Gewährleistung einer sicheren Verwaltung
Konfigurationsvalidierung einsetzen
Das Setzen des Modifikationsflags, das zur Bestimmung der abzugleichenden Vorschlagswerte verwendet wird, ist ungenau. Lernen Sie ein neues Verfahren kennen, das Zeitstempel verwendet. Upgradenacharbeiten für Vorschlagswerte und Rollen müssen nicht nur bei einem Releasewechsel, sondern auch nach dem Einspielen von Plug-ins, Support Packages, Enhancement Packages oder weiteren Softwarekomponenten, wie z. B. Partnerlösungen, vorgenommen werden. Diese Nacharbeiten können aufwendig sein, wenn die zugrunde liegende Auswahl an Vorschlagswerten nicht eingeschränkt werden kann. Deshalb wurde in der Transaktion SU25 ein neues Verfahren eingeführt, das die zu vergleichenden Vorschlagswerte mithilfe eines Zeitstempels einschränkt.
Die Berechtigungsprüfungen werden als Teil des Systemtrace in Transaktion ST01 protokolliert. Er zeichnet alle Berechtigungsprüfungen samt der geprüften Berechtigungswerte für einen bestimmten Anwendungsserver auf und gibt mandantenabhängig an, ob die Berechtigungsprüfungen erfolgreich waren oder nicht. Die Darstellung des Trace ist nun verbessert worden (siehe auch SAP-Hinweis 1373111).
Alten Stand lesen und mit den neuen Daten abgleichen
Bei der Tabellenprotokollierung muss sichergestellt sein, dass der SAP®-Hinweis 112388 (protokollierungspflichtige Tabellen) vollständig umgesetzt ist und zusätzlich alle Tabellen, welche finanzrelevante Daten beinhalten, von der Protokollierung umfasst werden. Das gilt selbstverständlich auch für alle Z-Tabellen! Als letzten Punkt der wichtigen Parametereinstellungen sind jene für die Definition der Kennworteinstellungen. Hier sollte sichergestellt werden, dass die Parameter ebenfalls gemäß der Unternehmensvorgaben eingerichtet sind. Die Überprüfung sollte allerdings nicht nur auf die globalen, für alle Benutzer gültigen, Einstellungen liegen, sondern auch all jene Benutzer umfassen, welche eigene Sicherheitsrichtlinien zugewiesen wurden. Gerade für diese muss eine entsprechende Begründung schriftlich vorliegen.
Vollziehen Sie dieses Szenario einmal in Ihrem System nach. Beispielsweise können Sie aus der Transaktion MM50 in die Transaktion MM01 abspringen, ohne dass die Transaktionsstartberechtigung für die Transaktion MM01 explizit über das Berechtigungsobjekt S_TCODE vergeben sein muss. Sie sehen diesen Aufruf in Ihrem Systemtrace für Berechtigungen in der Spalte Zusatzinformation zur Prüfung. Dort erkennen Sie, dass die Berechtigungsprüfung beim Aufruf CALL TRANSACTION deaktiviert wurde. Der Anwender darf in die Transaktion MM01 springen, obwohl in der ihm zugewiesenen Rolle Z_MATERIALSTAMMDATEN nur Berechtigungen für die Transaktionen MM03 und MM50 verzeichnet sind.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Bevor Sie einen User-Exit in einer Validierung ausprägen können, sind einige Vorbereitungen zu treffen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Dies kann dazu führen, dass Änderungen nicht nachvollziehbar sind.