Funktionsbaustein BAPI_USER_GET_DETAIL
Mit der Fiori Launchpad Benutzerregistrierung IT-Abteilungen entlasten
Technische SAP-Benutzer, die mit weitreichenden Berechtigungen wie SAP_ALL ausgestattet sind, stellen ein erhöhtes Sicherheitsrisiko dar. Die Gefahr, dass durch Sicherheitslücken Schnittstellen gefährdet und Prozesse lahmgelegt werden, ist groß. Daher gerät die Berechtigungsverwaltung auch zunehmend ins Visier der Wirtschaftsprüfer. So stand einer unserer Kunden – ein Unternehmen aus dem Energiesektor – erst kürzlich vor der Herausforderung, die Berechtigungen seiner technischen Benutzer (Batch-Verarbeitung / RFC-Schnittstellen) einzuschränken.
Ungeachtet dessen, dass dem SYSTEM Benutzer mögliche Anwendungsberechtigungen auf mögliche Schemas, Views, Prozeduren oder weitere Datenbank-Artefakte fehlen, ist der SYSTEM Benutzer im Aufgabenfeld der Administration hoch privilegiert. Dies kann dazu führen, dass dieser Benutzer u. a. für die tägliche Administration der SAP HANA Datenbank oder als Kommunikationsbenutzer in Schnittstellen Anwendung findet. Aus diesem Grund ist es ratsam, mit Hilfe des Benutzers SYSTEM, dedizierte Benutzer und ein eigenständiges Rollenset für die Administration, Entwicklung, Support und Business Anwender zu erstellen. Welche Arten von Rollen in der SAP HANA Datenbank genutzt und erstellt werden können, ist im Blog Beitrag dargestellt.
SAP Named User Licenses
Sie können einen Benutzer anlegen, indem Sie einen bereits vorhandenen kopieren. Dabei können Sie die Standardwerte, Adresse und Parametereinstellungen übernehmen oder den Benutzer vollständig kopieren und unter einem neuen Namen anlegen.
Basierend darauf kann man das Berechtigungsprofil anpassen, falls ein SAP-Benutzer eine Transaktion nicht aufrufen darf, aber in dieser Auflistung aufgeführt wird. Wenn man die Aggregation auf “Anwendung” im Transaktionsprofil eingrenzt, kann es vorkommen, dass eine Anwendung “unbekannt” angezeigt wird. Hierbei liegt kein Fehler vor, sondern die Anwendung besitzt keine Anwendungskomponente. Hierfür kann man mit den Transaktionen SE93 und SE38 die Anwendungskomponente überprüfen und korrekt pflegen. Mehr Informationen findet man im SAP-System 2255115.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Benutzerverwaltung.
Klickt man auf eine einzelne Zeile doppelt, öffnet sich ein neues Fenster, das die verwendete Instanzen nach der Häufigkeit sortiert anzeigt.
Daher ist anhand der Berechtigungswerte in den Rollen nicht mehr erkennbar, welche Funktionen damit berechtigt werden.