Berechtigungskonzept – Benutzerverwaltungsprozess
System-Trace-Funktion ST01
Identifizieren Sie Schwachstellen in der Konfiguration Ihrer RFC-Schnittstellen, also RFC-Verbindungen, in denen Benutzer mit weitreichenden Berechtigungen (z. B. mit dem Profil SAP_ALL) eingetragen sind. Diese RFC-Verbindungen können für das sogenannte RFC-Hopping verwendet werden, bei dem Zugriffe auf ein SAP-System über eine solch umfangreich berechtigte RFC-Verbindung erfolgen.
Ihnen ist aufgefallen, dass sich der Pflegestatus der Berechtigungen in PFCG-Rollen ändert, wenn Sie Berechtigungsobjekte pflegen, ändern oder manuell hinzufügen? Erfahren Sie, was es mit den Berechtigungsstatus auf sich hat. Beim Löschen oder Hinzufügen von Transaktionen im Rollenmenü von PFCG-Rollen haben die jeweiligen Berechtigungen in der PFCG-Rolle den Pflegestatus Standard. Ergänzen oder ändern Sie die Berechtigungen, ändert sich der Pflegestatus entweder auf Gepflegt oder auf Verändert. Den Pflegestatus Manuell haben Sie vielleicht auch schon einmal gesehen. Welches sind die Hintergründe für diese Pflegestatus, und was sagen sie eigentlich aus?
RSUSR003
Haben Sie eigene Anwendungen erstellt, empfehlen wir Ihnen, dafür immer eine eigene Berechtigungsprüfung zu implementieren und sich nicht nur auf die Anwendungsstartberechtigungen wie S_TCODE, S_START, S_SERVICE und S_RFC zu verlassen. Möchten Sie Standardanwendungen um eigene Prüfungen erweitern, müssen Sie dafür erst die geeignete Stelle zur Implementierung der Prüfung finden. Um modifikationsfrei zu entwickeln, bietet SAP für solche Fälle User-Exits oder Business Add-ins (BAdIs). Einige SAP-Anwendungen haben außerdem eigene Frameworks im Einsatz, die ein modifikationsfreies Implementieren von eigenen Berechtigungsprüfungen erlauben, wie z. B. die Access Control Engine (ACE) in SAP CRM.
Bei einem Benutzertrace handelt es sich deshalb ebenfalls um einen Trace über einen längeren Zeitraum. Währung der Trace-Ausführung wird die Berechtigungsprüfung für jeden Benutzer genau einmal aufgezeichnet.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Zunehmend ist es möglich auf Automatisierungen im Security-Umfeld zurückzugreifen.
Bei einer Berechtigung für P_ABAP finden die üblichen Prüfungen auf Berechtigungsobjekte, wie z. B. P_ORGIN oder P_ORGINCON, nicht mehr statt oder werden vereinfacht.