Berechtigungen
Fazit und Ausblick
Wenn Sie möchten, dass Ihre Eigenentwicklungen, genau wie der Standard, Ihren Sicherheitsanforderungen entsprechen, müssen Sie den kundeneigenen Tabellen Tabellenberechtigungsgruppen zuordnen. Kundeneigene Tabellen, oder auch SAP-Standardtabellen, die Sie besonders schützen möchten, gehören in separate, gegebenenfalls kundeneigene Tabellenberechtigungsgruppen. Sollen für die Systemadministration oder bestimmte Anwendungen umfangreiche Berechtigungen erteilt werden, erfolgt dies mit dem Berechtigungsobjekt S_TABU_DIS für die Tabellenberechtigungsgruppe. Da vielen Standardtabellen keine Tabellenberechtigungsgruppe zugeordnet ist und diese damit automatisch in der Tabellenberechtigungsgruppe &NC& landen, sollten Sie den Zugriff auf diese Tabellenberechtigungsgruppe einschränken. Bestimmte Tabellen wie T000 (Mandanten) befinden sich z. B. in einer großen Tabellenberechtigungsgruppe (SS: RS: Steuerung SAP); daher kann man den Zugriff über eine eigene Tabellenberechtigungsgruppe besser einschränken. Auch kundeneigene Tabellen sollten Sie immer einer Tabellenberechtigungsgruppe zuordnen, da ihnen ansonsten ebenfalls die Tabellenberechtigungsgruppe &NC& zugeordnet wird. Im Folgenden erklären wir Ihnen daher, wie Sie Tabellenberechtigungsgruppen anlegen und Tabellen zuordnen können.
In vielen SAP-Umgebungen gibt es historisch gewachsene Berechtigungsstrukturen, die unnötige Sicherheitslücken verursachen. Diese sollten genau geprüft werden.
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Um nun die Tracedaten aus der Tabelle USOB_AUTHVALTRC zu verwenden, gehen Sie erst in den Änderungsmodus und klicken anschließend entweder auf den Button SAP-Daten, oder Sie wählen Objekt > Objekte aus Trace hinzufügen > Lokal. Die gefundenen Berechtigungsobjekte werden aus der Tabelle importiert, sind aber noch mit keinerlei Vorschlagswerten versehen. Zur Pflege der Vorschlagswerte klicken Sie auf den Button Trace. Im sich daraufhin öffnenden Fenster selektieren Sie nach einem der neuen Berechtigungsobjekte und wählen anschließend Trace auswerten > Berechtigungstrace > Lokal. Es werden nun die geprüften Berechtigungswerte angezeigt. Zur Übernahme dieser Werte wählen Sie in der Auswahlliste Vorschlagsstatus die Option Y Ja aus und markieren im rechten Bereich des Fensters die gewünschten Werte. Klicken Sie dann auf Übernehmen. Nach der Bestätigung Ihrer Eingaben bestätigen Sie in der Berechtigungsvorschlagswertepflege die Berechtigungsfeldpflege mit einem Klick auf das grüne Häkchen, sodass der Status des Berechtigungsobjekts auf grün (gepflegt) steht. Fahren Sie ebenso mit weiteren Berechtigungsobjekten fort.
Die Transaktion SU10 unterstützt Sie als Benutzeradministrator bei der Massenpflege von Benutzerstammsätzen. Dazu können Sie die Benutzerdaten nun auch nach Anmeldedaten selektieren. Sie kennen das sicher: Sie haben Benutzer gesperrt, damit z. B. ein Support Package eingespielt werden kann. Einige Benutzer, wie z. B. Administratoren, sind davon nicht betroffen. Zur kollektiven Entsperrung möchten Sie nur die Benutzer mit einer Administratorsperre selektieren. Hierzu bietet sich das Werkzeug zur Massenpflege von Benutzern in der Transaktion SU10 an. Mithilfe dieser Transaktion können Sie nach Benutzern selektieren, um anschließend eine Aktion für alle selektierten Benutzer auszuführen. Bislang konnten Benutzer nur nach Adressdaten und Berechtigungsdaten selektiert werden.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Das Systemaudit des AIS deckt die allgemeinen Systemprüfungen und die Analyse der Benutzer und Berechtigungen ab.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet.