Konfigurationsvalidierung einsetzen
FAZIT
Die erste Zeile definiert, dass der Zugriff auf alle Dateien verboten ist, sofern für sie nicht in den weiteren Zeilen andere Einstellungen vorgenommen worden sind. Der Asterisk (*) steht hier an erster Position und in diesem Fall für alle Dateien und Pfade. Steht der Asterisk an einer anderen Position, wird er als Teil des Dateinamens interpretiert, was z. B. in Microsoft Windows gar nicht erlaubt ist. In unserer Beispieltabelle wird durch das Setzen der Schalter FS_NOREAD = X und FS_NOWRITE = X für alle Pfade das Lesen und Schreiben untersagt. Die Tabelle wird damit zu einer White List. Diese ist aus Sicherheitsgründen einer Black List vorzuziehen. SPTH wird dagegen zur Black List, wenn Sie die erste Zeile mit PATH = * in unserem Beispiel entfernen oder keinen der Schalter FS_NOREAD, FS_NOWRITE oder FS_BRGRU setzen. Die zweite Zeile mit PATH = /tmp erlaubt als Ausnahme von dem in der ersten Zeile für alle Dateien und Pfade definierten Zugriffsverbot den Lese- und Schreibzugriff für alle Dateien, die mit /tmp beginnen, analog zu einem Berechtigungswert /tmp*. Diese Einstellung beschränkt sich nicht auf Unterverzeichnisse, sondern umfasst z. B. auch alle Dateien, deren Name mit /tmp-xy beginnt. Die dritte Zeile mit PATH = /tmp/myfiles definiert mit FS_BRGRU = FILE eine Berechtigungsgruppe und löst damit die anschließende Berechtigungsprüfung auf das Objekt S_PATH aus. Der Schalter SAVEFLAG = X definiert, dass diese Dateien in eine Sicherungsprozedur aufgenommen werden; dies ist allerdings für die Berechtigungsvergabe nicht relevant.
Um fehlgeschlagene Berechtigungsprüfungen zentral einzusehen, können Sie ebenfalls die Transaktion SU53 verwenden. Öffnen Sie die Transaktion, und rufen Sie im Menü über den Pfad Berechtigungswerte > Anderer Benutzer oder mit der Taste (F5) die Benutzerauswahl auf. Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein. In der Ergebnisliste können Sie für jeden Anwender fehlgeschlagene Berechtigungen einsehen, wie in unserem Beispiel die fehlende Berechtigung zum Anzeigen der Tabelle AGR_1251. Sie sehen, dass in dieser Auswertung mehr als nur ein Berechtigungsobjekt angezeigt wird.
Die Zentrale Benutzerverwaltung temporär abschalten
Sperren und Gültigkeiten des Benutzerkontos erfolgen über den Benutzeradministrator und sind auch für andere Authentifizierungsverfahren gültig. Das heißt, dass eine Anmeldung über SSO für einen ungültigen Benutzer oder einen Benutzer mit Administratorsperre nicht möglich ist. Wir empfehlen Ihnen daher immer, den Zugang zum System über das Setzen der Gültigkeit von Benutzern zu verhindern. Das Setzen von Gültigkeiten bei zugeordneten Rollen verhindert zwar ebenfalls, dass der Benutzer noch Aktionen im System durchführen kann, unterbindet aber nicht generell deren Anmeldung.
Eine Ausnahme von dieser Regel gibt es allerdings: Auch wenn andere Authentifizierungsverfahren genutzt werden, prüft das System, ob der Benutzer dazu in der Lage ist, sich mit einem Passwort anzumelden. Wenn dies der Fall ist und das Passwort gerade geändert werden muss, wird diese Änderung vom Benutzer abgefragt. Diese Abfrage können Sie aber auch mithilfe des Profilparameters login/password_change_for_SSO ausschalten.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Denn manuell ist es schwierig, alle Anforderungen in Bezug auf SAP Berechtigungen zu erfüllen.
Bei ABS Team nutzen wir eine eigene Kombination aus einer SAP SuccessFactors-Lösung und einer externen Dokumentation dafür.