Kontextabhängige Berechtigungen
Prüfung auf Programmebene mit AUTHORITY-CHECK
Mit dem SAP NetWeaver Application Server ABAP 7.31 hat sich die Funktionsweise der Transaktion SU25 geändert, insbesondere von Schritt 2a zum automatischen Vorschlagswerteabgleich mit SAP-Werten. Hier wird nun anhand von Zeitstempeln verglichen, welche Datensätze aktualisiert wurden. Damit ist es möglich, Schritt 2a auch gesondert für nachträglich installierte Softwarekomponenten auszuführen. Ein weiterer Vorteil ist, dass die zu bearbeitenden Objekte aufgrund des Zeitstempels besser identifiziert werden können. Vor SAP NetWeaver 7.31 sind die abzugleichenden Anwendungen für Schritt 2a mit ihren Basisreleaseversionen registriert worden, was Sie in den Tabellen USOB_MOD bzw. TCODE_MOD nachsehen können.
Einen Überblick über die aktiven Werte Ihrer Sicherheitsrichtlinie erhalten Sie, indem Sie auf den Button Effektiv klicken. Beachten Sie dabei, dass nicht nur die von Ihnen geänderten Werte der Attribute aktiv sind, sondern auch die Vorschlagswerte, die Sie nicht geändert haben.
Mitigierung von GRC-Risiken für SAP-Systeme
SOS-Berichte können sehr umfangreich werden. Insbesondere, wenn die Whitelists noch nicht gepflegt sind, sind Berichtsumfänge von bis zu 200 Seiten nicht unüblich. Lassen Sie sich in solch einem Fall nicht entmutigen, sondern starten Sie mit der Bereinigung einer handhabbaren Menge kritischer SOS-Ergebnisse. Die weiteren Ergebnisse können Sie dann in mehreren Runden bearbeiten. Der AGS spricht Empfehlungen dazu aus, welche kritischen SOS-Ergebnisse Sie zuerst betrachten sollten; diese finden Sie im Foliensatz AGS Security Services Master in der Media Library des SAP Service Marketplace.
Üblicherweise werden hierzu die Berechtigungen gezählt, mit denen Änderungsaufzeichnungen im System gelöscht werden können oder elektronisch radiert werden kann. Auch im Entwicklungssystem ist die Nachvollziehbarkeit von Änderungen wichtig, deshalb sind die nachfolgend aufgeführten Berechtigungen nur sehr restriktiv bzw. nur an Notfallbenutzer zu vergeben.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dieses BAPI nutzen Sie, wenn Sie einen Self-Service für das Zurücksetzen von Passwörtern implementieren, wie wir es in Tipp 52, »Passwörter mittels Self-Service zurücksetzen«, beschreiben.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Dadurch geht die Effizienz bei der Berechtigungsentwicklung immer mehr verloren.