Testen der Berechtigung
Wildwuchs mit dem Systemlastmonitor verhindern
Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen. Es gibt verschiedene rechtliche Anforderungen, die ein regelmäßiges Prüfen und Bewerten (Audit) Ihres SAP-Systems erfordern. In der Regel gibt es interne und externe Revisoren, die solche Audits durchführen. Zusätzlich kann die Benutzer- und Berechtigungsverwaltung ein eigenes Monitoring der Berechtigungen einführen, um unangenehme Überraschungen während der Audits zu vermeiden. Die Dokumentation der Audits erfolgt bei den externen Auditoren oft standardisiert; für die interne Revision oder Ihr eigenes Monitoring fehlt aber in vielen Fällen eine passende Dokumentation. Häufig fordern auch externe Revisoren trotz automatisierter Auswertungen eine Aktivierung des Audit Information Systems (AIS). Wir zeigen Ihnen daher wie Sie das AIS aktivieren und die Vorteile des neuen AIS Cockpits nutzen.
Wie Sie Sicherheitsrichtlinien pflegen und Ihren Benutzern zuordnen, haben wir in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«, beschrieben. Sie brauchen für die Umsetzung dieses Tipps eine eigene Sicherheitsrichtlinie für Administratoren, was häufig auch aus anderen Gründen sinnvoll ist. In dieser Sicherheitsrichtlinie setzen Sie dann das Richtlinienattribut SERVER_LOGON_PRIVILEGE auf den Wert 1. Beispielsweise können Sie auch die Einstellung des Richtlinienattributs DISABLE_PASSWORD_LOGON aufnehmen, da für Administratoren häufig auch eine Anmeldung mit Passwort am System möglich sein soll.
Transporte
Berechtigungen für das Datenbanksystem (System Privileges): System Privileges sind SQL-Berechtigungen, die administrative Aktionen auf der gesamten Datenbank steuern. Derartige Aktionen sind z. B. das Anlegen eines (Datenbank-)schemas (CREATE SCHEMA), das Anlegen und Ändern von Rollen (ROLE ADMIN), das Anlegen und Löschen eines Benutzers (USER ADMIN) oder das Ausführen eines Datenbank-Backups (BACKUP ADMIN).
Alternativ kann auch die Pflege der Berechtigungsobjekte über die Transaktion SU21 (Report RSU21_NEW) aufgerufen werden. Auf der linken Seite können die einzelnen Klassen und Objekte ausgewählt werden um sich dann zum Berechtigungsobjekt die vorhandenen Berechtigungsfelder und Kurzbeschreibungen sowie über die Schaltfläche "Dokumentation zum Objekt anzeigen" auch die Doku zum Objekt aufgerufen werden kann.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Das heißt, dass Sie aus der Transaktion SU24 heraus den Systemtrace starten, Tracedaten sammeln und diese Daten bei der Pflege direkt verwenden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Dabei können Sie die Ereignisse abhängig von deren Auditklasse oder Kategorisierung aufzeichnen lassen oder sie direkt über die Detaileinstellung selektieren.