Den Zeichenvorrat für die Benutzer-ID einschränken
Texte in Berechtigungsrollen übersetzen
Sie können Hintergrundjobs in den Transaktionen SM36 und SA38, aber auch in einer Vielzahl von Anwendungstransaktionen einplanen. Dabei ist es wichtig zu wissen, dass für die Anlage, Änderung usw. der eigenen Jobs keine speziellen Berechtigungen nötig sind. Eine Ausnahme hiervon ist die Freigabe von Hintergrundjobs; diese ist über eine Berechtigung geschützt. Für die Aktivitäten auf den Hintergrundjobs von anderen Benutzern sind ebenfalls Berechtigungen notwendig, In der SAP-Hintergrundverarbeitung gibt es die folgenden Berechtigungsobjekte: S_BTCH_JOB regelt die Zugriffsrechte auf die Jobs anderer Benutzer. S_BTCH_NAM ermöglicht die Einplanung von Programmen unter einer anderen Benutzerkennung. S_BTCH_ADM erteilt übergeordnete Berechtigungen, die in der Regel nur von Administratoren benötigt werden.
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Kritikalität
Es besteht jedoch die Möglichkeit, innerhalb jedes Auftrags dieselbe Rolle in mehrere Aufgaben unterschiedlicher Bearbeiter aufzunehmen. Dies erhöht die Transparenz für Sie, da alle Beteiligten sofort erkennen können, durch welche Benutzer die jeweilige Rolle bearbeitet wird. Bevor Sie die Verwendung der Einstellung aus der Transaktion SCC4 für die Rollenpflege aktivieren, sollten Sie bestehende Rollentransporte freigeben, um Aufzeichnungskonflikte zu vermeiden. In der Regel wählen Sie die Einstellung nicht in Abhängigkeit von Ihren Rollenpflegeprozessen; Sie müssen sich also gut überlegen, wie sich die Aktivierung auswirkt.
Das Security Audit Log kann ab SAP NetWeaver 7.31 auch kundenspezifische Ereignisse eingeschränkt protokollieren. Dazu werden die Ereignisdefinitionen DUX, DUY und DUZ für Kunden reserviert und mit einer Dummy-Ausprägung ausgeliefert. Für diese Ereignisse können Sie dann mittels des Funktionsbausteins RSAU_WRITE_CUSTOMER_EVTS individuell konfigurierbare Meldungen definieren. Zuerst müssen Sie hierzu die zusätzlich notwendigen Ereignisse identifizieren und deren Meldungstexte und Variablen definieren. Beachten Sie hierbei, dass Sie später keine Änderungen mehr an der Bedeutung der Meldung und der Anordnung der Variablen vornehmen dürfen, denn dies würde die Lesbarkeit älterer Protokolldateien verhindern. Abschließend müssen Sie noch die neuen Meldungsdefinitionen in Ihre Filter aufnehmen (Transaktion SM19). Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1941526. Da die Nutzung dieser Funktionalität umfangreiches Wissen über das Security Audit Log voraussetzt, sollten Sie unbedingt auch die Empfehlungen in SAP-Hinweis 1941568 berücksichtigen und sich durch einen Basisberater unterstützen lassen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Nach der erfolgten Kopie sollten Sie die mandantenabhängigen Änderungsbelege löschen; dies gilt ebenso für die mandantenunabhängigen Änderungsbelege (z. B. Berechtigungsvorschlagswerte, Tabellenprotokolle), wenn Sie die Mandantenkopie in ein neues System durchgeführt haben.
Auf der Registerkarte Variablen 1 werden die Variablen mit den jeweiligen Werten, die für diese Berechtigungsprüfung herangezogen werden, angezeigt.