SIVIS as a Service
SAP Security Automation
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Um einen genauen Überblick über alle SAP-Transaktionen zu erhalten, ist das Software-Lizenzmanagement unabdingbar. Wir stellen Ihnen eine Transaktions-Datenbank zur Verfügung, in der die Transaktionen mit named user Lizenztypen bewertet sind. Ihr Vorteil: die tatsächliche Nutzung Ihrer SAP-User wird mit der Transaktions-Datenbank abgeglichen. „SAP direct access“ analysiert die Lizenzen auf die tatsächliche Nutzung und klassifiziert die kritischen Fälle. Mit der SAP Lizenzoptimierung pflegen wir Ihre individuellen Lizenzverträge ein und vergleichen die Ergebnisse mit LAW. Auf Abweichungen inkl. Drilldown bis auf User-/Mandanten-Ebene können wir Sie direkt hinweisen.
Systemsicherheit
Der Berechtigungstrace ist jedoch ein Langzeittrace, den Sie über den dynamischen Profilparameter auth/authorization_trace einschalten können. Dieser Trace ist benutzer- und mandentenunabhängig. Der Trace ergänzt in Tabelle USOB_AUTHVALTRC die Berechtigungsprüfungen, die vor dem Ausführen der Anwendung noch nicht erfasst worden sind. Diese Funktion kann auch für kundeneigene Entwicklungen verwendet werden. Wechseln Sie nun in die Transaktion RZ11 (Pflege der Profilparameter), tragen Sie den Parameternamen auth/authorization_trace in das Selektionsfeld ein, und klicken Sie auf Anzeigen. Sie gelangen nun zur Detailansicht des Profilparameters mit sämtlichen Eigenschaften und der Verlinkung zu einer Dokumentation. Um den Trace einzuschalten, klicken Sie auf Wert ändern, und es öffnet sich ein Pop-up-Fenster. Tragen Sie hier im Feld Neuer Wert »Y« oder »F« für Filter ein, falls Sie einen Filter definieren möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), und speichern Sie Ihre Eingabe. Es erscheint nun eine Warnung mit der Information, dass der Parameterwert beim Durchstarten des Anwendungsservers wieder zurückgesetzt würde.
Beim Zugriff auf Tabellen oder Views wird mit dem Berechtigungsobjekt S_TABU_DIS die Berechtigung für eine bestimmte Tabellenberechtigungsgruppe in der Berechtigungsprüfung erteilt. Beachten Sie in diesem Zusammenhang auch Tipp 73 »Berechtigungsobjekte für die Tabellenbearbeitung verwenden« und das dort vorgestellte Berechtigungsobjekt S_TABU_NAM. Tabellenberechtigungsgruppen legen Sie mithilfe der Transaktion SE54 oder über den Pflegedialog V_TBRG_54 an. Sie fallen unter das mandantenabhängige Customizing und können bis SAP NetWeaver 7.31 SP 2 lediglich vier Zeichen beinhalten. Zum Anlegen einer Tabellenberechtigungsgruppe rufen Sie die Transaktion SE54 auf und wählen dort im Bereich Bearbeiten Tabelle/View die Option Berechtigungsgruppen aus. Über den Button Anlegen/Ändern gelangen Sie zur Übersicht der bereits vorhandenen Tabellenberechtigungsgruppen. Auf diesem Weg können Sie z. B. auch die Bezeichnung einer Tabellenberechtigungsgruppe ändern. In der Übersicht der Tabellenberechtigungsgruppen klicken Sie auf den Button Neue Einträge, um eine neue Tabellenberechtigungsgruppe anzulegen. Vergeben Sie einen Namen für Ihre Berechtigungsgruppe und eine sprechende Bezeichnung. Nachdem Sie die neuen Einträge gespeichert haben, ist Ihre kundeneigene Tabellenberechtigungsgruppe angelegt.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Transaktionen SE38 und SA38 sollten im produktiven System nicht vergeben werden, und kundeneigene Programme sollten in eigene Transaktionscodes eingebunden werden.
Damit Sie künftig Ihre kundeneigenen Tabellen besser wiederfinden können, prüfen Sie in Ihrer Entwicklungsrichtlinie, ob die Speicherung dort ausreichend beschrieben ist.