Aufgabe & Funktionsweise vom SAP Berechtigungskonzept
Systemsicherheit
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Hier musste ich dann ebenfalls einen Moment suchen an welcher Stelle für SAP Keyuser und nicht nur für die SAP Basis im SAP System eine Berechtigung aufrufbar ist und mag dieses gerne zum Anlass nehmen um hier im Artikel ein paar Grundlagen zur "Anatomie" der SAP Berechtigungen schreiben. Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.
RSUSRAUTH
Das ABAP-Berechtigungskonzept schützt Transaktionen, Programme und Services in SAP-Systemen vor unberechtigtem Zugriff. Auf der Grundlage des Berechtigungskonzepts vergibt der Administrator den Benutzern Berechtigungen, die festlegen, welche Aktionen ein Benutzer im SAP-System ausführen darf, nachdem er sich am System angemeldet hat und authentifiziert wurde.
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Sie bietet neben weiteren nützlichen Funktionen die Automatisierung der Massenpflege von Rollenableitungen.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Es behält daher häufig diesen Status, auch wenn der Benutzer durch den RFC-Aufruf eines Funktionsbausteins die Möglichkeit hat, das Passwort zu ändern (dann: Status Produktiv).