Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer
Anwendungsberechtigungen
Das ABAP-Berechtigungskonzept schützt Transaktionen, Programme und Services in SAP-Systemen vor unberechtigtem Zugriff. Auf der Grundlage des Berechtigungskonzepts vergibt der Administrator den Benutzern Berechtigungen, die festlegen, welche Aktionen ein Benutzer im SAP-System ausführen darf, nachdem er sich am System angemeldet hat und authentifiziert wurde.
Besitzt ein Unternehmen jedoch kein Konzept für das Einführen neuer SAP-Berechtigungen und werden diese stets mit neuen Rollen gekoppelt, wachsen die Rollen und Berechtigungen immer weiter an. Neue Module, neue Prozesse und neue Benutzergruppen führen sehr schnell zu vielen Berechtigungsgruppen, zahlreichen Berechtigungsrollen und einer komplexen Dokumentation - selbst unter der Annahme des Idealfalls, dass Unternehmen bei allen bisherigen Implementierungen & Erweiterungen die Dokumentation bspw. über Excel durchgeführt und aktuell gehalten haben. Welches Ziel hat eine Rolle? Welcher User besitzt welche Berechtigung? Durch die Menge an Rollen und Berechtigungen wird es für die Anwender schnell unübersichtlich. Auch die System-Performance leidet mit zunehmender Datenmenge.
Rollenmassenpflege mithilfe von eCATT vornehmen
Darüber hinaus sollten kritische Befehle von vornherein verboten werden. Beispiele sind EXEC SQL, der einen direkten Zugriff auf Datenbanktabellen unter Umgehung bestimmter Sicherheitsmechanismen ermöglicht, und CLIENT SPECIFIED, mit dem auf Daten in anderen Mandanten zugegriffen werden kann.
Abschließend müssen Sie die Ergebnisse der Vorarbeiten bewerten und umsetzen. Anhand der Übersicht können Sie ermitteln, welcher Benutzer welche Funktionsgruppen oder Funktionsbausteine benötigt und die Berechtigungsrollen entsprechend aufbauen. Dabei können Sie Aufrufe zur Destination NONE von Ihrer Auswertung ausnehmen, da es sich bei diesen Aufrufen immer um interne Aufrufe von RFC-Funktionsbausteinen handelt. In diesem Zusammenhang empfehlen wir Ihnen, die Zuordnungen auf kritische Funktionsbausteine bzw. Funktionsgruppen hin zu prüfen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Dafür wird das Berechtigungsobjekt S_TABU_CLI geprüft, das über Pflegeberechtigungen für mandantenunabhängige Tabellen entscheidet.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Nutzen Sie in SAP Access Control das Konzept der Business-Rollen, können Sie bei der Zuweisung einer Business-Rolle eine automatische Anlage der Benutzer im SAP NetWeaver AS ABAP und in der HANA-Datenbank sowie die Zuordnung der technischen ABAP- und HANA-Rollen (bzw. Privilegien) erreichen.