Berechtigungsprüfung
Anmeldung am Anwendungsserver einschränken
Identifizieren Sie Schwachstellen in der Konfiguration Ihrer RFC-Schnittstellen, also RFC-Verbindungen, in denen Benutzer mit weitreichenden Berechtigungen (z. B. mit dem Profil SAP_ALL) eingetragen sind. Diese RFC-Verbindungen können für das sogenannte RFC-Hopping verwendet werden, bei dem Zugriffe auf ein SAP-System über eine solch umfangreich berechtigte RFC-Verbindung erfolgen.
Neues vom Systemtrace für Berechtigungen! Hier wurden Funktionen ergänzt, die das Aufzeichnen und die Rollenpflege deutlich vereinfachen. Bei der Pflege von Berechtigungswerten in PFCG-Rollen sowie bei der Fehlersuche ist die Verwendung des Systemtrace für Berechtigungen unumgänglich. Hier haben SAP-Kunden sich in der Vergangenheit mehr Benutzerfreundlichkeit gewünscht, da die Traceauswertung zum Teil unübersichtlich ist.
Traceauswertung optimieren
Beim Durchlauf der Rollen wird nach sich unterscheidenden Wertebereichen für das betreffende Feld innerhalb einer Rolle gesucht. Es findet eine automatische Bereinigung statt, indem beide Wertebereiche zusammen in alle Felder geschrieben werden. Daher sollten Sie solche Einträge bereits vorher bereinigen und gegebenenfalls zwei unterschiedliche Rollen erstellen. Der Report PFCG_ORGFIELD_CREATE bietet einen Testlauf an, mit dem Sie alle betroffenen Rollen identifizieren können. Die Spalte Status gibt einen Überblick über den Stand der Berechtigungswerte. Ist der Status gelb, gibt es unterschiedliche Wertebereiche für das Feld innerhalb der Rolle; die Rolle muss also bereinigt werden.
Stellen Sie sicher, dass Referenzbenutzern nur minimale Berechtigungen zugeordnet werden, um zu weitreichende Berechtigungen der Dialogbenutzer zu vermeiden. Es sollte keine Referenzbenutzer mit Berechtigungen geben, die ähnlich umfangreich sind wie das Profil SAP_ALL.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Das Security Audit Log protokolliert nun auch Ereignisse, bei denen die Laufzeit über den Debugger beeinflusst wurde.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Den Zugriff auf Projekte im IMG können Sie über Customizing-Berechtigungen verwalten und so den Benutzerkreis gezielt einschränken.