RSUSR003
Notfalluserkonzept
Schon bei der Definition der Entwicklungsrichtlinie sollten Sie darauf achten, dass der Zugriffssicherheit das entsprechende Augenmerk geschenkt wird. Über kundeneigene Programme oder Anpassungen im SAP Code Inspector lässt sich sicherstellen, dass alle im Unternehmen beschäftigten Entwickler diese Richtlinien entsprechend einhalten. Die Prüfung, ob die Entwicklungsrichtlinien eingehalten wurden, sollte zwingender Bestandteil der Qualitätssicherung sein, bevor die Programme produktiv genutzt werden. Die Transaktionen SE38 und SA38 sollten im produktiven System nicht vergeben werden, und kundeneigene Programme sollten in eigene Transaktionscodes eingebunden werden. Anschließend werden Berechtigungen nur für diese Transaktionen eingerichtet.
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Kontextabhängige Berechtigungen
Unter Schritt 2d (veränderte Transaktionscodes anzeigen) werden alle Rollen aufgelistet, bei denen festgestellt wurde, dass ein alter Transaktionscode verwendet wird. Es kommt hier und da vor, dass neue Transaktionscodes alte Transaktionscodes ersetzen. In diesem Schritt haben Sie die Möglichkeit, die Transaktionscodes auszutauschen. Sobald Sie mit dem Upgrade der Berechtigungsvorschlagswerte fertig sind, haben Sie in Schritt 3 (Transport der Kundentabellen) die Möglichkeit. Ihre Berechtigungsvorschläge in Ihrer Systemlandschaft zu transportieren.
Müssen die Berechtigungen für eine selbst entwickelte UI-Komponente für den SAP CRM Web Client immer manuell gepflegt werden? Nicht unbedingt – wenn Sie sie als Vorschlagswerte für externe Services definieren. Haben Sie in SAP CRM eigene UI-Komponenten im Kundennamensraum entwickelt, und möchten Sie diese nun über den Standardprozess berechtigen, d. h. mithilfe des Reports CRMD_UI_ROLE_PREPARE ein Rollenmenü für eine PFCG-Rolle erstellen, müssen Sie zunächst einige Vorarbeiten leisten. Wenn Sie den Report ausführen, werden Sie feststellen, dass die externen Services zu Ihren Eigenentwicklungen nicht vorhanden sind und somit auch nicht im Rollenmenü auftauchen. Der einzige Weg zur Berechtigung Ihrer UI-Komponenten wäre nun ein manuelles Pflegen des Berechtigungsobjekts UIU_COMP. Jedoch können Sie Ihre eigenen UI-Komponenten als externe Services mit Vorschlagswerten in der Transaktion SU24 pflegen und sich diese Informationen in der PFCG-Rollenpflege zunutze machen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Hierzu legen Sie einen neuen View in der Transaktion SE11 an und fügen die Tabelle, für die die Einschränkung gelten soll, auf der Registerkarte Tabellen/Joinbedingungen hinzu.
Den Report zum Ändern der Quellsprache erhalten Sie über den SAP-Hinweis 854311.