Testen der Berechtigung
Benutzerinformationssystem (SUIM)
Der erste Schritt beim Bereinigen besteht daher darin herauszufinden, ob das aktuelle Berechtigungskonzept ausreicht und eine Bereinigung der beste Weg ist, oder ob ein Neuaufbau des Berechtigungskonzeptes notwendig ist. Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.
Mit der Einführung der Sicherheitsrichtlinien ist es nun möglich, für Benutzer vom Typ System oder Service eigene Sicherheitsrichtlinien zu definieren. Auf diesem Wege können Sie sicherstellen, dass abwärtskompatible Passwörter für diese Benutzer weiterhin verwendet werden. Damit ist der Grund, aus dem Passwortregeln nicht für Benutzer vom Typ System bzw. Service gültig waren, weggefallen; daher gelten die Regeln für die Inhalte der Passwörter nun auch für Benutzer dieser Typen. Regeln für die Änderung von Passwörtern sind weiterhin nicht für Benutzer vom Typ System oder Service gültig. Wenn Sie in Ihrem System Sicherheitsrichtlinien einsetzen, können Sie sich mithilfe des Reports RSUSR_SECPOL_USAGE einen Überblick über die Zuordnung von Sicherheitsrichtlinien zu Benutzern verschaffen. Diesen Report finden Sie im Benutzerinformationssystem (Transaktion SUIM). Zusätzlich wurde in den Reports des Benutzerinformationssystems die Selektion nach Benutzern mit ausgewählten Sicherheitsrichtlinien ergänzt. Diese Änderung wurde über ein Support Package bereitgestellt; Details hierzu finden Sie im SAP-Hinweis 1611173.
Tabellenberechtigungsgruppen pflegen
Haben Sie eigene Anwendungen erstellt, empfehlen wir Ihnen, dafür immer eine eigene Berechtigungsprüfung zu implementieren und sich nicht nur auf die Anwendungsstartberechtigungen wie S_TCODE, S_START, S_SERVICE und S_RFC zu verlassen. Möchten Sie Standardanwendungen um eigene Prüfungen erweitern, müssen Sie dafür erst die geeignete Stelle zur Implementierung der Prüfung finden. Um modifikationsfrei zu entwickeln, bietet SAP für solche Fälle User-Exits oder Business Add-ins (BAdIs). Einige SAP-Anwendungen haben außerdem eigene Frameworks im Einsatz, die ein modifikationsfreies Implementieren von eigenen Berechtigungsprüfungen erlauben, wie z. B. die Access Control Engine (ACE) in SAP CRM.
Grundsätzlich ist innerhalb des kompletten Entwicklungs- bzw. Customizing- und Transport-Prozesses ein technisches 4-Augen Prinzip zu implementieren. Ohne zusätzliche Tools ist dies im SAP-Standard nur über entsprechend vergebene Berechtigungen innerhalb der Transportlandschaft zu erreichen. Abhängig von den eingesetzten Strategien sollen also evtl. nur bestimmte Transportschritte innerhalb des Entwicklungssystems an die Benutzer vergeben sein. Beim Einsatz des SAP-Solution-Managers („ChaRM“) für die Transportsteuerung sollen hier beispielsweise normalerweise nur die Berechtigungen zur Freigabe von Transport-Aufgaben vergeben werden. Die vollständige Abwicklung eines Transportes im Entwicklungssystems besteht aus vier Schritten: Anlegen und Freigeben eines Transportauftrags (der eigentliche Transportcontainer), Anlegen und Freigeben einer Transportaufgabe (die Berechtigung für einzelne Benutzer, Objekte an den jeweiligen Transportauftrag zu hängen).
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen.
Sie haben Ihr Berechtigungskonzept um das Berechtigungsobjekt S_TABU_NAM erweitert, sodass die Anwender nicht nur über das Berechtigungsobjekt S_TABU_DIS, sondern auch über S_TABU_NAM Zugriff auf die Tabellen erhalten.