Schützen Sie nachhaltig Ihre Datenschätze mit dem richtigen Berechtigungsmanagement
SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
Programmieren Sie die erforderlichen Prüfungen (z. B. auf bestimmte Datenkonstellationen oder Berechtigungen) in diesem neuen Funktionsbaustein. Sind die Prüfungen nicht erfolgreich, soll dem Anwender die Position also nicht angezeigt werden, geben Sie die Exportstruktur einfach nicht wieder zurück. Die spätere Anzeige der Daten, wird genau um diesen Datensatz vermindert.
Die Berechtigungen im NWBC werden ebenso wie im normalen SAP-Easy-Access-Menü gehandhabt. Den Einzel- und Sammelrollen ordnen Sie beispielsweise Transaktionen und Web-Dynpro-Anwendungen in definierter Menüstruktur im Rollenmenü zu. Die Navigationsstruktur des NWBC spiegelt die Menüstruktur und die Einstellungen der entsprechenden PFCG-Rolle wieder, die dem Benutzer zugeordnet ist. Die Ordnerstruktur des Rollenmenüs hat direkten Einfluss auf die Navigationsleiste, die dem Benutzer im NWBC angezeigt wird.
Berechtigungskonzept – Benutzerverwaltungsprozess
Über administrative Tätigkeiten werden das Systemverhalten gesteuert und diverse sicherheitsrelevante Einstellungen vorgenommen. Um das Risiko eines Systemausfalls oder der Entstehung einer Sicherheitslücke zu minimieren, sollten administrative Rechte nur an Mitarbeiter der Basisadministration vergeben werden. Die nachfolgende Liste kann evtl. noch durch Vorschläge der unternehmenseigenen Administration ergänzt werden. Sie enthält jeweils nur die wesentlichen Berechtigungsobjekte je Themengebiet.
Achten Sie bei der Verwendung von Verschlüsselungsmechanismen darauf, dass Sie den Zugriff auf die PSE-Dateien (PSE = Personal Security Environment) im Dateisystem des Servers und in der Datenbank verhindern. Legen Sie dazu eine eigene Tabellenberechtigungsgruppe für die Tabelle SSF_PSE_D an, und schränken Sie den Zugriff von Programmen auf das Verzeichnis /sec im Dateisystem ein. Details zur Absicherung der Schlüsseltabellen finden Sie im SAP-Hinweis 1485029.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Dazu legen Sie in den Systemempfehlungen einen Änderungsantrag für die zu implementierenden SAP-Hinweise an.
Dies dient u.a. dazu, dass (evtl. externe) Entwickler keinen Zugriff auf produktive bzw. produktionsnahe Daten haben.