Berechtigungsprüfungen in SAP HANA verstehen
Kritische Berechtigungen
Zunehmend ist es möglich auf Automatisierungen im Security-Umfeld zurückzugreifen. Zwar werden diese noch nicht von vielen Unternehmen genutzt, sind jedoch der nächste Schritt in der digitalen Transformation. Durch die intelligente Nutzung von Automatisierungen können Unternehmen Ressourcen für die wirklich wichtigen Innovationsthemen schaffen. In Zukunft ist sowohl mit einem Anstieg der Zahl als auch der Leistungsfähigkeit von Automatisierungstools zu rechnen. Daher ist es nur eine Frage der Zeit, bis auch SAP selbst optimierte Unterstützung in Form von Tools im Standard ausliefert.
Das Berechtigungsobjekt S_RFCACL wird durch das Einspielen des SAP-Hinweises 1416085 aus dem Profil SAP_ALL entfernt. Dieser Hinweis ist in allen neueren Support Packages für die Basiskomponente enthalten; dies betrifft also alle Systeme bis herunter zum Basisrelease 4.6C. Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird. Diese Felder legen fest, aus welchen Systemen und Mandanten bzw. für welche Benutzerkennungen Anmeldungen am Zielsystem erlaubt sein sollen. Die Gesamtberechtigung für diese Felder erlaubt also die Anmeldung aus beliebigen Systemen und Mandanten bzw. für beliebige Benutzer und erzeugt dadurch erhebliche Sicherheitsrisiken.
Alten Stand lesen und mit den neuen Daten abgleichen
Möchten Sie die Bewegungsdaten des produktiven Systems in ein Entwicklungssystem übernehmen, sollten Sie zuvor Benutzerstammsätze und die Berechtigungsvorschlagswerte exportieren und die kompletten Änderungsbelege archivieren. Nach dem Import können Sie dann analog zur Mandantenkopie die importieren Änderungsbelege löschen und die originalen Änderungsbelege des Entwicklungssystems wieder zurückladen und indexieren. Für die hier beschriebenen Aktivitäten sind administrative Berechtigungen für die Änderungsbelege (S_SCD0 und S_ARCHIVE) und gegebenenfalls für die Tabellenprotokolle (S_TABU_DIS oder S_TABU_NAM und S_ARCHIVE) notwendig. Diese Berechtigungen sind als kritisch einzustufen, und Sie sollten Sie entsprechend nur an einen kleinen Benutzerkreis vergeben.
Ihnen ist aufgefallen, dass sich der Pflegestatus der Berechtigungen in PFCG-Rollen ändert, wenn Sie Berechtigungsobjekte pflegen, ändern oder manuell hinzufügen? Erfahren Sie, was es mit den Berechtigungsstatus auf sich hat. Beim Löschen oder Hinzufügen von Transaktionen im Rollenmenü von PFCG-Rollen haben die jeweiligen Berechtigungen in der PFCG-Rolle den Pflegestatus Standard. Ergänzen oder ändern Sie die Berechtigungen, ändert sich der Pflegestatus entweder auf Gepflegt oder auf Verändert. Den Pflegestatus Manuell haben Sie vielleicht auch schon einmal gesehen. Welches sind die Hintergründe für diese Pflegestatus, und was sagen sie eigentlich aus?
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Rufen Sie die Transaktion SOBJ auf.
Im Anzeigebild Ihrer ausgewählten Tabelle gehen Sie im Menü zum Eintrag Hilfsmittel und wählen dort Berechtigungsgruppe zuordnen aus.