Berechtigungstraces anwendungsserverübergreifend auswerten
Sofortige Berechtigungsprüfung – SU53
Der Zugriff des Anwenders auf dieses Programm wird über die Zuweisung einer Rolle, welche die erforderliche Transaktion inklusive der zu prüfenden Berechtigungsobjekte enthält, realisiert. Eine Rolle kann eine Vielzahl von Berechtigungsobjekten enthalten.
Das Setzen der Kennzeichen für die Vertraulichkeit oder die Verschlüsselung in der Methode SEND_EMAIL_FOR_USER wirkt sich auf die Anzeige der E-Mail in der Business Communication Services Administration aus (Transaktion SCOT). Ist die E-Mail als vertraulich gekennzeichnet, kann sie nur durch den Absender oder den Ersteller der E-Mail eingesehen werden. Der Absender und der Ersteller müssen nicht zwingend identisch sein, z. B. wenn Sie als Absender das System eingetragen haben. Der Ersteller der E-Mail ist derjenige, der die Anwendung ausgeführt hat, in deren Kontext die E-Mail erstellt wurde. Durch das Kennzeichen zur Verschlüsselung wird automatisch auch die Vertraulichkeit der E-Mail gesetzt. Die E-Mail wird also nicht verschlüsselt im System abgelegt, sondern durch das Vertraulichkeitskennzeichen gegen unbefugte Einsicht geschützt. Der Zugriff durch den Absender oder Ersteller ist aber weiterhin möglich. Außerdem sollten Sie beachten, dass der Betreff der E-Mail nicht verschlüsselt ist.
SAP Systeme: User Berechtigungen mit Konzept steuern
Spätestens dann, wenn nicht mehr klar definiert werden kann, welche Transaktionen in welche Rollen aufgenommen werden sollen und welche Rollen ein Anwender benötigt, ist eine Korrektur notwendig. Es muss klar sein, welche Rechte für die einzelnen Aufgaben im System nötig sind.
GET_EMAIL_ADDRESS: In der Beispielimplementierung dieser Methode wird die E-Mail- Adresse aus dem Benutzerstammsatz des Systems gelesen. Passen Sie die Methode an, wenn Sie die E-Mail-Adresse aus einer anderen Quelle lesen wollen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Allerdings müssen Sie darauf achten, nicht alle Felder der Objekte auszuprägen, da ansonsten auch der direkte Zugriff möglich ist.
Der Abschnitt zur Sicherheit im EWA dient als Einstiegspunkt für die Auswertung von Berechtigungen; daher enthält er aktuell die folgenden sieben besonders kritischen Prüfungen: Super User Accounts (Accounts mit dem Berechtigungsprofil SAP_ALL), Benutzer mit der Berechtigung Display all Tables, Benutzer mit der Berechtigung Start all Reports, Benutzer mit der Berechtigung Debug/Replace, Benutzer mit der Berechtigung Display Other Users Spool Request, Benutzer mit der Berechtigung Administer RFC Connections, Benutzer mit der Berechtigung Reset/Change User Passwords.