RSUSR003
Was tun, wenn der Wirtschaftsprüfer kommt – Teil 1: Prozesse und Dokumentationen
Ein Anwender meldet sich, dass ihm ein Berechtigungsfehler angezeigt wird, obwohl Sie ihm die erforderlichen Berechtigungen erteilt haben. Dies könnte an einer fehlerhaften Pufferung der Berechtigungsdaten liegen. Obwohl einem Benutzer eine Rolle mit den korrekten Berechtigungsdaten zugeteilt wurde, wird diesem Benutzer ein Berechtigungsfehler aufgrund von fehlenden Berechtigungen angezeigt. Dies mag auf den ersten Blick überraschen, kann aber fast immer durch eine kurze Analyse behoben werden.
Zusätzlich zur Definition von Berechtigungen für den externen RFC-Zugriff über das Berechtigungsobjekt S_RFC besteht die Möglichkeit, den externen Aufruf von Funktionsbausteinen grundsätzlich zu unterbinden. Ab SAP Net-Weaver AS ABAP 7.40 gibt es dafür die zusätzliche Sicherheitsschicht SAP Unified Connectivity (UCON). Sie steuert den externen Zugriff auf RFC-Funktionsbausteine unabhängig von Benutzern oder Rollen und lässt sich mandantenabhängig konfigurieren. Dabei werden alle Funktionsbausteine, die per RFC ausführbar sein sollen, in die UCON Communication Assembly eingetragen. Ist ein Funktionsbaustein dort nicht hinterlegt, wird der Aufruf blockiert. UCON wurde so konzipiert, dass es die Performance bei RFC-Aufrufen so wenig wie möglich beeinflusst. Die Identifizierung der erforderlichen Funktionsbausteine erfolgt im UCON Phase Tool (Transaktion UCONPHTL), das konstant alle externen RFC-Aufrufe überwacht und eine Einführung der UCON Communication Assembly unterstützt. So können Aufrufe von neuen Funktionsbausteinen (z. B. kundeneigene Entwicklungen, Änderungen durch Support Packages) analysiert und gegebenenfalls für den externen Zugriff freigegeben werden. Zusätzlich bietet UCON die Möglichkeit, die Konfiguration im Rahmen einer Evaluierungsphase zu prüfen. In einem ERP-System gibt es circa 40.000 RFC-fähige Funktionsbausteine; üblicherweise werden davon nicht mehr als ein paar Hundert verwendet. Mit dem Einsatz von UCON erhöhen Sie daher die Sicherheit Ihres Systems.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Der Report RSUSR008_009_NEW (Liste der Benutzer mit kritischen Berechtigungen) wird ab SAP Web Application Server 6.20 mit den folgenden Support Packages bereitgestellt: Release 6.20, beginnend mit SAPKB62039 Release 6.40, beginnend mit SAPKB64003 Sie können die alten Reports RSUSR008 und RSUSR009 bis zum Release 6.40 weiterverwenden. Der Report RSUSR008_009_NEW wird mit den alten SAPVorschlägen für kritische Berechtigungsdaten ausgeliefert, die schon für den Report RSUSR009 verwendet wurden.
Berechtigungen im Berechtigungsbaum mit dem Status Gepflegt werden hingegen nur dann gelöscht, wenn die letzte mit der Berechtigung verbundene Transaktion über das Rollenmenü gelöscht wurde. Profil und Berechtigungen löschen und neu anlegen Alle Berechtigungen werden neu angelegt. Zuvor gepflegte, veränderte oder manuelle Werte gehen verloren und werden gelöscht. Ausnahme stellen hier die Werte dar, die durch die Organisationsebenen gefüllt werden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Der SAP Code Vulnerability Analyzer ist ab SAP NetWeaver AS ABAP 7.02 enthalten; eine Installation ist nicht notwendig.
Geeignet für diese verantwortungsvolle Aufgabe sind z. B. Fachbereichsleiter oder SAP Key User, die sich sowohl mit allen Datenzugriffsmöglichkeiten auskennen (modulübergreifend, via Report, direkt auf die Rohtabelle etc.) als auch mit den organisatorischen und technischen Schutzmaßnahmen.