Manuelle Kopien
Direct Read
Alle Rollen, die die Zeichenkette “ADM“ enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen. Bei der Identifikation kritischer SAP Berechtigungen, Profile und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird.
Wenn zwei Benutzer in einem Zeitraum jeweils 100 Transaktionsschritte Last ausgeführt haben, sind beide gleich aktiv gewesen. Das bedeutet aber noch nicht, dass sie beide die gleiche Last auf dem System erzeugt haben. Wenn z. B. der erste Benutzer Finanzbelege eingegeben hat und 100 Transaktionsschritte mit einer mittleren Antwortzeit von 500ms ausgeführt hat, hat er das System 50 Sekunden lang belastet. Ein zweiter Benutzer hat z. B. Controlling-Berichte erstellt und für seine Arbeit 100 Transaktionsschritte mit einer mittleren Antwortzeit von 5 Sekunden benötigt, also das System 500 Sekunden lang in Anspruch genommen. Offensichtlich hat der zweite Benutzer bei gleicher Aktivität eine zehnfach größere Last erzeugt. Wie man an diesem Beispiel erkennt, ist also das Produkt aus der Anzahl der Transaktionsschritte und der mittleren Antwortzeit ein Maß für die erzeugte Last. (Will man exakt sein, muss man von der Antwortzeit die Dispatcher-Wartezeit und die Roll-Wartezeit abziehen, denn während der Auftrag in der Dispatcher-Queue bzw. auf die Ausführung eines RFCs wartet, verursacht er keine Last auf dem System.) Die Belastung, die die unterschiedlichen Task-Typen auf der Datenbank erzeugen, lässt sich analog anhand der gesamten Datenbankzeit (Transaktionsschritte mal mittlere Datenbankzeit) vergleichen. Ebenso erfolgt der Vergleich der CPU-Belastung auf dem Applikationsserver. Die Verteilung der Zeiten (Datenbankzeit, CPU-Zeit etc.) spiegelt also die Lastverteilung auf dem System besser wider als die bloße Anzahl der Transaktionsschritte.
CPU-Konfiguration
Diesen Umstand illustriert folgendes Beispiel: Auf der Applikationsebene werden z. B. Programme, Tabellen- und Felddefinitionen und Inhalte von Konfigurationstabellen in den Puffern vorgehalten. Die richtige Einstellung dieser Puffer gewährleistet, dass weniger Daten vom Datenbankserver gelesen werden müssen. Das Lesen über den Tabellenpuffer der SAPApplikationsinstanz ist etwa um den Faktor 10 bis 100 schneller als das Lesen über den Datenbankserver.
Regelmäßig wenden sich Kunden mit einem derartigen Fall an uns. Die Erstellung eines Berechtigungskonzepts von Grund auf ist häufig eine zeitraubende Aufgabe. Weiterhin fehlt oft das Know-how, welche Aspekte in einem Berechtigungskonzept behandelt werden sollten und wie die entsprechenden Prozesse praxistauglich und gleichzeitig revisionssicher aussehen können. Unsere Lösung: toolgestützte Generierung eines individuellen, schriftlichen Berechtigungskonzepts Unseren Kunden haben wir in dieser Situation die toolgestützte Generierung eines schriftlichen Berechtigungskonzepts direkt aus dem SAP-System heraus empfohlen. Hierzu verwenden wir das Werkzeug XAMS Security Architect, mit dem wir gute Erfahrungen gemacht haben. Dieses beinhaltet ein Template für ein revisionssicheres und verständliches, schriftliches Berechtigungskonzept. Darin enthalten sind etablierte Best-Practices für die Rollen- und Berechtigungsverwaltung. Durch das Template werden alle in einem Berechtigungskonzept relevanten Bereiche abgedeckt. Der mitgelieferte Text des Berechtigungskonzeptes ist vollständig individualisierbar, sodass das Konzept passgenau auf Ihre Situation zugeschnitten werden kann, ohne ein Berechtigungskonzept von Grund auf neu zu erstellen. Schriftliches Berechtigungskonzept dynamisch aktualisieren Eine der größten Herausforderungen nach dem Aufbau eines Berechtigungskonzepts ist es, dieses auch langfristig aktuell zu halten und die nachhaltige Umsetzung im System zu messen. Dies erreichen wir durch die Einbindung von Live-Daten wie Konfigurationseinstellungen und definierten Regelwerken direkt aus dem angeschlossenen System. So werden beispielsweise Listen vorhandener Rollen oder Benutzergruppen sowie Tabellen bei jeder Generierung des Dokuments aus dem System ausgelesen und im Berechtigungskonzept aktualisiert. Im folgenden Screenshot können Sie beispielhaft sehen, wie die Darstellung im Konzeptdokument aussehen kann. Einhaltung des Konzepts automatisiert prüfen und überwachen Um die Einhaltung des Konzepts zu prüfen beinhaltet der XAMS Security Architect umfangreiche Prüfwerkzeuge. Diese decken die im Konzept formulierten Regelungen ab und eignen sich, um zu messen, in wieweit die Realität im System den im Konzept formulierten Anforderungen entspricht.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.
Wie entsteht Konsensus in einer Blockchain? Sobald man sich entscheidet, eine Zahlung an jemanden zu senden, muss man den Private Key nutzen, um diese zu „signen“ (zu Deutsch: unterschreiben).