Vollständige Prüfung der Berechtigungen für die Benutzergruppe beim Anlegen des Benutzers
Ziel eines Berechtigungskonzepts
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Wie du Rollen und Berechtigungen im SAP-System analysierst
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Die Prüfung, ob die Entwicklungsrichtlinien eingehalten wurden, sollte zwingender Bestandteil der Qualitätssicherung sein, bevor die Programme produktiv genutzt werden.
Wir empfehlen Ihnen auch, den Security-Patch-Prozess im Rahmen eines Release- oder Support-Package-Upgrades durchzuführen, um spätere, zusätzliche Tests durch bereits zum Zeitpunkt des Upgrades veröffentlichte Sicherheitshinweise zu vermeiden.