Bereits enthaltene Berechtigungsobjekte
Vorteile von Berechtigungstools
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen. Es gibt verschiedene rechtliche Anforderungen, die ein regelmäßiges Prüfen und Bewerten (Audit) Ihres SAP-Systems erfordern. In der Regel gibt es interne und externe Revisoren, die solche Audits durchführen. Zusätzlich kann die Benutzer- und Berechtigungsverwaltung ein eigenes Monitoring der Berechtigungen einführen, um unangenehme Überraschungen während der Audits zu vermeiden. Die Dokumentation der Audits erfolgt bei den externen Auditoren oft standardisiert; für die interne Revision oder Ihr eigenes Monitoring fehlt aber in vielen Fällen eine passende Dokumentation. Häufig fordern auch externe Revisoren trotz automatisierter Auswertungen eine Aktivierung des Audit Information Systems (AIS). Wir zeigen Ihnen daher wie Sie das AIS aktivieren und die Vorteile des neuen AIS Cockpits nutzen.
Löschen von Änderungsbelegen
Da zumindest Entwickler im Entwicklungssystem wie erwähnt quasi über Vollberechtigungen verfügen, kann der konkrete Zugriff auf eine kritische RFC-Verbindung also auch nicht entzogen werden. Da RFC-Schnittstellen für das gesamte System definiert werden, können diese aus jedem Mandanten des Startsystems heraus genutzt werden. Vorhandenen Schnittstellen lassen sich über die Tabelle RFCDES im Start- (Entwicklungs-) System auslesen.
Anmeldung mit Benutzer und Passwort einer anderen Anwendung (z. B. eines ADs oder Portals) In diesem Fall muss die Webanwendung dazu in der Lage sein, eine eindeutige SAP-Benutzer-ID zu den Anmeldedaten zu ermitteln. Sie sollten eine Anwendung wählen, bei der der Benutzer sein Passwort nicht so leicht vergisst.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Da das Rollenmenü angepasst wurde, muss nun auch die PFCG-Rolle angepasst werden.
Der jeweilige Objekttyp (Tabelle, View, Prozedur) bestimmt, welche Datenbankoperationen berechtigt werden können.