielen Einzelrollen.
Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System.