RSUSR003
Reports starten
Wir empfehlen Ihnen, alle Sicherheitshinweise der Priorität very high (1) und high (2) direkt zu implementieren. Sicherheitshinweise der Priorität medium (3) und low (4) implementieren Sie hingegen über Support Packages, die Sie ebenfalls regelmäßig einspielen sollten. Können Sie aktuell kein Support Package einspielen, stellt Ihnen SAP die Sicherheitshinweise der Priorität 3 und 4 ebenfalls zur Verfügung. Für die Auswertung der Sicherheitshinweise sollten Sie einen monatlichen Security-Patch-Prozess definieren.
Achten Sie darauf, dass die für die Protokollierung vorgesehenen mandantenunabhängigen Tabellen immer protokolliert werden, wenn die Parameter nicht auf OFF gesetzt sind. Zusätzlich zu den hier angeführten Parametern muss auch in der Tabelle selbst der Haken für die Tabellenprotokollierung gesetzt sein; dies erfolgt üblicherweise mithilfe der Transaktion SE13. Die Einstellungen werden in der Entwicklung vorgenommen und dann in die weiteren Systeme transportiert. Im SAP-Standard sind bereits einige Tabellen für die Protokollierung vorgesehen; einen Überblick über diese Tabellen verschafft Ihnen der SAP-Hinweis 112388 (protokollierungspflichtige Tabellen). Die Einstellungen der Tabellen zur Protokollierung können Sie mit dem Report RDDPRCHK bzw. der Transaktion RDDPRCHK_AUDIT im SAP-System auswerten. Die Selektion erfolgt im Startbild des Reports, z. B. über den Tabellennamen oder die Auswahl der Optionen zur Protokollierung.
Architektur von Berechtigungskonzepten
Die Pflege der Berechtigungen zu den Auditstrukturen wird ebenfalls durch die Bereichsmenüs vereinfacht. Die von Ihnen genutzten Auditstrukturen bzw. Bereichsmenüs können Sie in der Rollenbearbeitung selektieren und so als Menüs in die Rollen importieren. Möchten Sie eine Einschränkung für Benutzer des AIS auf bestimmte Auditstrukturen einrichten oder einzelne Audits vor dem Zugriff schützen, können Sie dafür das Berechtigungsobjekt S_SAIS nutzen. Dieses Objekt steuert den Zugriff auf die Auditstrukturen oder die Prüfnummern einzelner Audits.
In der Transaktion AL08 werden alle angemeldeten Anwender und deren Anwendungsserver angezeigt. Hier sehen Sie in der Spalte Server Name, auf welchem Anwendungsserver der Benutzer angemeldet ist, bei dem das Berechtigungsproblem aufgetreten ist. Wechseln Sie auf diesen Anwendungsserver, indem Sie die Transaktion SM51 aufrufen und doppelt auf den herausgesuchten Anwendungsserver klicken. Führen Sie auf dem nun aktiven Anwendungsserver den Berechtigungstrace wie gewohnt durch, und prüfen Sie die Auswertung.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Auf dem Markt gibt es Lösungen, die auf der Basis von Microsoft Excel PFCG-Rollen im Handumdrehen anlegen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Der Einfachheit halber möchten wir dieses Beispiel anhand des Hintergrundjobs PFCG_TIME_DEPENDENCY erläutern.