Ausprägungen SAP Berechtigungskonzept
Ziel eines Berechtigungskonzepts
Was in solchen Fällen fehlt, ist der Benutzerabgleich. Der Benutzerabgleich prüft, welche PFCG-Rollen einem Nutzer zugewiesen sind und weist ebenfalls die dazugehörigen Profile zu. Jede generierte PFCG-Rolle hat mindestens ein Profil, und der Anwender erhält seine Berechtigungen aus diesem Profil. Ist das Profil nicht zugewiesen bzw. veraltet, besitzt der Anwender auch nicht die darin enthaltenen Berechtigungen. Ähnlich verhält es sich mit Rollentransporten in ein Produktivsystem. Eine vorhandene und zugewiesene PFCG-Rolle wird im Entwicklungssystem geändert und durch die Systemlandschaft transportiert. Wird die PFCG-Rolle nun ins Produktivsystem transportiert, verfügen die der Rolle zugewiesenen Benutzer noch nicht über das aktuelle mittransportierte Profil. Hier muss erst ein Benutzerabgleich erfolgen, der sicherstellt, dass das aktualisierte Profil der geänderten PFCG-Rolle allen ihr zugewiesenen Anwendern zugeordnet wird.
Dokumente: Die Dokumente in der Auditstruktur beschreiben die Prüfungsschritte. Sie können sie analog zu Ihren Auditanforderungen anlegen. Dokumente erkennen Sie anhand des Symbols. Durch einen Doppelklick auf dieses Symbol öffnen Sie das Dokument.
Fallstricke beim Excel-basierten Berechtigungswesen umgehen
Die voreingestellten Berechtigungsrollen des neuen SAP-Systems für die Konsolidierung und Planung, SAP Group Reporting,sind in der folgenden Grafik dargestellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik dargestellten Berechtigungsrollen zeigen lediglich die durch SAP voreingestellten technischen Spezifikationen. Allerdings können diese als Aufsatzpunkt genutzt und nach der Erstellung einer Kopie entsprechend angepasst werden.
Um fehlgeschlagene Berechtigungsprüfungen zentral einzusehen, können Sie ebenfalls die Transaktion SU53 verwenden. Öffnen Sie die Transaktion, und rufen Sie im Menü über den Pfad Berechtigungswerte > Anderer Benutzer oder mit der Taste (F5) die Benutzerauswahl auf. Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein. In der Ergebnisliste können Sie für jeden Anwender fehlgeschlagene Berechtigungen einsehen, wie in unserem Beispiel die fehlende Berechtigung zum Anzeigen der Tabelle AGR_1251. Sie sehen, dass in dieser Auswertung mehr als nur ein Berechtigungsobjekt angezeigt wird.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dabei müssen Sie die im kundeneigenen Coding verwendeten Berechtigungsobjekte hinterlegen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Denn auch diese Sicherheitslücken können für einen Angriff genutzt werden.