Reports starten
Verbesserungen der Rollentransportfunktion nutzen
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Bestimmte Berechtigungen, die erst beim Ausführen eines Job-Steps von Bedeutung sind, werden zum Zeitpunkt der Einplanung für den angegebenen Step-Benutzer geprüft. So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen. Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt. Bei externen Kommandos findet eine Prüfung auf das Objekt S_LOG_COM statt.
Rollenverwaltung
Um nun Vorschlagswerte für die neue Transaktion zu definieren, verwenden Sie die Transaktion SU24_S_TABU_NAM. In der Selektionsmaske können Sie entweder Ihre neue Z-Transaktion eingeben, oder Sie geben im Suchfeld Gerufene TA (gerufene Transaktion) die Transaktion SE16 ein. Daraufhin wird nach allen Parametertransaktionen gesucht, in denen die Transaktion SE16 verwendet wird. In der Ergebnisliste finden Sie alle Parametertransaktionen, die die Transaktion SE16 als aufrufende Transaktion verwenden. Die letzten beiden Spalten geben an, ob für die Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Vorschlagswerte in der Transaktion SU24 gepflegt sind.
Dazu haben Sie die Möglichkeit, mit dem Berechtigungsobjekt P_ABAP die üblichen Berechtigungsprüfungen zu übersteuern. Dies gilt für alle Berichte, die auf die logische Datenbank PNPCE (bzw. PNP) zugreifen. Bei einer Berechtigung für P_ABAP finden die üblichen Prüfungen auf Berechtigungsobjekte, wie z. B. P_ORGIN oder P_ORGINCON, nicht mehr statt oder werden vereinfacht. Dies trifft auch für strukturelle Berechtigungen zu. Ob die Berechtigungsprüfungen vereinfacht oder komplett ausgeschaltet werden, wird über das Feld COARS des Objekts gesteuert. Wollen Sie alle Prüfungen ausschalten, setzen Sie den Wert COARS = 2. Bei diesem Wert gibt es keine Einschränkung für die angezeigten Daten im berechtigten Bericht. Wenn Sie für das Reporting erweiterte Berechtigungen erlauben möchten, diese aber nicht uneingeschränkt sein sollen, müssen Sie den Wert COARS = 1 wählen. In diesem Fall prägen Sie zusätzlich das Berechtigungsobjekt P_ORGIN (bzw. P_ORGINCON, P_ORGXX und P_ORGXXCON) aus. Allerdings müssen Sie darauf achten, nicht alle Felder der Objekte auszuprägen, da ansonsten auch der direkte Zugriff möglich ist. Prägen Sie daher immer zwei Versionen des Berechtigungsobjekts P_ORGIN aus, einmal mit den funktionalen Berechtigungen (Berechtigungslevel, Infotypen und Subtypen) und einmal mit den organisatorischen Abgrenzungen (Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis und Organisationsschlüssel). Zusätzlich brauchen Sie dann natürlich noch eine Ausprägung von P_ABAP für die relevanten Berichte mit dem Wert COARS = 1.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Regeln für die Änderung von Passwörtern sind weiterhin nicht für Benutzer vom Typ System oder Service gültig.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Eine detaillierte Prüfung dieser User können Sie durch den Report RSUSRS003 ausführen.