Server-Administration
SMICM ICM Monitor vom Server
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Die Aufgaben der eigenen SAP-Basis-Abteilung wandeln sich bei vielen Unternehmen gerade enorm, da auch die SAP immer mehr auf Cloud Services setzt. Strategisch werden komplett selbst gehostete SAP-Systeme seltener und der Anteil der Kunden, die ein SAP-System aus der Cloud nutzen, steigt. Die neuen Rollen der SAP-Basis-Mitarbeiter sind eher „Möglichmacher“ und Koordinatoren zwischen Cloud-Anbieter und der internen IT sowie den Fachbereichen. Bis es so weit ist, können Unternehmen auch auf externe Dienstleister zurückgreifen, die für die Übergangszeit Experten-Knowhow sowie Betriebsunterstützung bieten.
Implementierung einer hochverfügbaren HANA-Datenlösung
Wenn Sie das CPU-Auslastungsprofil einer SAP-HANA- mit dem einer traditionellen Datenbank vergleichen, werden Sie charakteristische Unterschiede bemerken: Für SAP HANA werden Sie häufig kurzzeitige Lastspitzen bemerken, bei denen die CPU zu 100 % ausgelastet ist. Dieses Verhalten ergibt sich aus der Tatsache, dass SAP HANA Anfragen massiv parallelisiert und dabei kurzzeitig alle Prozessoren vollständig belegt. Kurzzeitige Lastspitzen sind also nicht automatisch als CPU-Engpass zu werten. Im Gegensatz beobachtet man bei traditionellen Datenbanken ein eher geglättetes Lastprofil, bei dem Auslastungen zu 100 % bei Normalbetrieb nicht zu beobachten sind.
Wenn die identifizierten Objekte aus dem SAP-Standard stammen, gilt: In Einzelfällen kann es notwendig sein, SAP-Standardobjekte und deren Eigenschaften (z. B. den Pufferungsstatus) zu ändern. Bevor Sie eine Änderung vornehmen, suchen Sie im SAP Support Portal nach Hinweisen mit dem Programm-, Tabellen- oder Nummernkreisnamen, die Ihnen bestätigen, ob die entsprechenden Objekte modifiziert werden dürfen. Ein derartiger Hinweis entspricht der logischen Analyse des Entwicklers. Eigenmächtige Änderungen können sowohl zu unerwarteten Performanceproblemen als auch zu logischen Inkonsistenzen führen.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Auf Multiprozessormaschinen mit mehr als zwei Prozessoren sollte die Zahl der maximal von der Datenbankinstanz genutzten Prozessoren in der Regel kleiner sein als die Zahl der physisch vorhandenen Prozessoren.
Die Größe der Trace-Datei in Byte wird durch den SAP-Profilparameter rstr/max_diskspace bestimmt, der standardmäßig auf 16.384.000 Byte eingestellt ist.