Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
Managed Services
Berechtigungen für Entwicklungspakete (Package Privileges): Package Privileges sind Berechtigungen, die den Zugriff auf Entwicklungspakete in der SAP-HANA-Datenbank steuern. Pakete enthalten Design- Time-Versionen von Objekten, die mit diesem Paket mittels einer Delivery Unit transportiert und somit für andere Systeme zur Verfügung gestellt werden können.
Sie möchten den Überblick behalten, welche Änderungen in der Konfiguration der Zentralen Benutzerverwaltung oder an den Verteilungsparametern für die Benutzerstammpflege vorgenommen wurden? Hierzu können Sie die Änderungsbelege zentral verwalten. Über die Zentrale Benutzerverwaltung (ZBV) werden Benutzer angelegt, Rollen zugeordnet und in die jeweiligen Tochtersysteme verteilt. Dafür muss die ZBV einmal initial konfiguriert werden. Dazu gehören u. a. das Definieren der ZBV-Landschaft, d. h. das Festlegen von Zentralsystem und Tochtersystemen, das Einstellen der Verteilungsparameter sowie die Übernahme der Benutzer aus den Tochtersystemen in das Zentralsystem. Die ZBV können Sie auch im Nachhinein noch weiterkonfigurieren. So können Sie z. B. Tochtersysteme hinzufügen oder aus der ZBV herauslösen. Einstellungen zu den Verteilungseigenschaften der Felder können Sie in der Transaktion SCUM verändern, sodass Felder, die ursprünglich global über die ZBV verteilt wurden, auch lokal pflegbar sind. Alle diese Informationen zu den Änderungen an der ZBV-Konfiguration wurden bisher nicht zentral protokolliert.
Werte aus der Zwischenablage in die Berechtigungsfelder der Transaktion PFCG kopieren
Werden RFC-Funktionsbausteine über RFC-Verbindungen (z.B. von einem RFC-Client-Programm oder einem anderen System) aufgerufen, wird im aufgerufenen System eine Berechtigungsprüfung auf das Berechtigungsobjekt S_RFC ausgeführt. Bei dieser Prüfung wird der Name der Funktionsgruppe geprüft, zu der der Funktionsbaustein gehört. Schlägt diese Prüfung fehl, prüft das System auch die Berechtigungen für den Namen des Funktionsbausteins. Konfigurieren Sie diese Prüfung mit dem Parameter auth/rfc_authority_check.
Welche Rollen hat mein Benutzer (SU01)? Wir starten mit einer einfachen Frage: welche Rollen sind deinem SAP-Benutzer eigentlich zugeordnet? Mit der Transaktion SU01 kannst du dir deinen (oder andere) SAP-Benutzer ansehen. Neben vielen anderen Informationen findest du auf dem Reiter “Rollen” die zugeordneten Einzel- und Sammelrollen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Darauf aufbauend ist es möglich, automatische Prüfungen zu entwickeln, die im Hintergrund ablaufen und regelmäßig kontrollieren, ob durch Änderungen an den Berechtigungen kritische Lücken im HR-Bereich entstanden sind.
Es reicht jedoch nicht, sich nur auf die vorgebrachten Verbesserungspotentiale zu konzentrieren, denn es muss sichergestellt sein, dass all jene Punkte, welche in der Vergangenheit nicht moniert wurden, auch weiterhin passen.