Kundeneigene Anforderungen
Manuell gepflegte Organisationsebenen in Rollen zurücksetzen
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
Die Angabe des Programmnamens im Feld PROGRAM ist einfacher, da der Maximalwert von 40 Zeichen der Beschränkung für Programmnamen im SAP NetWeaver Anwendungsserver ABAP entspricht. Falls es sich um einen Funktionsbaustein oder eine Webanwendung handelt, können Sie den Programmnamen über den Systemtrace für Berechtigungen (Transaktion ST01 oder Transaktion STAUTHTRACE) ermitteln. In der Tabelle SPTH können Sie Zugriffsrechte für Pfade definieren, und ob für sie eine zusätzliche Berechtigungsprüfung auf das Objekt S_PATH durchgeführt werden soll.
Anmeldesperren sicher einrichten
SOS-Berichte können sehr umfangreich werden. Insbesondere, wenn die Whitelists noch nicht gepflegt sind, sind Berichtsumfänge von bis zu 200 Seiten nicht unüblich. Lassen Sie sich in solch einem Fall nicht entmutigen, sondern starten Sie mit der Bereinigung einer handhabbaren Menge kritischer SOS-Ergebnisse. Die weiteren Ergebnisse können Sie dann in mehreren Runden bearbeiten. Der AGS spricht Empfehlungen dazu aus, welche kritischen SOS-Ergebnisse Sie zuerst betrachten sollten; diese finden Sie im Foliensatz AGS Security Services Master in der Media Library des SAP Service Marketplace.
Werte des Berechtigungstrace ins Rollenmenü übernehmen: Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFCBausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten. Anschließend werden Ihnen im rechten Teil des Fensters alle mitprotokollierten Anwendungen angezeigt. Markieren Sie die Anwendungen, die Sie ins Rollenmenü übernehmen möchten und klicken Sie auf Übernehmen. Sie können nun entscheiden, wie die Anwendungen im Rollenmenü erscheinen. Die Anwendung kann über das Auswahlfeld Hinzufügen zur Rolle entweder als Berechtigungsvorschlag oder als Menüeintrag hinzugefügt werden. Sie können als Liste oder als Bereichsmenü angezeigt werden (Einfügen als Liste) oder dem SAP-Menübaum entsprechend, in dem die Anwendung im SAP-Menü hinterlegt ist (Einfügen als SAP Menü).
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Diese Ordnerstruktur finden Sie ebenfalls in der Tabelle SMEN_BUFFC.
Damit wird der Zugriff auf die Tabellen über Tabellenberechtigungsgruppen oder, wenn der Zugriff über Tabellenberechtigungsgruppen nicht erlaubt ist, über die Berechtigung auf die Tabelle direkt geregelt (siehe Tipp 73, »Berechtigungsobjekte für die Tabellenbearbeitung verwenden«).