Berechtigungsrollen (Transaktion PFCG)
Berechtigungstools – Vorteile und Grenzen
Die Berechtigungsprüfung auf der Ebene des Funktionsbausteins können Sie nutzen, indem Sie im Berechtigungsobjekt S_RFC im Feld RFC_TYPE (Typ des zu schützenden RFC-Objekts) den Wert FUNC (Funktionsbaustein) eintragen. Wollen Sie weiterhin Funktionsgruppen berechtigen, geben Sie hier den Wert FUGR an. Abhängig von der Ausprägung des Feldes RFC_TYPE geben Sie dann im Feld RFC_NAME (Name des zu schützenden RFC-Objekts) den Namen des Funktionsbausteins oder der Funktionsgruppe an. Diese Erweiterung der Prüfung wird durch die Korrektur im SAP-Hinweis 931251 ausgeliefert.
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
Ein Konzept für SAP-Berechtigungen beugt Systemfehlern und DSGVO-Verstößen vor
Ebenso können neben einer gesetzlichen Veröffentlichung der Bilanz und GuV (Gewinn- und Verlustrechnung) auch interne Auswertungen erstellt werden. SAP FI verfügt über direkte Schnittstellen zu anderen Modulen, wie z.B. HR oder SD. Für die Internetfreigabe von Reports ist es nötig, dass für den jeweiligen Report eine Berechtigungsgruppe gepflegt wurde.
Die indirekte Rollenvergabe verwendet für die Zuweisung der PFCG-Rollen zu den entsprechenden Anwendern die Auswertungswege PROFLO und PROFLINT. Diese Auswertungswege ignorieren allerdings das Objekt CP (zentrale Person), die den Geschäftspartner in SAP CRM darstellt. In Transaktion PFUD, die für den Benutzerabgleich sorgt, werden die Auswertungswege US_ACTGR und SAP_TAGT verwendet. Auch hier ist das Objekt CP nicht bekannt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Die Prüfung, ob die Entwicklungsrichtlinien eingehalten wurden, sollte zwingender Bestandteil der Qualitätssicherung sein, bevor die Programme produktiv genutzt werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«).