Berechtigungen mit dem Pflegestatus Gepflegt
Das SAP-Berechtigungskonzept
Privilegien steuern die Nutzung aller in der HANA-Datenbank enthaltenen Objekte und Daten. Für die Nutzung einer Anwendung müssen Sie in der Regel einem Benutzer viele verschiedene Privilegtypen zuweisen. Um die komplexen Zusammenhänge bei der Zuordnung der tatsächlich benötigten Privilegien in überschaubarer Weise berücksichtigen zu können, werden Privilegien in SAP HANA zu Rollen gebündelt. In unserem Beispiel ist die Rolle MODELING in der Rolle SAPT04_CONTENT_ACTIVATION enthalten. In SAP HANA ist es sowohl möglich, eine Rolle mehreren Rollen als auch mehrere Rollen einer Rolle zuzuordnen. So können komplexe Rollenhierarchien zusammengestellt werden.
Zwei weitere sehr wichtige Einstellungen sind die Aktivierung des Security Audit Logs und der Tabellenprotokollierung. Beide Parameter müssen aktiviert sein, um in weiterer Folge die Nachvollziehbarkeit auf Benutzer- aber auch auf Tabellenebene zu gewährleisten. Es sollte also überprüft werden, ob die Detaileinstellungen für das Security Audit Log gemäß den Unternehmensvorgaben eingerichtet sind und auf jeden Fall ausnahmslos alle Benutzer mit umfassenden Berechtigungen, wie z.B. SAP_ALL, vollständig von der Protokollierung umfasst sind.
Vorteile von Berechtigungstools
Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.
Der erste Schritt beim Bereinigen besteht daher darin herauszufinden, ob das aktuelle Berechtigungskonzept ausreicht und eine Bereinigung der beste Weg ist, oder ob ein Neuaufbau des Berechtigungskonzeptes notwendig ist. Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Den Wert für stat/rfcrec sollten Sie z. B. auf den Wert 30 erhöhen, und stat/rfc/distinct sollten Sie auf den Wert 1 setzen.
Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).