Benutzerstammdaten
Berechtigungskonzepte in SAP Systemen
Spielen Sie die SAP-Hinweise 1656965 und 1793961 in Ihr System ein. Mit diesen Hinweisen wird der Report RSUSR_LOCK_USERS ausgeliefert bzw. erweitert. Dieser Report unterstützt die automatisierte Selektion und Sperrung von inaktiven Benutzern. Dazu müssen Sie im Selektionsbild des Reports RSUSR_LOCK_USERS die Kriterien auswählen, nach denen Sie Benutzer sperren bzw. ungültig setzen möchten. Die Auswahl der Benutzer können Sie anhand verschiedener Kriterien bestimmen. Es empfiehlt sich hierbei besonders, den Zeitraum seit der letzten Anmeldung im Feld Tage seit letzter Anmeldung und den Passwortstatus im Feld Tage seit Kennwortänderung zu berücksichtigen. Sie haben die Möglichkeit, das Ergebnis der Selektion zu prüfen und sich die gefundenen Benutzer anzeigen zu lassen. Wählen Sie dazu im Bereich Auswahl der Aktion die Aktion Test der Selektion aus. Auch können Sie in diesem Bereich zwischen den Maßnahmen Sperren der Benutzer (Lokale Sperre) und Entsperren der Benutzer (Lokale Sperre) wählen. Das Ende der Gültigkeit eines Benutzers können Sie durch Anklicken der entsprechenden Optionen für »heute« oder »gestern« festlegen. Beachten Sie dabei, dass Sie die Gültigkeit nur für aktuell gültige Benutzer setzen können.
Um Tabellenberechtigungen in der Transaktion PFCG zu definieren, reicht es nicht zwingend aus, wenn Sie im Rollenmenü die generischen Tabellenanzeigewerkzeuge, wie z. B. die Transaktionen SE16 oder SM30, angeben. Die Vorschlagswerte für diese Transaktionen sind sehr allgemein und sehen nur vor, die Berechtigungsobjekte S_TABU_DIS oder S_TABU_CLI zu verwenden. Explizite Werte müssen Sie in Abhängigkeit von den von Ihnen zur Berechtigung ausgewählten Tabellen eintragen. Möchten Sie den Zugriff auf die Tabellen explizit über das Berechtigungsobjekt S_TABU_NAM gewähren, können Sie für jeden Tabellenzugriff eine Parametertransaktion erstellen. Mithilfe einer Parametertransaktion kann man Tabellen z. B. über die Transaktion SE16 aufrufen, ohne den Tabellennamen im Selektionsbildschirm angeben zu müssen, da dieser übersprungen wird. Für die erstellte Parametertransaktion können Sie anschließend Vorschlagswerte pflegen.
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Viele Unternehmen konvertieren gerade ihre aktuellen SAP Systeme von einem ERP Stand auf ein SAP S/4HANA System. Durch diese Konvertierung kommen auf die jeweiligen Unternehmen viele technische und auch organisatorische Komponenten zu. Hierbei ist der Zeitfaktor zur Ermittlung, Organisation und Implementierung der notwendigen Komponenten nicht zu unterschätzen. Der Bereich Security wird hierbei oft gedanklich vernachlässigt, kann aber im Nachhinein zu großen Problemen und ggf. imagebedingten Schäden – und daraus resultierenden finanziellen Einbußen – führen. Daher sollte die Implementierung eines vollumfänglichen Berechtigungskonzeptes so früh wie möglich innerhalb der Projektphase berücksichtigt werden, da hier mehrere Komponenten ineinandergreifen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Sie sehen hier die Ergänzungen der Berechtigungswerte für Ihr Berechtigungsobjekt.
Spielen Sie die Korrektur ein, ist es möglich, für die dritte und vierte Stelle des generierten Profilnamens eigene Positionen zur Definition zu verwenden.