User- & Berechtigungs-Management mit SIVIS as a Service
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Zwei weitere sehr wichtige Einstellungen sind die Aktivierung des Security Audit Logs und der Tabellenprotokollierung. Beide Parameter müssen aktiviert sein, um in weiterer Folge die Nachvollziehbarkeit auf Benutzer- aber auch auf Tabellenebene zu gewährleisten. Es sollte also überprüft werden, ob die Detaileinstellungen für das Security Audit Log gemäß den Unternehmensvorgaben eingerichtet sind und auf jeden Fall ausnahmslos alle Benutzer mit umfassenden Berechtigungen, wie z.B. SAP_ALL, vollständig von der Protokollierung umfasst sind.
Werden RFC-Funktionsbausteine über RFC-Verbindungen (z.B. von einem RFC-Client-Programm oder einem anderen System) aufgerufen, wird im aufgerufenen System eine Berechtigungsprüfung auf das Berechtigungsobjekt S_RFC ausgeführt. Bei dieser Prüfung wird der Name der Funktionsgruppe geprüft, zu der der Funktionsbaustein gehört. Schlägt diese Prüfung fehl, prüft das System auch die Berechtigungen für den Namen des Funktionsbausteins. Konfigurieren Sie diese Prüfung mit dem Parameter auth/rfc_authority_check.
ABAP-Quelltexte über RFC installieren und ausführen
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Müssen die Berechtigungen für eine selbst entwickelte UI-Komponente für den SAP CRM Web Client immer manuell gepflegt werden? Nicht unbedingt – wenn Sie sie als Vorschlagswerte für externe Services definieren. Haben Sie in SAP CRM eigene UI-Komponenten im Kundennamensraum entwickelt, und möchten Sie diese nun über den Standardprozess berechtigen, d. h. mithilfe des Reports CRMD_UI_ROLE_PREPARE ein Rollenmenü für eine PFCG-Rolle erstellen, müssen Sie zunächst einige Vorarbeiten leisten. Wenn Sie den Report ausführen, werden Sie feststellen, dass die externen Services zu Ihren Eigenentwicklungen nicht vorhanden sind und somit auch nicht im Rollenmenü auftauchen. Der einzige Weg zur Berechtigung Ihrer UI-Komponenten wäre nun ein manuelles Pflegen des Berechtigungsobjekts UIU_COMP. Jedoch können Sie Ihre eigenen UI-Komponenten als externe Services mit Vorschlagswerten in der Transaktion SU24 pflegen und sich diese Informationen in der PFCG-Rollenpflege zunutze machen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die Größe des Ringpuffers wird aus der Anzahl der definierten Workprozesse berechnet.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Dies verringert Ihren administrativen Aufwand für die Pflege funktionaler Berechtigungen und reduziert den Pflegeaufwand für Rollenableitungen auf das Anpassender sogenannten Organisationsfelder.