Support Package (Stack) Updates
ABAP for HANA
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, zB durch die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind sogenannte Access-Control- Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen können, um Ihr SAP System noch besser zu schützen. Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACLDateien wie die secinfo und reginfo-Dateien. Was ist eine ACL? Access-Control-Lists sind Dateien in denen erlaubte oder verbotene Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden Programm, wird es blockiert. Netzwerkbasierte ACL Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische Clients.
Damit Fiori Applikationen den aufrufenden Usern entsprechend angezeigt werden, müssen entsprechende Fiori Berechtigungen in der PFCG gepflegt werden. Hierbei gibt es einige Punkte zu beachten. In diesem Artikel wird auf die notwendigen Berechtigungen zum Starten einer Fiori Applikation eingegangen. Zusätzlich wird kurz erklärt, wie die angezeigten Kacheln im Fiori- Launchpad über Rollen konfiguriert werden können. Zum Ausführen von Fiori Applikationen aus dem Launchpad und der in den OData-Services definierten Berechtigungsabfragen müssen auch die entsprechenden Fiori Berechtigungsobjekte in der PFCG gepflegt werden. Hier sind die Startberechtigungen für den OData-Service der Applikation im Backend-System sowie Berechtigungsobjekte für die Geschäftslogik der in der Applikation genutzten OData-Services relevant. Generell ist wichtig zu wissen, dass bei einer richtigen Implementierung von Fiori Berechtigungen sowohl Berechtigungen im Frontend-Server (Aufruf Launchpad, Starten der Kachel, usw), als auch entsprechende Berechtigungen im Backend-Server (Aufrufen der OData-Services aus dem Backend) gepflegt werden müssen. Dies wird in diesem Artikel noch genauer erläutert.
Analyse von Fehlern und Optimierungen
Mit der Basisversion 7.40 (Kernel 7.40) treten folgende Neuerungen in Kraft: Der Roll-Memory ist komplett in den Extended Memory integriert worden, die entsprechenden Parameter, die das Verhalten des RollBereichs definieren, sind obsolet (SAP-Hinweis 2085980). Der Tabellenpuffer liegt nun im SAP EG Memory. Durch die Umverteilung dieser Speicherbereiche steht damit netto weniger SAP Extended Memory für die Benutzerkontexte zur Verfügung, obwohl sich in der Summe der Speicherbedarf nicht geändert hat. Durch eine zu knappe Einstellung von SAP Extended Memory (em/initial_size_MB) und SAP EG Memory (em/global_area_MB) kann das damit zu logischen Speicherengpässen führen. Diese Parameter müssen also entsprechend vergrößert werden (siehe SAP-Hinweis 2148571). Alternativ sollten Sie erwägen, mit Version 7.40 auch auf UNIX-Plattformen auf das Zero Administration Memory Management umzusteigen und sich erst einmal auf dessen Einstellungsvorschläge zu verlassen.
Außerdem kann im unteren Bereich auch der Wert für abap/heap_area_total dynamisch gesetzt werden. Sobald Sie auf den "Übernehmen" Button klicken sind die Werte bis zum nächsten Neustart Ihres Systems geändert. Außerdem stellt der Report auch noch Möglichkeiten zur Verfügung, den globalen erweiterten Speicher (Extended Global Memory) zu analysieren, die hinter den beiden Buttons "EG Übersicht" und "EG Dump" verborgen sind.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Basis erheblich erleichtert.
Alle bisher aufgeführten Zeiten werden direkt vom SAP-Workprozess ermittelt, d. h., immer wenn die betreffende Aktion läuft, läuft eine Uhr mit.
Die Datenbankebene kann auf mehrere Rechner verteilt werden.