RFC-Schnittstellen
Inhalte des Profils SAP_ALL anpassen
Die Anforderungen im dritten Beispiel, die Postenjournalanzeige (Transaktion FAGLL03) zu filtern, können Sie mithilfe des BAdIs FAGL_ITEMS_CH_DATA umsetzen. Dabei sollen, abhängig von den erteilten Berechtigungen, bestimmte Posten oder Belege von der Anzeige ausgeschlossen werden. Die Definition des BAdIs können Sie über die Transaktion SE18 einsehen, und in der Transaktion SE19 legen Sie eine Implementierung des BAdIs im Kundennamensraum an.
Sicherheitshinweise korrigieren Schwachstellen in der SAP-Standardsoftware, die intern oder extern ausgenutzt werden können. Sorgen Sie mithilfe der Anwendung »Systemempfehlungen« dafür, dass Ihre Systeme auf dem aktuellen Stand sind. SAP-Software wird hohen Qualitätssicherungsstandards unterzogen – trotzdem kann es zu Sicherheitslücken im Code kommen. Diese Sicherheitslücken können im schlimmsten Fall externen und internen Eindringlingen Tür und Tor öffnen. In einschlägigen Internetforen ist es nicht schwer, Anleitungen zur Ausnutzung dieser Sicherheitslücken zu finden. Ein Berechtigungskonzept ist nur so gut wie der Code, der die Berechtigungsprüfungen ausführt. Findet keine Berechtigungsprüfung im Code statt, kann auch das Berechtigungskonzept den Zugriff nicht einschränken. Aus diesen Gründen hat SAP den Security Patch Day (jeden zweiten Dienstag im Monat) eingeführt, der Ihnen eine bessere Planung für die Implementierung der Sicherheitshinweise ermöglichen soll. Zusätzlich können Sie die Anwendung Systemempfehlungen im SAP Solution Manager nutzen, um eine detaillierte, systemübergreifende Übersicht der benötigten Sicherheitshinweise zu erhalten. Der Systemstatus und die bereits implementierten SAP-Hinweise werden dabei berücksichtigt. Sorgen Sie mit dieser Unterstützung dafür, dass sich Ihre Systemlandschaft auf dem aktuellen Sicherheitsstand befindet.
GRUNDLAGEN ZUR NUTZUNG VON SAP REPORTS
Legen Sie eine Nachricht an, die dem Benutzer bei fehlgeschlagenen Berechtigungsprüfungen angezeigt werden soll. Die Prüfungen in diesem User-Exit können Sie relativ frei gestalten. So können Sie Tabelleneinträge lesen, Daten aus dem Speicher der ABAP-Anwendung ablegen oder dort bereits vorhandene Daten auslesen. Eingeschränkt sind Sie allerdings durch die Schnittstellenparameter der Anwendung. In unserem Beispiel sind dies die Strukturen BKPF und BSEG sowie die Systemvariablen. Sollten Ihnen die Informationen aus den Schnittstellenparametern nicht für die Prüfung ausreichen, können Sie mithilfe Ihrer Programmierkenntnisse und dem Wissen über die Zusammenhänge der Substitution und Validierung im Finanzwesen zusätzliche Daten ermitteln. Mit dem folgenden Coding können Sie die selektierten Posten zum Ausgleichsbeleg ermitteln, die Sie in der Tabelle POSTAB (mit der Struktur RFOPS) im Programm SAPMF05A finden können. Auf diesem Weg können Sie viele zusätzliche Daten ermitteln. Wichtig ist dabei, dass das Rahmenprogramm die User-Exits prozessiert.
Kundeneigene Programme sollten wie Standardanwendungen mit Berechtigungen geschützt werden. Welche Regeln sollten Sie dabei beachten? Im Rahmen von Einführungsprojekten werden meist reichlich kundeneigene Programme erstellt, ohne dass sie bei deren Ausführung einer Berechtigungsprüfung unterzogen werden. Für Ihre Programme sollten Sie standardmäßig kundeneigene Berechtigungsprüfungen erstellen und diese auch entsprechend verwalten.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Das SAP-Berechtigungskonzept schützt Transaktionen und Programme in SAP-Systemen auf der Basis von Berechtigungsobjekten.
Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.