Wichtige Komponenten im Berechtigungskonzept
System-Trace-Funktion ST01
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden.
Das Three-Lines-of-Defense-Modell dient zur systematischen Herangehensweise an Risiken, die in Unternehmen auftreten können. Es bindet sowohl die operativen Kontrollen und auch das Risikomanagement, die Informationssicherheit und die interne Revision ein. Die durch die SAP-Berechtigungen entstehenden Risiken können hiermit bewertet und eingestuft werden. Die Überwachung der Risiken fließt in die Prozesse ein, so dass hier eine ständige Kontrolle durch verschiedene Instanzen erfolgt. Dies reduziert die Risiken erheblich und stellt eine saubere Berechtigungsvergabe sicher.
Analyse von Berechtigungen
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Haben Sie eigene Anwendungen erstellt, empfehlen wir Ihnen, dafür immer eine eigene Berechtigungsprüfung zu implementieren und sich nicht nur auf die Anwendungsstartberechtigungen wie S_TCODE, S_START, S_SERVICE und S_RFC zu verlassen. Möchten Sie Standardanwendungen um eigene Prüfungen erweitern, müssen Sie dafür erst die geeignete Stelle zur Implementierung der Prüfung finden. Um modifikationsfrei zu entwickeln, bietet SAP für solche Fälle User-Exits oder Business Add-ins (BAdIs). Einige SAP-Anwendungen haben außerdem eigene Frameworks im Einsatz, die ein modifikationsfreies Implementieren von eigenen Berechtigungsprüfungen erlauben, wie z. B. die Access Control Engine (ACE) in SAP CRM.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Dabei ist auch zu gewährleisten, dass für diverse Change-Arten entsprechende Klassifikationen definiert sind.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie möchten nun die Tabellen bzw. die erstellten Parametertransaktionen, die den Zugriff nur auf bestimmte Tabellen erlauben, ermitteln, um für diese Vorschlagswerte in der Transaktion SU24 zu pflegen? Auf diese Weise wird das Pflegen von PFCG-Rollen erleichtert.