Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Einführung & Best Practices
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
Anders als beim EWA ist es für den SOS möglich, Benutzer aufzulisten, die weitreichende Berechtigungen benötigen. Sie können also eine Whitelist pflegen. Wir empfehlen Ihnen, mit den Ergebnissen des SOS wie folgt umzugehen: Prüfen Sie, ob alle identifizierten Benutzer die kritische Berechtigung benötigen. Ergänzen Sie die Benutzer, die diese Berechtigung benötigen, in der Whitelist. Entziehen Sie den anderen Benutzern diese Berechtigung.
Berechtigungskonzepte in SAP Systemen
Sollten Sie trotz der regelmäßigen Archivierung und Indizierung der Änderungsbelege Ihrer Benutzer- und Berechtigungsverwaltung noch Probleme mit der Performance der Auswertung haben, liegt dies vermutlich an der Menge der zentralen Änderungsbelege. In diesem Fall brauchen Sie ebenfalls ein Archivierungskonzept für andere zentrale Änderungsbelegdaten. In SAPHinweis 1257133 wird die Vorgehensweise zur Erstellung eines solchen Konzepts beschrieben.
Die indirekte Rollenvergabe verwendet für die Zuweisung der PFCG-Rollen zu den entsprechenden Anwendern die Auswertungswege PROFLO und PROFLINT. Diese Auswertungswege ignorieren allerdings das Objekt CP (zentrale Person), die den Geschäftspartner in SAP CRM darstellt. In Transaktion PFUD, die für den Benutzerabgleich sorgt, werden die Auswertungswege US_ACTGR und SAP_TAGT verwendet. Auch hier ist das Objekt CP nicht bekannt.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Außerdem können Sie den Wert des Parameters auf der Betriebssystemebene wieder ändern.
Einer Tabelle oder einem Pflege-View können Sie über die Transaktion SE11 oder über die Transaktion SE54 eine Tabellenberechtigungsgruppe zuweisen.