Generischer Zugriff auf Tabellen
Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
Wie Sie Sicherheitsrichtlinien pflegen und Ihren Benutzern zuordnen, haben wir in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«, beschrieben. Sie brauchen für die Umsetzung dieses Tipps eine eigene Sicherheitsrichtlinie für Administratoren, was häufig auch aus anderen Gründen sinnvoll ist. In dieser Sicherheitsrichtlinie setzen Sie dann das Richtlinienattribut SERVER_LOGON_PRIVILEGE auf den Wert 1. Beispielsweise können Sie auch die Einstellung des Richtlinienattributs DISABLE_PASSWORD_LOGON aufnehmen, da für Administratoren häufig auch eine Anmeldung mit Passwort am System möglich sein soll.
Das SAP Berechtigungskonzept ist generell in zwei Ausprägungen zu erstellen: für den ABAP– sowie den Java-Stack. Welche Rollen benötigt werden, welche Rolle welche SAP-Funktionen aufrufen darf und weitere konzeptionelle Fragen sind dabei identisch. Dennoch gibt es fundamentale Unterschiede zwischen beiden Ausprägungen.
Risiko: historisch gewachsenen Berechtigungen
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind. Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann. Es ist daher sicherzustellen, dass diese Berechtigungen an keinen Benutzer, auch nicht an SAP®-Basisadministratoren, vergeben wurden.
Verschiedene Tätigkeiten, wie etwa die inhaltliche Änderung oder die Zuordnung von Rollen werden über Änderungsbelege nachvollziehbar gemacht. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Außerdem können Sie mehrfache Einträge filtern.
Ist das Profil nicht zugewiesen bzw. veraltet, besitzt der Anwender auch nicht die darin enthaltenen Berechtigungen.