Kundeneigene Berechtigungen
SIVIS as a Service
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
Ein Anwender meldet sich, dass ihm ein Berechtigungsfehler angezeigt wird, obwohl Sie ihm die erforderlichen Berechtigungen erteilt haben. Dies könnte an einer fehlerhaften Pufferung der Berechtigungsdaten liegen. Obwohl einem Benutzer eine Rolle mit den korrekten Berechtigungsdaten zugeteilt wurde, wird diesem Benutzer ein Berechtigungsfehler aufgrund von fehlenden Berechtigungen angezeigt. Dies mag auf den ersten Blick überraschen, kann aber fast immer durch eine kurze Analyse behoben werden.
E-Mails verschlüsseln
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Solange die entsprechenden Tests sowohl im Entwicklungs- als auch im Qualitätssicherungssystem nicht abgeschlossen sind, wird den Testern zusätzlich zu ihren bisherigen Rollen das Profil SAP_NEW zugewiesen. Auf diese Weise wird gewährleistet, dass die Geschäftsvorfälle ohne Berechtigungsfehler durchlaufen werden können. Mit parallel aktivierten Berechtigungstraces (Transaktionen ST01 oder STAUTHTRACE) können die benötigten Berechtigungen ermittelt und dem Benutzer über die entsprechenden Rollen zugewiesen werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Per Doppelklick gelangen Sie dann zum Pflegebild für die Schlüsselliste, in der Sie einen Eintrag mit * anlegen müssen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet.