Berechtigungskonzept des AS ABAP
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet. Die Aufbauorganisation definiert Verantwortlichkeiten und die Genehmigungshierarchie, die Ablauforganisation legt Prozessschritte und dafür erforderliche Aktivitäten und Berechtigungsobjekte in SAP fest. Das Berechtigungskonzept muss daher flexibel genug sein, um künftige Änderungen in der Organisation schnell und regelkonform umsetzen zu können.
Über die Customizing-Parameter in der Tabelle PRGN_CUST wird der Passwortgenerator in den Transaktionen SU01 und SU10 gesteuert. Die Werte der Profilparameter übersteuern die Einträge zu den Customizing-Parametern, damit keine ungültigen Passwörter generiert werden. Sollte also der Wert eines Customizing-Parameters kleiner sein als der Wert des korrespondierenden Profilparameters, wird stattdessen der Standardwert des Customizing-Parameters gezogen. Analog verhält es sich, wenn kein Wert gepflegt wurde.
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
Ist der Wildwuchs dadurch entstanden, weil das Berechtigungskonzept nicht eingehalten wurde, reicht eine Bereinigung aus. Wenn der Wildwuchs entstanden ist, weil es Fehler und Lücken im Berechtigungskonzept gibt, müssen diese Fehler identifiziert, beseitigt und die Berechtigungen optimiert werden. Ist das Konzept mittlerweile nicht mehr sinnvoll umsetzbar oder bereits falsch aufgebaut, ist eine Neuerstellung notwendig.
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie werden doppelte, vielleicht sogar dreifache Einträge von externen Services finden.