Ausprägungen SAP Berechtigungskonzept
Transaktion PFUD regelmäßig einplanen
RFC – Verbindungen sind gleichermaßen Schnittstelle für viele lokale und globale Systemprozesse, aber auch eine sicherheitsrelevante Fehlerquelle vieler Unternehmen. Die RFC Schnittstellen und dazugehörige Systembenutzer sind oftmals mit zu starken Berechtigungen ausgeprägt und können schnell von unberechtigten Personen missbraucht werden, um sensible Firmendaten einzusehen. Daher ist es wichtig, diese Systemverbindungen immer im Fokus des globalen Monitorings zu halten und zu prüfen, welche RFC Destinationen, wohin führen und was sie bewirken. Dafür gibt es das Programm RSRFCCHK wodurch Sie gezielte Tests für ihre RFC Systemlandschaft durchführen können. Dabei wird einerseits der Inhalt der Tabelle RFCDES geprüft und anderseits auch die dazugehörigen Benutzereigenschaften der Systembenutzer als Überblick dargestellt. Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
Sie können sich die Inhalte der geprüften Berechtigungsfelder anschauen, indem Sie doppelt auf die jeweiligen Variablen klicken. Auf der Registerkarte Variablen 1 werden die Variablen mit den jeweiligen Werten, die für diese Berechtigungsprüfung herangezogen werden, angezeigt. Diese Werte entsprechen den Werten, die Sie auch im Systemtrace für Berechtigungen sehen. Wenn eine Berechtigungsprüfung mit SY-SUBRC = 0 endet, obwohl keine passenden Berechtigungen vorliegen, prüfen Sie, ob die Prüfung lokal über die Transaktionen SU24 oder global über die Transaktion SU25 bzw. AUTH_SWITCH_OBJECTS abgeschaltet wurde.
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Als zweite Möglichkeit zur Automatisierung der Massenpflege von Rollenableitungen haben wir die Nutzung des Business Role Managements angesprochen. Auf dem Markt werden verschiedene Lösungen angeboten, die diese Funktionalität in gleicher bzw. ähnlicher Form anbieten. Manche dieser Lösungen nutzen das Ableitungskonzept nicht; dies hat den Vorteil, dass die Organisationsmatrix nicht nur auf Organisationsfelder beschränkt ist. Nachteilig ist bei dieser Variante aber die größere Abweichung von den Standardfunktionalitäten der PFCG-Rolle.
Alle Konfigurationsmöglichkeiten zu beschreiben, würde den Umfang dieses Tipps sprengen. Sollten Sie Erläuterungen zu einem Customizing-Schalter benötigen, die hier nicht aufgeführt sind, suchen Sie nach dem relevanten Hinweis über die Tabelle SSM_CID. Alle hier beschrieben Einstellungen nehmen Sie über die Transaktion SM30 vor. Dabei müssen Sie berücksichtigen, dass alle Einstellungen in den Tabellen SSM_CUST, SSM_COL und PRGN_CUST mandantenunabhängig sind; nur die Einstellungen der Tabelle USR_CUST sind mandantenabhängig.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Wir zeigen Ihnen nun, wie Sie die neuen Funktionen des SAP NetWeaver Application Servers ABAP verwenden können, um mehr Transparenz beim Upgrade der Vorschlagswerte und Abmischen der PFCG-Rollen zu erhalten.
Wenn eine Berechtigungsprüfung mit SY-SUBRC = 0 endet, obwohl keine passenden Berechtigungen vorliegen, prüfen Sie, ob die Prüfung lokal über die Transaktionen SU24 oder global über die Transaktion SU25 bzw. AUTH_SWITCH_OBJECTS abgeschaltet wurde.