Nach fehlenden Berechtigungen tracen
Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden
Dialogbenutzer sind für die Verwendung durch natürliche Personen gedacht, die sich über SAP GUI am SAP-System anmelden (Dialoganmeldung). Der Dialogbenutzer ist daher der am häufigsten genutzte Benutzertyp. Für ihn gelten die festgelegten Passwortregeln. Wird das Passwort vom Administrator gesetzt, erhält es den Status Initial und muss vom Benutzer bei der Anmeldung erneut gesetzt werden, um den Status Produktiv zu erhalten.
In einem SAP®-System sind nicht nur die Berechtigungen Schwerpunkt des Wirtschaftsprüfers. Auch wesentliche Systemparameter sind Teil der Prüfung. Aus diesem Grund sollte im Vorfeld auch sichergestellt werden, dass sämtliche Parameter gemäß den Unternehmensvorgaben eingerichtet sind. Betroffene Parameter sind all jene, welche die System- und Mandantensicherheit gewährleisten. Es muss unter anderem gewährleistet sein, dass das Produktivsystem gegen jede Art der Änderungen geschützt ist und daher keine direkte Entwicklung möglich ist.
E-Mails verschlüsseln
Im Hinblick auf das SAP Berechtigungswesen stellen Rollen und die damit einhergehenden Berechtigungsobjekte, -felder und -werte das Fundament dar. Daher stehen vor allem diese Prüfkriterien im besonderen Fokus der Berechtigungsanalyse sicherheitsrelevanter Ausprägungen eines jeden Berechtigungsadministrator. Der Report RSUSRAUTH dient der Anzeige von Rollen- bzw. Berechtigungsdaten im jeweiligen Mandanten. Dabei analysiert der Report alle Rollendaten, die in der Tabelle AGR_1251 verankert sind. Dadurch kann man nicht nur durch die Wahl des Pflegestatus der Berechtigungen, sondern vor allem auch durch das Hinterlegen bestimmter Berechtigungsobjekte und deren Aussteuerung fehlerhafte und sicherheitskritische Ausprägungen schnell finden und bereinigen. Diese Adhoc Analyse bietet Ihnen somit eine zeitsparende Methode, viele Rollen auf einmal nach Ihren eigenen kritischen Merkmalen zu prüfen. Durch das Einspielen des SAP Hinweises 2069683 können Sie dieses Programm dann vollumfänglich nutzen.
Der Hintergrund des massenhaften Vorhandenseins von Berechtigungsobjekten in einer PFCG-Rolle, nachdem ein Rollenmenü erstellt worden ist, ist in der Regel die Masse an generischen OP-Links, die eigentlich für die CRMBusiness- Rolle gar nicht notwendig sind. Durch das Vorhandensein von Vorschlagswerten aus der Transaktion SU24 werden die zu den jeweiligen externen Services gehörigen Berechtigungsvorschlagswerte in die PFCG-Rolle geladen, was zur Folge hat, dass dort zu viele unnötige Berechtigungsobjekte untergebracht werden. Mit dem Ausklammern des Ordners GENERIC_OP_LINKS müssen Sie sich in Ihrer PFCG-Rolle nur um die externen Services und deren Berechtigungsobjekte kümmern, die in der CRM-Business-Rolle konfiguriert wurden. Damit ein Anwender über alle notwendigen Berechtigungen verfügt, weisen Sie diesem nun die Grundrolle mit den Berechtigungen zu den generischen OP-Links und die eigentliche Rolle zu, die den Arbeitsplatz des Anwenders beschreibt.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Wählen Sie die Benutzer, Benutzergruppen oder Rollen, auf die diese Regeln angewendet werden sollen im Bereich Selektionskriterien aus.
Dies vereinfacht die spätere Pflege in der IMG-Struktur.