Wichtige Komponenten im Berechtigungskonzept
Leseberechtigungen für Steuerprüfungen geschäftsjahresabhängig steuern
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Bei einem Benutzertrace handelt es sich deshalb ebenfalls um einen Trace über einen längeren Zeitraum. Währung der Trace-Ausführung wird die Berechtigungsprüfung für jeden Benutzer genau einmal aufgezeichnet.
Inhalte des Profils SAP_ALL anpassen
Ab SAP NetWeaver 7.31 ermöglicht das Security Audit Log die vollständige Darstellung von längeren Ereignisparametern in Meldungen. Dazu wurde der maximale Speicherplatz für Variablen in Meldungen auf 2 GB angehoben. Zur Einspielung dieser Erweiterung benötigen Sie einen Kernel- Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in SAP-Hinweis 1819317.
Die Berechtigungen in SAP-Systemen bilden die Grundlage für das Identity & Access Management. Sie ermöglichen den Benutzern Zugriff auf die für die Ausübung ihrer Tätigkeiten notwendigen Anwendungen. Da fachliche und organisatorische Anforderungen Änderungen unterliegen, müssen SAP-Berechtigungen regelmäßig einer Kontrolle und Nachbearbeitung unterzogen werden. Nur so ist gewährleistet, dass Prozesse sicher und technisch vollständig korrekt abgebildet werden.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die einzige Einschränkung ist hier, dass Sie nicht den Namensraum der von SAP ausgelierten Rollen verwenden dürfen.
Wenn Sie eine große SAP-Systemlandschaft im Einsatz haben, kann die Kontrolle der vielen verschiedenen Sicherheitseinstellungen aufwendig werden.