RSUSR003
SAP S/4HANA: Analyse und einfache Anpassung Ihrer Berechtigungen
Das Profil SAP_NEW dient prinzipiell der Überbrückung der Releaseunterschiede in Berechtigungsprüfungen nach einem Upgrade und stellt sicher, dass die etablierten Geschäftsprozesse nach einem Upgrade weiterausführbar bleiben. Die Berechtigung SAP_NEW sollte nur temporär und nur in Notfällen in einem produktiven SAP-System nach einem Upgrade Benutzern zugewiesen werden.
Optional: Berechtigungsobjekt S_PATH: Wurden in der Prüfung 3 zusätzliche Berechtigungsprüfungen für einzelne Pfade für das Berechtigungsobjekt S_PATH identifiziert, werden diese im vierten Schritt geprüft. Dabei werden die Zugriffsart und die in der Tabelle SPTH hinterlegte Berechtigungsgruppe geprüft.
Berechtigungen mit dem Pflegestatus Gepflegt
Wurde ein Eintrag in der Transaktion SE97 korrekt angelegt, wird eine Berechtigungsprüfung genauso durchgeführt, wie es bei einer Transaktionsstartberechtigung der Fall ist. Dieser Ansatz erfordert daher eine exakte und vollständige Konfiguration für jede Transaktion, die aufgerufen wird. Der erforderliche Aufwand und der Raum für Fehler sind entsprechend groß. Der ABAP-Befehl CALL TRANSACTION verursacht keine Transaktionsstartberechtigungprüfung. Ohne eine Berechtigungsprüfung könnte das ABAP-Programm Benutzern ungewollt Zugriff auf Systemressourcen erlauben. Solche Berechtigungsprobleme führen in vielen Fällen zu einer versteckten Compliance-Verletzung, denn dadurch ist die Nachvollziehbarkeit von Benutzeraktionen im SAP-System nicht mehr gewährleistet. Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen. Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Für uns hat es sich bewährt, im Namen des neuen Funktionsbausteins die Bezeichnung BTE und die Nummer der Vorlage (hier: 1650) zu verwenden.
Anhand des Aktualisierungsstatus Alt, Neu oder Verändert erkennen Sie zwar, an welchen Stellen etwas geändert wurde, geänderte oder gelöschte Werte können hier jedoch nicht angezeigt werden.