S_TABU_NAM in ein Berechtigungskonzept integrieren
Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Diese erweiterte Funktionalität der Transaktion SU53 wird über einen Patch ausgeliefert. Im SAP-Hinweis 1671117 finden Sie weiterführende Informationen zu den erforderlichen Support Packages sowie technische Hintergründe. Nicht erfolgreiche Berechtigungsprüfungen werden nun in einen Ringpuffer des Shared Memorys des Anwendungsservers geschrieben. Damit können Sie nun fehlgeschlagene Berechtigungsprüfungen auch in Web-Dynpro-Anwendungen oder anderen Benutzeroberflächen anzeigen, was bisher nicht möglich war. Abhängig von der Größe des Ringpuffers und der Systemauslastung können je Benutzer bis zu 100 fehlgeschlagene Berechtigungsprüfungen für die letzten drei Stunden angezeigt werden. Die Größe des Ringpuffers wird aus der Anzahl der definierten Workprozesse berechnet. Standardmäßig können 100 Berechtigungsprüfungen je Workprozess gespeichert werden. Diese Größe können Sie mithilfe des Profilparameters auth/su53_buffer_entries anpassen.
Bestimmte Berechtigungen, die erst beim Ausführen eines Job-Steps von Bedeutung sind, werden zum Zeitpunkt der Einplanung für den angegebenen Step-Benutzer geprüft. So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen. Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt. Bei externen Kommandos findet eine Prüfung auf das Objekt S_LOG_COM statt.
Berechtigungen für die SAP-Hintergrundverarbeitung vergeben
Kritische Berechtigungen sind Berechtigungen, mit denen es möglich ist, sicherheitsrelevante Konfigurationen im SAP-System einzusehen bzw. zu ändern oder Aktivitäten auszuführen, die aus rechtlicher oder betriebswirtschaftlicher Sicht als kritisch einzustufen sind. Dazu gehört auch der Zugriff auf sensible Daten, die z. B. personenbezogen sind. Kritische Berechtigungen an sich sind nur dann wirklich kritisch und stellen ein Risiko dar, wenn diese in die falschen Hände gelangen. Bei der Nutzung von kritischen Berechtigungen sollten Sie in jedem Fall den Grundsatz der restriktiven Vergabe von Rechten beachten. Es gibt keine allgemeinen Risikodefinitionen; darum sollte jedes Unternehmen für sich die Compliance-Vorgaben definieren. Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden. Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte. Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen. Sie führen jedoch zu einer besseren Transparenz und Sicherheit.
Werden im Rollenmenü einer Einzelrolle Transaktionen geändert, wird diese Option automatisch dem Bearbeiter vorgeschlagen. Bei dieser Option gleicht der Profilgenerator die bereits vorhandenen Berechtigungsdaten mit den Berechtigungsvorschlägen der Transaktion SU24 der über das Rollenmenü gepflegten Transaktionen ab. Werden bei diesem Abgleich neue Berechtigungen in den Berechtigungsbaum aufgenommen, werden diese mit dem Aktualisierungstatus Neu gekennzeichnet. Berechtigungen, die bereits vor dem Abgleich vorhanden waren, wird der Aktualisierungstatus Alt zugewiesen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Umso wichtiger ist es, die vergebenen Berechtigungen zu analysieren und zu verbessern.
Die Prozesse lassen sich immer wieder optimieren.