Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Optional: Berechtigungsobjekt S_PATH: Wurden in der Prüfung 3 zusätzliche Berechtigungsprüfungen für einzelne Pfade für das Berechtigungsobjekt S_PATH identifiziert, werden diese im vierten Schritt geprüft. Dabei werden die Zugriffsart und die in der Tabelle SPTH hinterlegte Berechtigungsgruppe geprüft.
Fehlendes Knowhow
Spielen Sie den SAP-Hinweis 1433352 in Ihr System ein. Mit diesem Hinweis wird der Report RSAUDIT_SYSTEM_STATUS ausgeliefert. Dieser Report dokumentiert den aktuellen Status der Einstellungen zur Mandanten- und Systemänderbarkeit in einer Übersicht, die Sie bei Bedarf zur Auswertung auch ausdrucken können. Der Vorteil dieses Reports ist, dass reine Anzeigeberechtigungen zu dessen Ausführung notwendig sind.
Im Hinblick auf das SAP Berechtigungswesen stellen Rollen und die damit einhergehenden Berechtigungsobjekte, -felder und -werte das Fundament dar. Daher stehen vor allem diese Prüfkriterien im besonderen Fokus der Berechtigungsanalyse sicherheitsrelevanter Ausprägungen eines jeden Berechtigungsadministrator. Der Report RSUSRAUTH dient der Anzeige von Rollen- bzw. Berechtigungsdaten im jeweiligen Mandanten. Dabei analysiert der Report alle Rollendaten, die in der Tabelle AGR_1251 verankert sind. Dadurch kann man nicht nur durch die Wahl des Pflegestatus der Berechtigungen, sondern vor allem auch durch das Hinterlegen bestimmter Berechtigungsobjekte und deren Aussteuerung fehlerhafte und sicherheitskritische Ausprägungen schnell finden und bereinigen. Diese Adhoc Analyse bietet Ihnen somit eine zeitsparende Methode, viele Rollen auf einmal nach Ihren eigenen kritischen Merkmalen zu prüfen. Durch das Einspielen des SAP Hinweises 2069683 können Sie dieses Programm dann vollumfänglich nutzen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Hierzu sollten Sie in jedem Fall auch die für das Feld PROGRAM gewonnenen Werte nutzen.
Sie können bis zu 1.000 kundeneigene Berechtigungsprüfungen im Check-ID-Namensraum 9000 bis 9999 anlegen.