Security Automation bei SAP Security Checks
Manueller Benutzerabgleich über die Transaktion PFUD
Die Konfigurationsvalidierung ist ein Werkzeug, mit dem Systeme gegen unternehmens- oder organisationsinterne Vorgaben und Regelungen geprüft werden können. Sie finden dieses Werkzeug im Arbeitsbereich Change Management (Transaktion SOLMAN_WORKCENTER oder SM_WORKCENTER) des SAP Solution Managers. Damit können Sie die sicherheitsrelevanten Konfigurationen und kritischen Berechtigungen auswerten. Basis dafür sind die sogenannten Konfigurationsspeicher der Configuration and Change Database (CCDB) des SAP Solution Managers, in denen alle Details zur Konfiguration der angeschlossenen Systeme abgelegt werden. Die Konfigurationsdaten sind dabei in verschiedenen Konfigurationsspeichern abgelegt, abhängig von der Art der Konfiguration. Die Konfiguration des Betriebssystems, der Datenbank und von Profilparametern können Sie im ABAP- und Java-System auswerten. Außerdem erhalten Sie einen Überblick über den Status von Transportaufträgen und Support Packages. Änderungen an den Konfigurationen der angeschlossenen Systeme können Sie ebenfalls in der CCDB nachverfolgen. Diese Änderungen können Sie über eine End-to- End-Analyse in SAP BW auch grafisch auswerten; sie enthält Informationen zur Anzahl der Änderungen pro System, zur Art der Änderungen sowie das Änderungsdatum.
Änderungsbelege der Berechtigungsvorschlagspflege können Sie sich mit dem Report SU2X_SHOW_HISTORY anschauen (verfügbar mit dem im SAPHinweis 1448611 benannten Support Package). Falls der Hinweis nicht implementiert ist, verwenden Sie die Tabellen USOBT_CD und USOBX_CD. Wir empfehlen Ihnen, den Korrekturreport SU24_AUTO_REPAIR regelmäßig auszuführen. Dieser Report bereinigt Inkonsistenzen und ergänzt fehlendende Modifikationsflags in den Daten der Transaktion SU24, die bei der Ausführung der Transaktion SU25 als Fehler auftauchen können. Lesen Sie hierzu den SAP-Hinweis 1539556. Modifikationsflags werden jeweils bei den Datensätzen in der Transaktion SU24 angefügt, wenn diese von Ihnen verändert wurden. Sie sehen diese Flags in den Tabellen USOBT_C und USOBX_C.
Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen
Sie haben erheblichen Pflegeaufwand durch zusätzliche Rollen, die Sie nicht ableiten können? Legen Sie eine neue Organisationsebene an, um Ihre Probleme zu lösen. Im SAP-System können Sie für bestimmte Felder in Berechtigungsobjekten abgeleitete Rollen erstellen. Dies ist nur möglich, wenn es sich bei diesen Feldern um Organisationsebenen handelt. Leider sind nicht alle Felder, die Sie als Organisationsebene benötigen, auch im Standard als solche angelegt, beispielsweise die Kostenstelle. Auch kann es sein, dass Sie z. B. nur eine Verkaufsorganisation in Ihrem Unternehmen nutzen und daher gern das Verkaufsbüro abgrenzen möchten. Es gibt also verschiedene Gründe, aus denen Sie ein Feld als Organisationsebene definieren möchten. Daher erklären wir Ihnen hier, wie das funktioniert und was Sie dabei beachten müssen.
Sie möchten Vorschlagswerte für bestehende Anwendungen pflegen, haben aber von der aufwendigen manuellen Pflege genug? Es gibt einen neuen Weg! Das Pflegen von Vorschlagswerten kann, abhängig von Unternehmensvorgaben oder Sicherheitsrichtlinien, sehr unterschiedlich ausfallen. Je nach Anforderungen können die von SAP ausgelieferten Vorschlagswerte ausreichend sein oder müssen ergänzt werden.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Den Inhalt dieser Tabelle können Sie nun dazu verwenden, in der Transaktion SU24 die geprüften Objekte und Werte aus dem Trace in die Vorschlagswerte zu übernehmen.
Repariere defekte Feldliste in SU24-Vorschlagswerten: Diese Funktion überprüft, ob alle in den Berechtigungsvorschlägen verwendeten Berechtigungsobjekte konsistent sind, d. h. zu den Berechtigungsobjektdefinitionen aus Transaktion SU21 passen.