BERECHTIGUNGEN IN SAP-SYSTEMEN
SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
Sie verwenden die Zentrale Benutzerverwaltung und fragen sich, warum Sie die Lizenzdaten trotzdem einzeln in den angeschlossenen Systemen auswerten müssen. Das muss nicht sein, denn eine zentrale Auswertung ist möglich! Für die Nutzung von SAP-Systemen fallen Lizenzkosten an, und Sie brauchen entsprechende SAP-Lizenzschlüssel. Die Höhe Ihrer Lizenzkosten wird im laufenden Betrieb ermittelt, abhängig von der Anzahl der Benutzer und der genutzten Funktionen der SAP-Software. Dazu dient das Vermessungsprogramm (Transaktion USMM), dessen Ergebnisse Sie an SAP übermitteln. Dabei ist nicht nur die Anzahl der Benutzer relevant, sondern auch deren Klassifizierung, die sogenannten Nutzertypen. Diese ordnen Sie dem Benutzer über die Transaktion SU01 oder die Transaktion SU10 (Registerkarte Lizenzdaten) zu. Alternativ können Sie den Benutzer auch den Nutzertyp eines Referenzbenutzers erben lassen oder ihn über eine zugeordnete Rolle klassifizieren. Dies erfolgt analog, wenn Sie die Zentrale Benutzerverwaltung (ZBV) nutzen. Bisher gab es aber keine zentrale Auswertung der Daten aller an die ZBV angeschlossenen Systeme. Dies hat sich nun geändert, und wir zeigen Ihnen, wie Sie diese Auswertung nutzen können.
Möchten Sie nun den Debugger verwenden, können Sie direkt aus dem Quelltext einen Session Breakpoint über den Button setzen. Sobald Sie die Anwendung aufrufen und die relevante Stelle im Code erreicht wird, startet der Debugger, und Sie können sich schrittweise durch das Programm bewegen. Achten Sie darauf, externe Breakpoints über den Button zu setzen, wenn Sie Ihre Anwendung nicht über SAP GUI, sondern über den Browser aufrufen.
SAP Code Vulnerability Analyzer verwenden
Native oder analytische Kacheln: Diese Kachel funktionieren ausschließlich in der FIORI Oberfläche und sind an die neue Technologie angepasst. Hier werden z.B. push Meldungen auf der Kachel angezeigt, oder es werden Kennzahlen, Diagramme etc. angezeigt, die dann per Klick direkt weiterverarbeitet werden können. Diese Kacheln haben keinen direkten GUI Zugriff, bzw. können direkt in der GUI Umgebung nicht genutzt werden. Wie bereits oben erwähnt, wird der Zugriff auf diese Kacheln in einem sogenannten Front-End-System über entsprechende Kataloge und Gruppen zur Verfügung gestellt. Die dahinterliegenden konzeptionellen Berechtigungen (wer darf was innerhalb der Funktionalität der Kachel) folgt aber den gleichen Prozessen wie in der „alten Welt“ beim Transaktions Zugriff. Die Kachel im Front-End benötigt hier entsprechende abhängige ausgeprägte Berechtigungen (Stichwort:SU24 Abgleich). Im Back-End-System, dann wiederum – analog der „alten“ Welt – über eine Rolle, die im Profilgenerator aufgebaut und auf Objekt und Feld Ebene gepflegt, bzw. eingestellt wird. Natürlich müssen auch hier dann noch u.a. die Themen wie Update von internen und Third-Party Tools, Integration von Cloud Lösungen, moderne hybride Infrastrukturen, Definition und Betrieb bei laufenden dynamische Veränderungen, usw. berücksichtigt werden.
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Im folgenden Beispiel enthält die Rolle MODELING die Berechtigung für die Nutzung des Objekts _SYS_BI mit der Einschränkung auf die Privilegien EXECUTE, SELECT, INSERT, UPDATE und DELETE.
Das Ziel ist es, ein möglichst sicheres System zu schaffen sowie die Komplexität und Anzahl der Rollen so gering wie möglich zu halten.