Gewährleistung einer sicheren Verwaltung
In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Security Automation bei HR Berechtigungen
Zunächst müssen die Softwareentwickler der Webanwendung geeignete Berechtigungsprüfungen implementieren und für die Nutzung bei der Rollenpflege in der Transaktion PFCG verfügbar machen. Dies beinhaltet auch die Vorschlagswertepflege in der Transaktion SU22. Alle hierzu notwendigen Details liefert der SAP-Hinweis 1413012 (neue wiederverwendbare Startberechtigungsprüfung).
Das Security Audit Log protokolliert nun auch Ereignisse, bei denen die Laufzeit über den Debugger beeinflusst wurde. In diesem Zusammenhang wurden auch neue Meldungstypen definiert. Zum Einspielen dieser Erweiterung benötigen Sie einen Kernel-Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in den SAP-Hinweisen 1411741 und 1465495.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Dafür wurden die maximale Anzahl markierter Meldungen in der Detailauswahl auf 40 Ereignisse erhöht, eine Vorwärtsnavigation für die dargestellten Objekte ergänzt und die Detailauswahl in Transaktion SM20 um die technischen Ereignisnamen ergänzt.