BERECHTIGUNGEN IN SAP-SYSTEMEN
Abfrage der Daten aus einer lokalen Tabelle
Für jede Form der automatisierten Ableitung von Rollen sollten Sie zunächst eine Organisationsmatrix definieren, in der die organisatorischen Anforderungen abgebildet werden. Hierzu müssen Sie in strukturierter Form zu jeder Organisation Daten hinterlegen.
Für ein Berechtigungskonzept muss ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige System und das zugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt, welche eine juristische Notwendigkeit zur erfolgreichen Umsetzung darstellen.
AGS Security Services nutzen
Sie möchten den Zugriff auf die Dateien des Anwendungsservers absichern? Erfahren Sie, welche Möglichkeiten Ihnen die Berechtigungsobjekte S_DATASET und S_PATH bieten, welche Einschränkungen bestehen und welche Fallstricke lauern. Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen. Die von SAP ausgelieferten Berechtigungsvorschläge zum Berechtigungsobjekt S_DATASET bieten Ihnen keine große Hilfestellung, und zu S_PATH gibt es praktisch keine Informationen, da Sie dieses Berechtigungsobjekt erst durch das Customizing der Tabelle SPTH aktivieren müssen. Häufig werden daher die Berechtigungen zu S_DATASET zu großzügig ausgeprägt, die Tabelle SPTH kaum gepflegt und S_PATH gar nicht benutzt. Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Abhängig von Ihrem SAP-NetWeaver-Releasestand müssen Sie den SAP-Hinweis 1731549 oder ein entsprechendes Support Package einspielen. Danach ist es nicht mehr möglich, neue Benutzer anzulegen, deren Namen nur aus Varianten von Leerzeichen oder nicht sichtbaren Sonderzeichen bestehen. Änderungen an bestehenden Benutzern sind aber weiterhin möglich. Über den ebenfalls in SAP-Hinweis 1731549 enthaltenen Customizing-Schalter BNAME_RESTRICT können Sie selbst steuern, ob Sie alternative Leerzeichen an bestimmten Stellen der Benutzer-ID erlauben möchten.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Bitte beachten Sie, dass in Abhängigkeit vom Ergebnis des Reports RSUSR003 eine System-Log-Meldung vom Typ E03 erzeugt wird.
Nach dem Einspielen des Hinweises wird die Transaktion SU10 um den Button Anmeldedaten erweitert.