WEITERE DIENSTLEISTUNGEN
PFCG Rollenpflege
Ein BW-System spielt häufig in größeren Unternehmen eine sehr zentrale Rolle. Hier werden die Daten von den verschiedenen angebundenen Quellsystemen zentral ausgewertet und reportet. Ein früherer Kunde von mir hatte ein BW-System, an welches insgesamt über 20 andere SAPProduktivsysteme angeschlossen waren. Bei so einer großen und meist lebendigen System- Landschaft ist es normal, dass von Zeit zu Zeit einzelne Systeme zurückgebaut werden. Gerade bei großen SAP-Landschaften gibt es allerdings strenge Regelungen betreffend Berechtigungen von technischen RFC-Nutzern. Aus diesem Grund wird das einfache "Rechtsklick --> Löschen" eines Quellsystems in der RSA1 häufig nicht zum Ziel führen, sondern in eine gescheiterte Berechtigungsprüfung. Mit diesem Blogbeitrag zeige ich Ihnen einen Workaround, wie sie ein Quellsystem sauber von einem BW-System trennen können mit Hilfe der Funktionsbausteine RSAR_LOGICAL_SYSTEM_DELETE und RSAP_BIW_DISCONNECT.
Eine SAP-Landschaft setzt sich aus zahlreichen einzelnen, untereinander vollständig kompatiblen Modulen zusammen, mit denen die Geschäftsprozesse aller Unternehmensbereiche abgebildet werden können. SAP Basis dient dazu, die Funktionsfähigkeit der einzelnen Module zu gewährleisten.
Zuerst ruft man in der Transaktion SE37 den Funktionsbaustein SWNC_COLLECTOR_GET_AGGREGATES auf mit folgenden Parametern auf:
Entweder werden zeitweise Programmaufrufe blockiert, die eigentlich erwünscht sind oder es müssen enorm große Gateway-Logs analysiert werden. Würde man sich nun aufgrund des hohen Arbeitsaufwands dazu entscheiden, dauerhaft auf die Nutzung der Zugriffskontrolllisten zu verzichten, stellt dies eine große Sicherheitslücke dar. Das ungeschützte System besitzt keine Einschränkungen bezüglich der externen Dienste, die sich registrieren dürfen und darüber hinaus sind auch keine Regelungen zur Ausführung von Programmen vorhanden. Eine mögliche Konsequenz wäre beispielsweise die Registrierung eines externen Systems auf dem bösartige Programme vorhanden sind. In dem Moment, wo ohne jegliche Kontrolle fremde Programme auf dem eigenen System ausgeführt werden, kann man davon ausgehen, dass großer Schaden angerichtet wird. Dieser reicht beispielsweise von einem unbemerkten Auslesen von Einkaufs- und Verkaufszahlen über ein Abzweigen finanzieller Mittel bis hin zu einem Lahmlegen oder Manipulieren des gesamten Systems. Darüber hinaus ist dieses Szenario auch bei schlecht gepflegten Zugriffskontrolllisten möglich. Unsere Lösung: secinfo und reginfo Generator für SAP RFC Gateway Um das Problem zu lösen, haben wir einen Generator entwickelt, der auf Basis von Gateway-Logs automatisiert secinfo und reginfo Dateien erstellen kann. Die grundlegende Idee basiert auf dem Logging-basierten Vorgehen. Er übernimmt die Aufgabe der zeitintensiven Analyse der Log-Dateien und gewährt darüber hinaus durch die Automatisierung eine maximale Zuverlässigkeit. Dennoch sollten die Einträge der generierten Dateien von einer Person überprüft werden. Da es sich bei den als Input genutzten Log-Dateien um sensible Daten handelt, verlassen selbstverständlich keine der eingefügten Daten Ihr System. Weitere Informationen zu dem Generator finden Sie hier.
Diese Liste erhebt nicht den Anspruch auf Vollständigkeit, sie soll vielmehr die Komponenten einführen, die Ihnen begegnen. Die vollständige Komponentenübersicht von SAP NetWeaver finden Sie auf der SAP-Homepage unter http://scn.sap.com/community/netweaver. Die Datenbank ist das Medium zur permanenten Speicherung von Daten. Neben den SAP-eigenen relationalen Datenbanken (SAP HANA, SAP MaxDB, Sybase ASE) unterstützt SAP die Verwendung von Datenbanken wichtiger Hersteller (IBM, Oracle, Microsoft).
Verwenden Sie "Shortcut for SAP Systems", um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
Modi, die vom Benutzer auf diese Weise explizit geöffnet werden, heißen externe Modi.
Sollten Sicherheitsdefizite entdeckt worden sein, geben wir Handlungsempfehlungen, wie Sie die Mängel beheben können.