Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren
BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Zusätzliche Berechtigungsprüfung auf das Berechtigungsobjekt S_RZL_ADM: Aus Sicherheitsgründen erfolgt eine zusätzliche Berechtigungsprüfung auf das Berechtigungsobjekt S_RZL_ADM für spezielle Dateien vom Typ PSE (Personal Security Environment) mit der Zugriffsart 01 (Anlegen). Es handelt sich um Dateien mit den Namen *.pse und cred_v2. Diese Dateien werden für Single Sign-on, Verschlüsselung und digitale Signaturen benötigt. Gepflegt werden sie mithilfe der Transaktion STRUST und der Transaktion STRUSTSSO2, die dieselbe Berechtigung verlangen (Details hierzu finden Sie im SAP-Hinweis 1497104).
Werten Sie die Kritikalität der Sicherheitshinweise für Ihr Unternehmen aus und berücksichtigen Sie dabei auch die Risiken, die durch das Einspielen der SAP-Hinweise entstehen können. Dies können z. B. Risiken oder Aufwände durch Veränderung und die entsprechenden Tests in einem produktiv genutzten Geschäftsprozess sein. Abhängig von dieser Auswertung entscheiden Sie, welche Sicherheitshinweise Sie direkt einspielen und welche Hinweise im Rahmen des nächsten Wartungszyklus implementiert werden sollen.
Vergabe von Rollen
Des Weiteren ist eine Automatisierung mithilfe eines kundenspezifischen ABAP-Programms möglich. Hierzu sollten Sie sich die Tabelle AGR_TEXTS einmal genauer anschauen. Die Tabelle beinhaltet die verschiedenen Textbausteine in den verschiedenen Sprachen. Wir zeigen Ihnen hier einen Ausschnitt der Tabelle mit unserer Beispielrolle Z_SE63. Den Kurztexten wird in der Spalte LINE der Wert 00000 zugeordnet, und die Langtexte erhalten die Werte 00001 bis 0000x. Die Sprachschlüssel werden in der Spalte SPRAS angezeigt. Mithilfe eine ABAP-Programms lassen sich nun die Pendants für die Textfelder in der Zielsprache in die Felder der Tabellen schreiben.
Definieren Sie dafür zuerst, welche Informationen überprüft werden sollen. Prüfen Sie in der Transaktion SU20, ob die benötigten Felder eventuell schon als Berechtigungsfelder existieren. Möchten Sie kundeneigene Felder überprüfen, müssen Sie in der Transaktion SU20 eigene Berechtigungsfelder anlegen. Achten Sie hier insbesondere auf die bereitgestellten (F4)-Hilfen. Bei der Definition von kundeneigenen Berechtigungsfeldern vergeben Sie im Feld Feldname einen Namen, der in Ihrem Kundennamensraum liegt, und weisen das entsprechende Datenelement sowie, falls gewünscht, einen Tabellennamen für eine Wertehilfe zu. Im nächsten Schritt erstellen Sie ein eigenes Berechtigungsobjekt und weisen Ihre Berechtigungsfelder sowie, wenn notwendig, Standardberechtigungsfelder zu. Wenn Sie das Feld ACTVT für die Berechtigungsprüfung der Aktivität verwenden, müssen Sie über den Button Zulässige Aktivitäten die Aktivitäten auswählen, die Sie über den Quellcode Ihres Programmes abprüfen. Empfehlungen zu den Namenskonventionen für Berechtigungsobjekte erhalten Sie im SAP-Hinweis 395083.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Aktivierung der Organisationskriterien ist allerdings mandantenabhängig.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Damit sie verwendet werden kann, müssen Sie sie aktivieren.