Verarbeitung durch Dialog- oder Onlinebenutzer
Abwägung: SAP CPS, ABAP Job-Lösung oder externe Lösung?
Das Mandantenkonzept von SAP ermöglicht es, ein SAP-System in mehrere logische Subsysteme - Mandanten - zu unterteilen. Diese Subsysteme können wie eigene Systeme betriebswirtschaftlich voneinander unabhängig und isoliert genutzt werden. Aber wie sind mandantenunabhängige Transaktionen zu behandeln? Wie können Sie verhindern, dass ein Mandant auf den anderen zugreifen kann und warum sollten Sie das verhindern wollen? In diesem Blog-Beitrag werde ich Ihnen diese Fragen beantworten und dabei einige Negativ-Beispiele diskutieren. Warum ist es wichtig mandantenunabhängige Transaktionen gesondert zu betrachten? Stellen Sie sich vor, dass jeder Ihrer Mitarbeiter einen Mandanten im Produktivsystem anlegen oder ändern darf, oder noch schlimmer - beides. Das Anlegen und Ändern eines Mandanten im Produktivsystem erfolgt autorisiert und dokumentiert – Sie fragen sich, was dabei schon schiefgehen könnte? Das Risiko in diesem Fall ist ein Verlust der Integrität von System und Daten, der Verlust der Vertraulichkeit: Mit jedem neu angelegten Mandanten lebt der Superuser SAP* mit seinen umfassenden, auch mandantenübergreifenden Rechten und dem vergebenen Standardpasswort auf.
Ein I/O-Engpass ist insbesondere dann kritisch, wenn auf dieser Festplatte der Auslagerungsspeicher des Betriebssystems liegt. Darüber hinaus ist der Betriebssystemmonitor für den Datenbankserver von besonderem Interesse. Zusammen mit dem Datenbankmonitor können mit dieser Anzeige Engpässe beim Lesen bzw. Schreiben auf die Festplatten eingegrenzt werden. Weitere Details zu diesem Problem finden Sie in Abschnitt 2.2.2, »Identifizierung von Schreib-/Lese-(I/O-)Problemen«.
SAP Basis Leistungsspektrum
Auf dem ABAP-Server steht ein SQL-Monitor (Transaktionscode SQLM oder SQL Monitor in der Eclipse-basierten ABAP-Entwicklungsumgebung) zur Verfügung, der die Last durch SQL-Anweisungen auf dem ABAP-System ermittelt. Da die Daten von der Datenbankschnittstelle auf dem ABAP-Server ermittelt werden, ist er unabhängig vom Datenbanksystem.
Der initiale Teil des Benutzerkontextes wird im lokalen SAP-Roll-Bereich des Workprozesses abgelegt. Da es sich bei diesem Speicherbereich um lokalen Speicher handelt, kann jeder SAP-Workprozess nur auf seinen eigenen RollBereich zugreifen. Beim Roll-out muss der Inhalt des von ihm benutzten lokalen Roll-Bereichs des Workprozesses gesichert werden. Dazu wird der lokale Roll-Bereich in den globalen SAP-Roll-Bereich kopiert. Der globale RollBereich ist entweder ein Speicherbereich im Shared Memory des Applikationsservers (der sogenannte SAP-Roll-Puffer) oder eine Datei auf einer Festplatte des Applikationsservers (die SAP-Roll-Datei) bzw. eine Kombination aus beidem. Der globale Roll-Bereich ist allen Workprozessen einer Instanz zugänglich. Beim Roll-in wird der Benutzerkontext aus dem globalen RollBereich in den lokalen Roll-Bereich des neuen Workprozesses kopiert. Der Benutzer kann auf diese Weise mit seinen alten Daten weiterarbeiten.
Für Administratoren steht im Bereich der SAP Basis ein nützliches Produkt - "Shortcut for SAP Systems" - zur Verfügung.
Er prüft, welcher Private Key unterschrieben hat, an welche Public Adresse die Transaktion gehen soll und ob der Sender überhaupt genug „Coins“ besitzt für diese Transaktion.
Die erwähnten Beispiele zeigen uns, wie wichtig es ist die Berechtigungen für mandantenunabhängige Transaktionen mit Bedacht zu vergeben.