Berechtigungen für die Geschäftslogik einer App
Cloud
Neben der Optimierung bestehender Anwendungen entwickelt SAP neue betriebswirtschaftliche In-Memory-Anwendungen, die den vollen Leistungsumfang der SAP-HANA-Datenbank ausschöpfen. Beispiele sind SAP Smart Meter Analytics, SAP Dynamic Cash Management und SAP Sales and Operations Planning. Diese Anwendungen können auf SAP NetWeaver aufsetzen, sie können aber auch direkt auf der SAP HANA Platform gebaut sein.
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
SAP BASIS-ADMINISTRATOR IN DER UNTERNEHMENS- UND IT-BERATUNG
In unserem Beispiel soll nun die Last unter Beibehaltung des Applikationsprofils vergrößert werden, d. h., weitere Benutzer sollen die Anwendungen Activity Management, Opportunity Management und Vertrieb nutzen. Nehmen wir an, dass sich in unserem Beispiel die Anzahl der Benutzer um 20 % erhöhen soll. Das Re-Sizing geht davon aus, dass sich dies proportional in der Lasterhöhung niederschlägt. In der Summe können wir also von einer Hauptspeicherauslastung von 87,6 % und einer CPU-Auslastung von 51,2 % ausgehen. Das heißt, die bestehende Hardware reicht für die Erhöhung der Last aus. Allerdings ist es bei einer verteilten Installation nötig, nicht nur auf die summarische Belastung zu schauen, sondern auch die künftige Verteilung der Last auf die Server zu berücksichtigen. In unserem Beispiel erkennen wir, dass der Datenbankserver deutlich höher ausgelastet wird als die Applikationsserver. Da sich auf dem Datenbankserver eine SAP-Instanz befindet, muss die Last, die diese Instanz verursacht, reduziert und auf die beiden Applikationsserver verteilt werden.
Um die Auslastung des ICMs zu überwachen, rufen Sie den ICM-Monitor (Transaktionscode SMICM) auf: Werkzeuge > Administration > Monitor > Systemüberwachung > ICM Monitor. Im Eingangsbildschirm des Monitors erkennen Sie den Status der einzelnen Threads des ICMs. Im oberen Teil des Bildschirms finden Sie statistische Informationen über den Status der Threads (in der Zeile Erzeugte Threads), der Verbindungen (Zeile Benutzte Verbindungen) und der Queue (Zeile Benutzte Queue-Einträge). Einen Engpass im ICM erkennen Sie, wenn für mindestens einen dieser drei Parameter der Wert peak gleich dem Wert maximal ist.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Dies kann durch automatisierte Überwachung, Validierung anhand von Werkzeugen wie SAP-LVM (Landscape-Virtualization-Management) oder den SAP-Solution-Manager wie auch durch manuelle Checklisten geschehen.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Alternativ können Sie über den Schalter Im parallelen Modus in eine Prozessliste verzweigen, in der Sie den ABAP-Trace für einen gerade aktiven Workprozess aktivieren können.