SAP Code Vulnerability Analyzer verwenden
Managed Services
Ein sorgloser Umgang mit den Berechtigungen bei sensiblen Mitarbeiterdaten kann ganz schön in die Hose gehen. Verhindern Sie einen unkontrollierten und weitreichenden Reporting-Zugriff auf Ihre HCM-Daten, indem Sie das Berechtigungsobjekt P_ABAP richtig nutzen. In vielen Unternehmen ist der korrekte Einsatz von P_ABAP nicht bekannt. Daher kommt es häufig zu falschen Ausprägungen, die im schlimmsten Fall unkontrollierten Reporting-Zugriff auf alle Daten der logischen Datenbank PNPCE (bzw. PNP) erlauben. Auf diesem Weg können Sie also Ihre vorher mühsam in einem Berechtigungskonzept definierten Zugriffsbeschränkungen wieder aushebeln. Daher gilt es, den Einsatz von P_ABAP im Einzelfall zu prüfen und die vorhandenen Einschränkungsmöglichkeiten zu nutzen. Im Folgenden beschreiben wir die Logik, die hinter diesem Berechtigungsobjekt steckt, und welche Ausprägungen Sie unbedingt vermeiden sollten.
In SAP-Systemen haben Sie immer die Möglichkeit, kundeneigene Entwicklungen zu integrieren. In solchen Erweiterungen oder eigenen Programmen müssen Sie Berechtigungsprüfungen implementieren und unter Umständen auch eigene Berechtigungsobjekte anlegen. Auch können Sie Berechtigungsprüfungen in Standardtransaktionen ergänzen, wenn die bestehenden Prüfungen Ihre Anforderungen nicht abdecken.
Berechtigungsprüfungen
Um auf betriebswirtschaftliche Objekte zuzugreifen oder SAP-Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da betriebswirtschaftliche Objekte oder Transaktionen durch Berechtigungsobjekte geschützt sind. Die Berechtigungen stellen Instanzen der generischen Berechtigungsobjekte dar und sind je nach Tätigkeit und Zuständigkeit des Mitarbeiters ausgeprägt. Die Berechtigungen werden in einem Berechtigungsprofil zusammengefasst, das zu einer Rolle gehört. Die Benutzeradministratoren weisen dem Mitarbeiter dann über den Benutzerstammsatz die entsprechenden Rollen zu, damit dieser für seine Aufgaben im Unternehmen die jeweiligen Transaktionen nutzen kann.
Wenn Sie Ihre Kriterien für die Ausführung des Reports festgelegt haben, können Sie verschiedene Varianten für den Report anlegen und entsprechende Jobs einplanen, um die inaktiven Benutzer automatisiert zu sperren bzw. für ungültig zu setzen. Sollten Sie den Report in einem System starten, das an eine Zentrale Benutzerverwaltung angeschlossen ist, müssen Sie die folgenden Punkte beachten: Sie können nur lokale Benutzersperren setzen. Sie können den Gültigkeitszeitraum nur setzen, falls die Pflege dafür in den Einstellungen der Zentralen Benutzerverwaltung auf Lokal eingestellt ist (diese Einstellung erfolgt in der Transaktion SCUM).
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Sie definieren Sicherheitsrichtlinien über die Transaktion SECPOL.
Sollten Sie Erläuterungen zu einem Customizing-Schalter benötigen, die hier nicht aufgeführt sind, suchen Sie nach dem relevanten Hinweis über die Tabelle SSM_CID.