Leseprobe In dieser Leseprobe stellen wir Ihnen verschiedene Möglichkeiten zu Aus- wertungen in der Benutzer- und Berechtigungsverwaltung vor. Dabei geht es z. B. um nützliche Erweiterungen der Reports des Benutzerinformations- systems, das neue Audit Information Cockpit und darum, wie Sie eigene Anforderungen über SAP Query abbilden können. Anna Otto, Katharina Stelzner Berechtigungen in SAP − 100 Tipps & Tricks 460 Seiten, broschiert, Juni 2014 49,90 €, ISBN 978-3-8362-2615-8 www.sap-press.de/3463 »Auswertungen von Berechtigungen und Benutzerstammsätzen« (Kapitel 10) Inhaltsverzeichnis Index Die Autorinnen Leseprobe weiterempfehlen Wissen aus erster Hand.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
LeseprobeIn dieser Leseprobe stellen wir Ihnen verschiedene Möglichkeiten zu Aus-wertungen in der Benutzer- und Berechtigungsverwaltung vor. Dabei geht es z. B. um nützliche Erweiterungen der Reports des Benutzerinformations-systems, das neue Audit Information Cockpit und darum, wie Sie eigene Anforderungen über SAP Query abbilden können.
Anna Otto, Katharina Stelzner
Berechtigungen in SAP − 100 Tipps & Tricks460 Seiten, broschiert, Juni 2014 49,90 €, ISBN 978-3-8362-2615-8
www.sap-press.de/3463
»Auswertungen von Berechtigungen und Benutzerstammsätzen« (Kapitel 10)
TEIL 10 Auswertungen von Berechti-gungen und Benutzerstamm-sätzen
In diesem Teil stellen wir Ihnen verschiedene Möglichkeiten zu Auswertungen in der Benutzer- und Berechtigungsverwaltung vor. Dabei geht es z. B. um nützliche Erweiterungen der Reports des Benutzerinformationssystems, das neue Audit Information Cockpit und darum, wie Sie eigene Anforderungen über SAP Query abbilden können.
› Tipps in diesem Teil
Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren .... 368
Tipp 85 Nach Benutzer- und Passwortsperren suchen ......................... 371
Tipp 86 Ausführbare Transaktionscodes ermitteln ............................... 373
Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung auswerten .............................................................................. 376
Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen ........................................................................... 379
Tipp 89 Audit Information System Cockpit nutzen .............................. 384
Tipp 90 Einstellungen zur Systemänderbarkeit einsehen ..................... 388
Tipp 91 Mit den Standardbenutzern und deren Initialpasswörtern umgehen ............................................................................... 391
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
368
Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren
Manche Abfragen sind auch mit der Transaktion SUIM ein wenig umständlich. Mit SAP Query können Sie schnell Abfragen zusammenbauen, die individuelle und komplexere Datenauswertungen ermöglichen.
Wollen Sie schnell wissen, welche gültigen Benutzer aktuell einen ändern-den Zugriff auf eine bestimmte Tabelle haben oder über welche Rollen die Benutzer die Berechtigung für eine bestimmte Transaktion erhalten? Für Datenabfragen dieses Typs ist das SAP-Standardwerkzeug, das Benutzer-informationssystem, für die meisten Recherchefälle eine hervorragende Lösung. Allerdings passiert es spätestens bei der nächsten Prüfung durch die Revision, dass gezielte Abfragen mit Datenkombinationen – und damit meh-rere SUIM-Abfragefolgen – innerhalb kurzer Zeit geliefert werden müssen. SAP Queries können diese Tätigkeit erleichtern.
Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabel-len abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten. Dabei gibt es die Möglichkeit, mehrere Tabellen zu verknüpfen (Join), wodurch aus mehreren SE16-Abfragen nur eine SAP Query wird. Wollen Sie z. B. wissen, über welche Rollen die Benutzer die Berechtigung beziehen, die Transaktion SCC4 auszuführen, können Sie über die Transaktion SUIM zwar mit einer Abfrage feststellen, welche Benutzer die Transaktion ausführen können und sich in einer anderen Abfrage anzeigen lassen, welche Rollen dies ermöglichen – jedoch gibt es hier kein Ergebnis, in dem beides ange-zeigt wird.
› Und so geht’s
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an.
Tipp 84Berechtigungen mit SAP Query analysieren und evaluieren Tipp 84
369
Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an.
Query mit Tabellen-Join als Datenquelle anlegen
Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten � Tabelle einfügen (oder über den Button ) kön-nen Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERSfür die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
Tabellen-Join für die Tabellen AGR_1251 und AGR_USERS anlegen
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
370
Wenn Ihre Auswahl vollständig ist, verlassen Sie das Bild einfach mit dem grünen Zurückknopf. Sie gelangen nun auf den Detailauswahlbildschirm, in dem Sie die Selektionsfelder und die Ausgabefelder (die Registerkarten Lis-tenfeldauswahl und Selektionsfelder) Ihrer Tabellenkombination auswählen können. Wir wählen die Berechtigungsobjekte und -werte als Selektion und den Rollennamen sowie den Benutzer als Ausgabefelder.
Selektions- und Ausgabefelder festlegen
Fertig! Jetzt kann die Query mit dem Button Ausführen gestartet werden. Dabei erstellt das System im Hintergrund ein Programm, das den Join auf-baut. Als Ergebnis wird Ihnen ein Selektionsbild angezeigt. Geben Sie dort »S_TCODE« als Objekt und »SCC4« als Feldwert an (wir haben bei diesem Objekt ja nur ein Feld). Wenn Sie dann auf Ausführen klicken, werden Ihnen alle Benutzer und die auslösenden Rollen ausgegeben.
Nach Benutzer- und Passwortsperren suchen Tipp 85
371
Tipp 85 Nach Benutzer- und Passwortsperren suchen
Ist es für Ihre Auswertungen notwendig, die gesperrten oder ungültigen Benutzer zu selektieren? Dies ist nun mit den Erweiterungen des Benutzer-informationssystems direkt möglich.
Es besteht immer wieder die Anforderung, die vorhandenen Benutzer in Ihrem SAP-System auszuwerten. Anlass können z. B. von Wirtschaftsprüfern eingeforderte Listen sein. In einem solchen Fall möchten Sie natürlich ungül-tige Benutzer und solche mit Administratorsperre von der Selektion ausneh-men. Bisher mussten Sie dazu mit den Reports RSUSR200 und RSUSR002 des Benutzerinformationssystems (Transaktion SUIM) verschiedene Auswertun-gen durchführen und die Listen nachträglich bearbeiten. Die Ergebnisse wurden unter Umständen von den Wirtschaftsprüfern nicht akzeptiert, da die Listen erkennbar manipuliert wurden, auch wenn diese Manipulation gerechtfertigt war. Sie können diese Selektion nun direkt eingeben. Wir zei-gen Ihnen im Folgenden, wie Sie nach Benutzern mit Passwort- oder Admi-nistratorsperre suchen bzw. diese aus Ihrer Selektion ausschließen können.
› Und so geht’s
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hin-weis werden die Reports RSUSR200 und RSUSR002 um die Selektion ver-schiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht.
Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie
Tipp 85
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
372
die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nichtgesetzt) selektieren wollen. Dabei werden lokale und globale Administrator-sperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskri-terien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heutegültig und Benutzer heute nicht gültig wählen.
Selektion nach Benutzersperren und Gültigkeit im Report RSUSR200
Ausführbare Transaktionscodes ermitteln Tipp 86
373
Tipp 86 Ausführbare Transaktions-codes ermitteln
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein?
Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System aus-werten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführ-baren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgen-den klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
› Und so geht’s
Sie finden den Report RSUSR010 im Benutzerinformationssystem unter dem Eintrag Transaktionen � ausführbare Transaktionen (alle Selektionsmöglich-keiten). Sie können den Report, wie bereits beschrieben, für Benutzer, Rol-len, Profile und Berechtigungen ausführen. Wir werden im Folgenden die Auswertung für die Benutzer beschreiben (siehe Abbildung nächste Seite oben); für die anderen Selektionsmöglichkeiten verhält sich die Arbeitsweise des Reports analog.
Der Report RSUSR010 ermittelt alle Transaktionen, die ein Benutzer starten darf. In der Übersicht der ausführbaren Transaktionen können Sie sich dann per Doppelklick auf die entsprechende Transaktion (in der Abbildung z. B. PFCG) die Liste der Berechtigungsobjekte und Werte zu dieser Transaktion anzeigen lassen.
Tipp 86
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
374
Report RSUSR010 im Benutzerinformationssystem
Ergebnis der ausführbaren Transaktionen für einen Benutzer
Die Anzeige der ausführbaren Transaktionen kann sich von den Transaktio-nen, für die der Benutzer Berechtigungen hat, unterscheiden, weil der Report RSUSR010 nur die tatsächlich ausführbaren Transaktionen anzeigt. Zu deren Ausführung ist nicht nur die Startberechtigung für die Transaktion über das Berechtigungsobjekt S_TCODE notwendig, sondern es müssen auch die folgenden Voraussetzungen vorliegen:
� Für bestimmte Transaktionen gibt es zusätzliche Berechtigungsprüfungen, die noch vor dem Start der Transaktion ausgeführt werden. Diese Berech-tigungsobjekte sind dann zusätzlich in der Transaktion SE93 eingetragen (Tabelle TSTCA). Dies können z. B. Abfragen zu den Berechtigungsobjekten P_TCODE, Q_TCODE oder S_TABU_DIS sein.
� Der Transaktionscode muss Gültigkeit haben (d. h. in der Tabelle TSTC ein-getragen sein) und darf nicht durch den Systemadministrator gesperrt sein (in der Transaktion SM01).
Ausführbare Transaktionscodes ermitteln Tipp 86
375
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sor-gen, dass die Transaktion ohne Prüfung ausgeführt werden darf:
� Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE.
� Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Trans-aktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat.
Zusätzlich können ausführbare Transaktionen aber auch durch die Zuord-nung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
376
Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung auswerten
Sie verwenden die Zentrale Benutzerverwaltung und fragen sich, warum Sie die Lizenzdaten trotzdem einzeln in den angeschlossenen Systemen auswerten müssen. Das muss nicht sein, denn eine zentrale Auswertung ist möglich!
Für die Nutzung von SAP-Systemen fallen Lizenzkosten an, und Sie brauchen entsprechende SAP-Lizenzschlüssel. Die Höhe Ihrer Lizenzkosten wird im laufenden Betrieb ermittelt, abhängig von der Anzahl der Benutzer und der genutzten Funktionen der SAP-Software. Dazu dient das Vermessungspro-gramm (Transaktion USMM), dessen Ergebnisse Sie an SAP übermitteln. Dabei ist nicht nur die Anzahl der Benutzer relevant, sondern auch deren Klassifizierung, die sogenannten Nutzertypen. Diese ordnen Sie dem Benut-zer über die Transaktion SU01 oder die Transaktion SU10 (Registerkarte Lizenzdaten) zu. Alternativ können Sie den Benutzer auch den Nutzertyp eines Referenzbenutzers erben lassen oder ihn über eine zugeordnete Rolle klassifizieren. Dies erfolgt analog, wenn Sie die Zentrale Benutzerverwaltung (ZBV) nutzen. Bisher gab es aber keine zentrale Auswertung der Daten aller an die ZBV angeschlossenen Systeme. Dies hat sich nun geändert, und wir zeigen Ihnen, wie Sie diese Auswertung nutzen können.
› Und so geht’s
Spielen Sie den SAP-Hinweis 1171185 in Ihr ZBV-System ein. Mit diesem Hinweis wird der Report RSUSR_SYSINFO_LICENSE ausgeliefert, der die Nut-zertypen aus den an die ZBV angeschlossenen Systemen abruft und anzeigt. Zusätzlich muss allerdings der SAP-Hinweis 1307693, der neue Funktionali-täten der Lizenzvermessung enthält, auf den an die ZBV angeschlossenen Tochtersystemen installiert sein. Ergänzend müssen Sie gegebenenfalls die Berechtigungen der Benutzer in den RFC-Verbindungen zu den Tochter-
Tipp 87Lizenzdaten über die Zentrale Benutzerverwaltung auswerten Tipp 87
377
systemen der ZBV um die Berechtigung zum Objekt S_RFC mit den Funkti-onsgruppen SUNI und SLIM_REMOTE_USERTYPES erweitern. Sollte der SAP-Hinweis 1307693 auf einem Tochtersystem nicht installiert oder die Berech-tigungen des RFC-Benutzers nicht entsprechend angepasst worden sein, gibt der Report RSUSR_SYSINFO_LICENSE im Anwendungs-Log (Transaktion SLG1) eine entsprechende Warnung aus.
Die Auswertung der Lizenzdaten über die ZBV mit dem Report RSUSR_SYSINFO_LICENSE liefert eine Ergebnisliste mit den folgenden Inhalten:
� Vertraglicher Nutzertyp Diese Spalte beinhaltet die tatsächlichen lokalen Benutzertypen aus den Tochtersystemen der ZBV.
� Wert in Zentrale Diese Spalte beinhaltet den zentralen Benutzertyp aus der ZBV, der für das jeweilige Tochtersystem zu dem Benutzer hinterlegt ist.
Diese Darstellung wurde gewählt, damit die Unterschiede in der Einstufung von Benutzertypen sichtbar werden, denn es kann trotz der Einstellung Glo-bal für den Verteilungsparameter der Lizenzdaten (in der Transaktion SCUM) vorkommen, dass sich die Einstellungen in der ZBV von den Einstel-lungen des Tochtersystems unterscheiden. Zusätzlich können Sie im Report noch die Spalten ID: Vertraglicher Nutzertyp und ID: Wert in Zentrale ein-blenden, die die technischen Werte zum Benutzertyp beinhalten.
Sollten Benutzer auf den Tochtersystemen nicht für die Lizenzvermessung relevant sein, wird der Wert Benutzer ist für die Lizenzvermessung irrelevantin der Spalte Vertraglicher Nutzertyp ausgegeben. Dieser Wert tritt für die folgenden Benutzer auf:
� technische Benutzer
� Benutzer ist nicht vorhanden
� Benutzer ist nicht gültig
� Benutzer ist vom Typ Referenzbenutzer
Für Benutzer, zu denen in der ZBV kein Benutzertyp definiert wurde, wird entweder der Standardbenutzertyp des Tochtersystems oder der über den lokalen Lauf des Vermessungsprogramms (Transaktion USMM) definierte Benutzertyp in der Spalte Vertraglicher Nutzertyp ausgegeben. In der Spalte Wert in der Zentrale wird in diesem Fall kein Wert ausgegeben. Wurde der Benutzertyp über einen lokalen Lauf des Vermessungsprogramms definiert
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
378
und ist dieser Benutzertyp nicht in der ZBV hinterlegt, sollten Sie die Lizenz-daten für diesen Benutzer mithilfe der Transaktion SCUG erneut aus dem Tochtersystem in die ZBV übernehmen.
Gibt es Benutzer in den Tochtersystemen, für die sich der Wert in den Spal-ten Vertraglicher Nutzertyp und Wert in ZBV Zentrale unterscheiden, wurde entweder das IDoc der ZBV noch nicht verarbeitet, oder der Benutzertyp wurde lokal geändert. In diesen Fällen sollten Sie prüfen, wodurch die Diffe-renzen begründet sind, und sie ebenfalls bereinigen.
Auswertung des Reports RSUSR_SYSINFO_LICENSE
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen Tipp 88
379
Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Haben Sie sich schon einmal gefragt, wer in Ihrem System über kritische Berechtigungen verfügt? Fehlten Ihnen bisher das Tool und die Herangehens-weise, um diese Benutzer zu identifizieren?
Die Benutzeranlage in einem SAP-System ist auch immer mit einer Berechti-gungsvergabe verbunden. Über den Lebenszyklus eines Benutzers im SAP-System werden immer mehr Berechtigungen angesammelt, wenn diese nicht wieder entzogen werden, sobald sie nicht mehr gebraucht werden. Diese Ansammlung hat zwangsläufig zur Folge, dass Benutzer mehr Aktio-nen durchführen können, als Ihnen als Berechtigungsadministrator lieb ist. Um dies zu vermeiden, wollen wir Ihnen ein geeignetes Werkzeug an die Hand geben.
› Und so geht’s
Der Report RSUSR008_009_NEW (Liste der Benutzer mit kritischen Berechti-gungen) wird ab SAP Web Application Server 6.20 mit den folgenden Sup-port Packages bereitgestellt:
� Release 6.20, beginnend mit SAPKB62039
� Release 6.40, beginnend mit SAPKB64003
Sie können die alten Reports RSUSR008 und RSUSR009 bis zum Release 6.40 weiterverwenden. Der Report RSUSR008_009_NEW wird mit den alten SAP-Vorschlägen für kritische Berechtigungsdaten ausgeliefert, die schon für den Report RSUSR009 verwendet wurden.
Tipp 88
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
380
Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinatio-nen als sogenanntes Risiko abzubilden. Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Kom-ponente SAP Access Control ersetzen. Vielmehr sollte dieser Report als Indi-kator für den aktuellen Systemzustand verstanden und eingesetzt werden.
Mit dem Report ermitteln Sie die Benutzer, die über die in der Tabelle USKRIA definierten kritischen Berechtigungskombinationen verfügen. Die Kennung, die auch als Risiko-ID bezeichnet werden kann, beschreibt eine Kombination von Berechtigungsobjekten mit Feldnamen und Feldwerten. Diese werden mit einem der beiden zur Verfügung stehenden Operanten AND oder OR miteinander verknüpft. Eine mögliche Kombination von Berech-tigungsobjekten ist in der folgenden Tabelle zu sehen:
Ein Benutzer wird in der Ergebnisliste angezeigt, wenn eine der beiden Transaktionen mit der entsprechenden Ausprägung in seinem korrespondie-renden Berechtigungsprofil enthalten ist. Würde die logische Verknüpfung vollständig mit OR verknüpft, würde ein entsprechender Benutzer bereits dann in der Ergebnisliste angezeigt, wenn nur eine der vier Berechtigungen im Benutzerstammsatz und somit im Berechtigungsprofil vorliegt.
Ein Hinweis zur zugrunde liegenden Tabelle USKRIA: Diese Tabelle ist man-dantenunabhängig. Aus diesem Grund können Sie diese Tabelle in Syste-men, die gegen ein mandantenübergreifendes Customizing gesperrt sind, nicht pflegen. In diesem Fall sollten Sie einen Transportauftrag im Entwick-lungssystem anlegen und die Tabelle ins Produktivsystem transportieren.
Sie haben zwei Möglichkeiten, um den Report RSUSR008_009_NEW zu star-ten; beide Wege führen auf den Einstiegsbildschirm:
� in der Transaktion SUIM über Benutzer � mit kritischen Berechtigungen
� über die Transaktion SA38, in der Sie den Report direkt auswählen
Kennung Objekt Feld von bis AND/OR Text Farbe
ZB01 S_TCODE TCD SM30 OR ... 3
ZB01 S_TCODE TCD SM31 OR ... 3
ZB01 S_TABU_DIS ACTVT 02 03 AND ... 3
ZB01 S_TABU_DIS DICBERCLS SC AND ... 3
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen Tipp 88
381
Einstiegsbildschirm des Reports RSUSR008_009_NEW
Die Definition der kritischen Berechtigungen erfolgt in diesen Schritten:
1. Wählen Sie auf dem Einstiegsbildschirm den Button Kritische Berechti-gungen. Ihnen werden nun in der Dialogstruktur zwei Ordnerpaare angezeigt:
– Varianten zu kritischen Berechtigungen � krit. Berechtigung
– krit. Berechtigung � Berechtigungsdaten
2. Öffnen Sie im Änderungsmodus in der unteren Ordnerhierarchie mit einem Doppelklick den Ordner krit. Berechtigung, und wählen Sie anschließend Neue Einträge.
3. Geben Sie nun im rechten Bildschirmbereich für die Felder ID Berechti-gung, Text, Farbe und Transaktionscode die entsprechenden Daten ein.
Kritische Berechtigung anlegen
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
382
4. Speichern Sie Ihre Eingaben. Beim Speichern werden Sie nach einem Cus-tomizing-Auftrag gefragt. Geben Sie diesen entsprechend an.
5. Markieren Sie den soeben angelegten Eintrag, und öffnen Sie per Dop-pelklick den Ordner Berechtigungsdaten, um die Berechtigungsdaten zu pflegen.
6. Anschließend erstellen Sie eine Variante. Hierzu öffnen Sie mit einem Doppelklick den Ordner Varianten zu kritischen Berechtigungen und wäh-len Neue Einträge. Geben Sie nun den Namen und die Beschreibung der Variante ein, und speichern Sie Ihre Eingaben.
Variante erstellen
7. Nun weisen Sie der Variante die Kennung der erstellten kritischen Berechtigung zu. Dazu markieren Sie die Variante, und anschließend gelangen Sie per Doppelklick in den Unterordner Varianten zu kritischenBerechtigungen � krit. Berechtigungen in der Eingabemaske. Klicken Sie nun auf Neue Einträge, und wählen Sie aus der Liste Ihre soeben erstellte Variante aus – in unserem Beispiel ZB01. Anschließend speichern Sie Ihre Eingaben.
8. Abschließend können Sie Ihre Reportvariante mit kritischen Berechti-gungen ausführen. Hierzu gehen Sie zurück auf den Einstiegsbildschirm des Reports RSUSR008_009_NEW und wählen im Bereich Name der Vari-ante die Option für kritische Berechtigungen aus. Selektieren Sie nun mithilfe der Wertehilfe die soeben erstellte Variante, und führen Sie diese aus.
Nach der erfolgreich durchgeführten Analyse auf Ihrem Zielsystem mit der von uns definierten Variante für eine kritische Berechtigung ZB01 erhalten Sie die folgende Bildschirmausgabe. Das Beispiel zeigt uns die Menge der Benutzer im System, die über die kritische Berechtigung ZB01 verfügen.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen Tipp 88
383
Analyseergebnis für eine kritische Berechtigung
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
384
Tipp 89 Audit Information System Cockpit nutzen
Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen.
Es gibt verschiedene rechtliche Anforderungen, die ein regelmäßiges Prüfen und Bewerten (Audit) Ihres SAP-Systems erfordern. In der Regel gibt es interne und externe Revisoren, die solche Audits durchführen. Zusätzlich kann die Benutzer- und Berechtigungsverwaltung ein eigenes Monitoring der Berech-tigungen einführen, um unangenehme Überraschungen während der Audits zu vermeiden. Die Dokumentation der Audits erfolgt bei den externen Audi-toren oft standardisiert; für die interne Revision oder Ihr eigenes Monitoring fehlt aber in vielen Fällen eine passende Dokumentation. Häufig fordern auch externe Revisoren trotz automatisierter Auswertungen eine Aktivierung des Audit Information Systems (AIS). Wir zeigen Ihnen daher wie Sie das AIS akti-vieren und die Vorteile des neuen AIS Cockpits nutzen.
› Und so geht’s
In SAP-Hinweis 1763089 finden Sie Informationen zu den Systemvorausset-zungen und Support Packages, die Sie benötigen, um auf die neue Funktion zuzugreifen. Mit diesen Support Packages wird die Transaktion SAIS, das neue AIS Cockpit, ausgeliefert. Damit wurde das AIS vom vorherigen Rollen-konzept wieder auf themenbezogene Auditstrukturen umgestellt und bietet neue Funktionen, wie die Protokollierung aller Prüfungsaktivitäten.
Das AIS gibt es im SAP-System schon recht lange; es wurde als Arbeitsmittel zur Prüfung und Bewertung von SAP-Systemen konzipiert und wird im Stan-dardumfang von SAP ERP ausgeliefert. Es beinhaltet die Funktion der Auditstrukturen, einer Sammlung von Prüfungsfunktionen zu den Bereichen des kaufmännischen Audits und des Systemaudits, inklusive deren Dokumen-
Tipp 89Audit Information System Cockpit nutzen Tipp 89
385
tation. Das kaufmännische Audit beinhaltet organisatorische Übersichten und bilanzorientierte bzw. prozessorientierte Funktionen. Damit können Sie z. B. Informationen zur Finanzbuchhaltung und zu Steuerbelangen auswerten. Das Systemaudit des AIS deckt die allgemeinen Systemprüfungen und die Analyse der Benutzer und Berechtigungen ab. Es beinhaltet z. B. Funktionen zur Über-prüfung von Profilparametern oder des Transportwesens.
Mit der neuen Transaktion SAIS gelangen Sie in das AIS Cockpit, in dem Sie die verschiedenen themenbezogenen Auditstrukturen auswerten können. Bei der Durchführung eines Audits wählen Sie unter Auditstruktur eine der vorhandenen Strukturen aus und selektieren eine Prüfnummer im entspre-chenden Feld. Für die Auditstrukturen können unterschiedliche Audits durchgeführt werden; daher müssen Sie immer zuerst ein Audit auswählen. Hierzu wählen Sie eine Prüfnummer aus oder legen ein neues Audit an.
Selektion der Auditstruktur und einer passenden Prüfnummer in der Transaktion SAIS
Nachdem Sie das Audit ausgewählt haben, wird Ihnen die Auditstruktur im Cockpit angezeigt. Sie können nun die einzelnen Schritte des Audits entlang der Definition in der Auditstruktur durchführen.
Übersicht über ein Audit zu einer Auditstruktur in der Transaktion SAIS
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
386
Es gibt drei Komponenten bei der Durchführung eines Audits:
� Dokumente Die Dokumente in der Auditstruktur beschreiben die Prüfungsschritte. Sie können sie analog zu Ihren Auditanforderungen anlegen. Dokumente er-kennen Sie anhand des Symbols . Durch einen Doppelklick auf dieses Symbol öffnen Sie das Dokument.
� Transaktionen Transaktionen in der Auditstruktur starten die für das Audit erforderlichen Auswertungen. Sie erkennen Transaktionen an dem Uhrensymbol ( ). Durch einen Doppelklick auf das Symbol wird die betreffende Transaktion in einem neuen Fenster geöffnet, und Sie können die Auswertung starten. Außerdem werden im oberen rechten Bereich der Anzeige in der Transak-tion SAIS die Protokolleinträge zu dieser Prüfungsaktivität angezeigt. Diese beinhalten das aktuelle Ausführungsdatum, die Benutzer-ID des Prüfers, einen Prüfstatus, den Sie selbst vergeben, eine Wichtung sowie eine Be-gründung für den Prüfungsstatus, die Sie ebenfalls selbst in ein Textfeld eingeben. Darunter finden Sie eine Übersicht der bisher durchgeführten Prüfungsaktivitäten, ebenfalls mit einem Zeitstempel, der Benutzer-ID des Prüfers, der Wichtung dem Status der Prüfungsaktivität und einer Begrün-dung. Damit die Prüfungsaktivitäten nicht manipuliert werden können, ist es nicht möglich, einmal gespeicherte Daten zu ändern.
� Protokolle Protokolle existieren zu allen durchgeführten Audits. So können Sie zu ei-nem späteren Zeitpunkt die Historie der Auditergebnisse durchsehen oder sich nur die Ergebnisse der letzten Durchführung anzeigen lassen. Dazu nutzen Sie die Protokollauswertung des AIS in der Transaktion SAIS_LOG oder klicken in der Transaktion SAIS auf den Button .
Benötigen Sie alte Auditergebnisse nicht mehr, können Sie diese mit der Transaktion SAIS über den Button (Administration der Auditumgebung) archivieren oder löschen. Die Selektion der Auditergebnisse erfolgt anhand der Auditstrukturen, der Prüfnummern oder des Eintragsdatums (siehe Abbildung nächste Seite).
Sie können das AIS Cockpit an Ihre Anforderungen anpassen. Hierzu nutzen Sie das Customizing, das Sie in der Transaktion SAIS ebenfalls unter dem Button Administration der Auditumgebung finden. Wählen Sie dort AuditCockpit konfigurieren aus, und Sie können eine Standardauditstruktur, die
Audit Information System Cockpit nutzen Tipp 89
387
maximale Zeilenlänge für Protokolleinträge und die Anzahl der Protokoll-einträge pro Prüfschritt definieren.
Auditprotokolle in der Transaktion SAIS archivieren oder löschen
Die themenbezogenen Auditstrukturen werden auf der Basis von Bereichs-menüs erstellt. Dabei werden zum einen SAP-Default-Auditstrukturen ange-boten, und zum anderen haben Sie die Möglichkeit, kundeneigene Auditstrukturen als Bereichsmenüs anzulegen. Der Vorteil der Auditstruktu-ren als Bereichsmenüs ist, dass Sie bereits bestehende Bereichsmenüs nutzen oder einfach neue Bereichsmenüs anlegen können. Die Transaktion SE43gibt Ihnen eine Übersicht über die vorhandenen Bereichsmenüs; sie dient ebenfalls der Pflege und dem Transport der Bereichsmenüs.
Das AIS Cockpit befindet sich zurzeit noch in der Pilotauslieferung ohne SAP-Default-Auditstrukturen. Sobald diese verfügbar sind, werden sie im SAP-Hinweis 1856125 aufgeführt. Vor der erneuten Umstellung des AIS auf themenbezogene Auditstrukturen wurden die AIS-Standardrollen der rollen-basierten Pflegeumgebung in den Kundennamensraum kopiert und den Benutzern zugeordnet. Die AIS-Standardrollen können Sie ebenfalls als Vor-lage für kundeneigene Bereichsmenüs verwenden.
Die Pflege der Berechtigungen zu den Auditstrukturen wird ebenfalls durch die Bereichsmenüs vereinfacht. Die von Ihnen genutzten Auditstrukturen bzw. Bereichsmenüs können Sie in der Rollenbearbeitung selektieren und so als Menüs in die Rollen importieren. Möchten Sie eine Einschränkung für Benutzer des AIS auf bestimmte Auditstrukturen einrichten oder einzelne Audits vor dem Zugriff schützen, können Sie dafür das Berechtigungsobjekt S_SAIS nutzen. Dieses Objekt steuert den Zugriff auf die Auditstrukturen oder die Prüfnummern einzelner Audits.
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
388
Tipp 90 Einstellungen zur System-änderbarkeit einsehen
Umfangreiche Berechtigungen für die Transaktionen SCC4 und SE06 sollten Sie nicht an interne und externe Revisoren vergeben, nur damit diese die Systemänderbarkeit einsehen können. Wir stellen Ihnen den Report vor, der zur Anzeige der Systemänderbarkeit nur die Berechtigungen erfordert, die ein Revisor üblicherweise hat.
Es gibt verschiedene Personen, die die Einstellungen zur Systemänderbarkeit in Ihrem System aus bestimmten Gründen einsehen möchten. Dies können Mitarbeiter der internen Revision, Wirtschaftsprüfer oder auch Entwickler sein. Die Anzeige dieser Einstellungen, z. B. über die Transaktionen SCC4oder SE06 ist an sich unkritisch; allerdings waren dafür bisher Berechtigun-gen notwendig, die dem soeben beschriebenen Personenkreis üblicherweise nicht zugeordnet werden. Seit SAP NetWeaver 7.0 gibt es alternativ einen Report, der die Einstellungen zur Systemänderbarkeit anzeigt. Dieser Report erfordert nur Anzeigeberechtigungen, die dem oben beschriebenen Perso-nenkreis ohne Bedenken zugeordnet werden können. Die Anwendung die-ses Reports und die erforderlichen Berechtigungen stellen wir Ihnen an die-ser Stelle vor.
› Und so geht’s
Spielen Sie den SAP-Hinweis 1433352 in Ihr System ein. Mit diesem Hin-weis wird der Report RSAUDIT_SYSTEM_STATUS ausgeliefert. Dieser Report dokumentiert den aktuellen Status der Einstellungen zur Mandanten- und Systemänderbarkeit in einer Übersicht, die Sie bei Bedarf zur Auswertung auch ausdrucken können.
Tipp 90Einstellungen zur Systemänderbarkeit einsehen Tipp 90
389
Druckbare Übersicht des Reports RSAUDIT_SYSTEM_STATUS
Der Vorteil dieses Reports ist, dass reine Anzeigeberechtigungen zu dessen Ausführung notwendig sind. Dies sind die erforderlichen Berechtigungen:
� Transaktionsstartberechtigung für RSAUDIT_SYSTEM_ENV:
– S_TCODE mit TCD = RSAUDIT_SYSTEM_ENV
� Anzeige des Systemaudits:
– S_ADMI_FCD mit S_ADMI_FCD = AUDD
� Anzeigeberechtigung für die relevanten Tabellen:
– S_TABU_DIS mit ACTVT = 03 und DICBERCLS = SS oder
– S_TABU_NAM mit ACTVT = 03 und TABLE = T000 und/oder TRNSPACE
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
390
Bitte beachten Sie in diesem Fall, dass Sie die TabellenberechtigungsgruppeSS gegebenenfalls durch andere Tabellenberechtigungsgruppen ersetzen müssen. Dies ist erforderlich, wenn Sie bei der Pflege der Tabellenberechti-gungsgruppen z. B. für die Tabelle T000 eine andere Tabellenberechtigungs-gruppe eingetragen haben (siehe Tipp 55, »Tabellenberechtigungsgruppen pflegen«).
Mit den Standardbenutzern und deren Initialpasswörtern umgehen Tipp 91
391
Tipp 91 Mit den Standardbenutzern und deren Initialpasswörtern umgehen
Initialpasswörter bei Standardbenutzern sind extrem riskant, da diese veröf-fentlicht sind. Sorgen Sie dafür, dass diese Sicherheitslücke in Ihrer System-landschaft nicht existiert.
Ein SAP-System wird immer mit bestimmten Standardbenutzern ausgeliefert bzw. diese werden z. B. für das Transportmanagementsystem automatisch eingerichtet. Diese Standardbenutzer verwenden Initialpasswörter, die hin-länglich bekannt sind. Schließen Sie diese Sicherheitslücke, indem Sie die Passwörter ändern und die Standardbenutzer gegen unbefugte Benutzung absichern. Wir zeigen Ihnen in diesem Tipp, wie Sie den Status der Passwör-ter Ihrer Standardbenutzer klären können und geben Ihnen Empfehlungen zu den Einstellungen Ihrer Profilparameter.
› Und so geht’s
Nutzen Sie den Standardreport RSUSR003 (bzw. die dazugehörige Transak-tion RSUSR003) zur Prüfung der Standardbenutzer auf Initialpasswörter und zur Sicherstellung der Sicherheitsrichtlinien, die diesen Benutzern zugeord-net sind. Dazu können Sie auf der Startseite ein eigenes Layout definieren und verwenden.
Nach der Ausführung des Reports wird Ihnen eine Übersicht der vorhande-nen Standardbenutzer in den unterschiedlichen Mandanten angezeigt. Diese beinhaltet den Passwortstatus, ein Sperrkennzeichen, die Gründe für die Sperre, die Anzahl der Falschanmeldungen, die Gültigkeitszeiträume der Benutzer sowie die den Benutzern zugeordneten Sicherheitsrichtlinien. Die Sicherheitsrichtlinien werden Ihnen angezeigt, damit Sie nachvollziehen
Tipp 91
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
392
können, ob für diese Benutzer spezielle Anmeldebedingungen oder Pass-wortregeln gelten.
Auswertung des Reports RSUSR003
Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert. In älteren Releases wird im Startbild des Reports anstelle der Übersicht über die Sicherheitsrichtlinien eine Selekti-onsseite für die Profilparameter angeboten. Wenn Sie in dieser Selektions-sicht Profilparameter anzeigen auswählen, erhalten Sie in der oberen Hälfte des Bildschirms eine Übersicht zu den Profilparametereinstellungen. Hier sollten Sie besonders auf die Einstellung des Parameters login/no_automatic_user_sapstar achten und dessen Einstellung auch nach der Umstellung auf die Sicherheitsrichtlinien kontrollieren.
Bitte beachten Sie, dass in Abhängigkeit vom Ergebnis des Reports RSUSR003eine System-Log-Meldung vom Typ E03 erzeugt wird. Sollte ein kritisches Merkmal (rot hinterlegt) erkannt werden, wird der Meldungstext »Pro-gramm RSUSR003 meldet ›Security violation‹« in das System-Log geschrie-ben. Falls kein kritisches Merkmal erkannt wurde, wird stattdessen die Mel-dung »Programm RSUSR003 meldet ›Security check passed‹« ausgegeben.
Mit den Standardbenutzern und deren Initialpasswörtern umgehen Tipp 91
393
Diese Meldung erfolgt, da die Information zum Passwortstatus der Standard-benutzer hochgradig sicherheitsrelevant ist und Sie die Zugriffe darauf nach-vollziehen können sollten.
Sie können der Benutzer- und Systemadministration Änderungsberechtigun-gen für den Report RSUSR003 erteilen oder nur eine Ausführungsberechti-gung mit dem Berechtigungsobjekt S_USER_ADM und dem Wert CHKSTDPWDim Feld S_ADM_AREA vergeben. Diese Berechtigung beinhaltet keine Ände-rungsberechtigungen für die Benutzerverwaltung und kann daher auch an Auditoren vergeben werden.
Das SAP-System kennt die im Folgenden aufgelisteten sechs Standardbenut-zer, die durch das System in allen Mandanten angelegt werden. Sie werden für bestimmte Systemfunktionen benötigt (z. B. Upgrades), aber sie sollten im laufenden Betrieb vor unberechtigtem Zugriff geschützt sein.
� DDIC DDIC ist als einziger Benutzer während Installationen und Releasewechseln in der Lage, sich anzumelden bzw. Änderungen am ABAP Dictionary vor-zunehmen. Außerdem wird er im Mandanten 000, z. B. für bestimmte Jobs oder Unicode-Umwandlungen, verwendet. DDIC existiert in allen Man-danten außer im Mandanten 066.
Schutzmaßnahmen: Setzen Sie DDIC in allen Systemen (außer im Mandan-ten 000 wegen der Upgrade-Funktionen) auf den Benutzertyp System. Bei Bedarf können Sie ihn mithilfe des Notfallbenutzers wieder auf einen Dia-logbenutzer umstellen. Ändern Sie das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Secu-rity Audit Log.
� EARLYWATCH Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support. EARLYWATCH hat nur Anzeige-rechte für Performance- und Monitoring-Funktionen.
Schutzmaßnahmen: Sperren Sie den Benutzer EARLYWATCH, und schalten Sie ihn nur frei, wenn er durch den SAP-Support angefragt wird. Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und pro-tokollieren Sie ihn mit dem Security Audit Log.
� SAP* Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzer-stammsatz für SAP* existiert, kann sich jedermann nach einem Neustart
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen
394
mit diesem Benutzer am SAP-System anmelden, da dann das Standard-passwort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Au-thority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 set-zen, da der Benutzer SAP* hierzu benötigt wird.
Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfü-gen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
� SAPCPIC SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen.
Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
� TMSADM Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration auto-matisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen.
Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzel-nen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft ver-fügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Mit den Standardbenutzern und deren Initialpasswörtern umgehen Tipp 91
395
� WF-BATCH Der Benutzer WF-BATCH dient der Hintergrundverarbeitung in SAP Busi-ness Workflow und wird beim Customizing von Workflows automatisch angelegt. WF-BATCH ist häufig das Profil SAP_ALL zugeordnet, da die ge-nauen Anforderungen an die Berechtigungen von der Nutzung des Benut-zers abhängig sind. Das Passwort des Benutzers können Sie über die Trans-aktion SWU3 setzen und synchronisieren.
Schutzmaßnahmen: Ändern Sie nach der automatischen Generierung das Passwort des Benutzers, und ordnen Sie ihn der Benutzergruppe SUPER zu.
Bevor Sie Änderungen an den Standardbenutzern vornehmen, müssen Sie sicherstellen, dass diese nicht z. B. in RFC-Verbindungen, Background-Jobs oder Schnittstellen verwendet werden.
TEIL 1 Benutzerstammdaten .................................................... 17
Tipp 1 Den Zeichenvorrat für die Benutzer-ID einschränken ............. 18Tipp 2 Eine Benutzergruppe als Pflichtfeld im Benutzerstamm
definieren .............................................................................. 20Tipp 3 Benutzerstammdaten automatisiert vorbelegen ...................... 23Tipp 4 Passwortparameter und gültige Zeichen für Passwörter
einstellen ............................................................................... 27Tipp 5 Sicherheitsrichtlinien für Benutzer definieren ......................... 35Tipp 6 Die Auswirkung der Benutzertypen auf die Passwortregeln
beachten ............................................................................... 41Tipp 7 Anmeldesperren sicher einrichten .......................................... 44Tipp 8 Den Berechtigungspuffer prüfen und auffrischen .................... 46Tipp 9 Fehlgeschlagene Berechtigungsprüfungen in der
TEIL 2 Benutzerverwaltung ...................................................... 53
Tipp 10 Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden ............................................. 54
Tipp 11 Änderungsbelege der Zentralen Benutzerverwaltung verwenden ............................................................................. 56
Tipp 12 Die Zentrale Benutzerverwaltung temporär abschalten .......... 60Tipp 13 Rollen über das Organisationsmanagement zuordnen ............ 63Tipp 14 Auswertungswege in SAP CRM für eine indirekte
Rollenzuordnung anpassen .................................................... 67Tipp 15 Inaktive Benutzer sperren ...................................................... 70Tipp 16 Rollenzuordnung auf der Benutzerebene konsolidieren .......... 73Trick 17 Transaktion PFUD regelmäßig einplanen ................................ 75Tipp 18 Anzahl der möglichen Profile über Referenzbenutzer
erweitern ............................................................................... 77Tipp 19 Favoriten der Benutzer zentral einsehen ................................ 81Tipp 20 Benutzer aus der Zwischenablage in die Auswahl von
Tipp 21 In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren ............................................................................. 86
Tipp 22 Lösungen für die Benutzerverwaltung in SAP HANA anwenden ............................................................ 89
TEIL 3 Rollenverwaltung ........................................................... 95
Tipp 23 Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren ....................................................... 96
Tipp 24 Anforderungen an ein Berechtigungskonzept umsetzen ......... 100Tipp 25 Fallstricke beim Excel-basierten Berechtigungswesen
umgehen ............................................................................... 104Tipp 26 Nutzungsdaten für die Rollendefinition verwenden ................ 107Tipp 27 S_RFC-Berechtigungen mithilfe von Nutzungsdaten
definieren .............................................................................. 111Tipp 28 Pflegestatus von Berechtigungen in Rollen und deren
Auswirkung beachten ............................................................ 116Tipp 29 Manuell gepflegte Organisationsebenen in Rollen
zurücksetzen .......................................................................... 122Tipp 30 Werte aus der Zwischenablage in die
Berechtigungsfelder der Transaktion PFCG kopieren .............. 126Tipp 31 Traceauswertung optimieren .................................................. 128Tipp 32 Berechtigungswerte mithilfe von Traceauswertungen
pflegen .................................................................................. 131Tipp 33 Massenpflege von abgeleiteten Rollen vornehmen ................. 136Tipp 34 Rollenmassenpflege mithilfe von eCATT vornehmen .............. 141Tipp 35 Texte in Berechtigungsrollen übersetzen ................................ 147Tipp 36 Verbesserungen der Rollentransportfunktion nutzen .............. 151
TEIL 4 Berechtigungsvorschlagswerte .................................. 155
Tipp 37 Bei der Pflege von Vorschlagswerten sinnvoll vorgehen ......... 156Tipp 38 Die Transaktionen SU22 und SU24 richtig verwenden ............ 159Tipp 39 Vorschlagswerte unter der Zuhilfenahme von
Traceauswertungen pflegen ................................................... 165Tipp 40 Den Berechtigungstrace für die Ermittlung von
Vorschlagswerten für kundeneigene Entwicklungen verwenden ............................................................................. 168
Tipp 41 Den Vorschlagswerten externe Services aus SAP CRM hinzufügen ............................................................. 172
Inhalt
9
Tipp 42 Vorschlagswerte für Batch-Jobs pflegen ................................. 175Tipp 43 Berechtigungen nach einem Upgrade anpassen ...................... 178Tipp 44 Berechtigungswerte beim Rollenupgrade vergleichen ............. 184Tipp 45 Den Zeitstempel in der Transaktion SU25 verwenden ............ 188Tipp 46 Upgradenacharbeiten für Berechtigungsvorschlagswerte
in Y-Landschaften durchführen .............................................. 190
TEIL 5 Systemeinstellungen ..................................................... 195
Tipp 47 Customizing der Benutzer- und Berechtigungsverwaltung einstellen ............................................................................... 196
Tipp 48 Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen ............. 202
Tipp 49 Neue Organisationsebenen hinzufügen .................................. 206Tipp 50 Anmeldung am Anwendungsserver einschränken ................... 210Tipp 51 Berechtigungstraces anwendungsserverübergreifend
auswerten .............................................................................. 212Tipp 52 Passwörter mittels Self-Service zurücksetzen .......................... 215Tipp 53 Änderungsbelegmanagement der Benutzer- und
Berechtigungsverwaltung archivieren ..................................... 221Tipp 54 Generierte Profilnamen in komplexen Systemlandschaften
verwalten .............................................................................. 227Tipp 55 Tabellenberechtigungsgruppen pflegen .................................. 231
TEIL 6 Anwendungsberechtigungen ...................................... 235
Tipp 56 Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen .............. 236
Tipp 57 Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden ............................................ 243
Tipp 58 Berechtigungen für das Customizing erstellen ........................ 246Tipp 59 Berechtigungen für den Dateizugriff steuern .......................... 250Tipp 60 Berechtigungen für die SAP-Hintergrundverarbeitung
vergeben ............................................................................... 257Tipp 61 Berechtigungen für Spoolaufträge vergeben ........................... 262Tipp 62 Berechtigungen zur Tabellenbearbeitung organisatorisch
einschränken ......................................................................... 266Tipp 63 S_TABU_NAM in ein Berechtigungskonzept integrieren ......... 271Tipp 64 SAP_NEW richtig verwenden ................................................. 276
Inhalt
10
Tipp 65 Leseberechtigungen für Steuerprüfungen geschäftsjahresabhängig steuern ............................................ 282
Tipp 66 Den Verantwortungsbereich RESPAREA zur Organisationsebene machen .................................................. 288
Tipp 67 Zu umfangreiche Berechtigungen beim HR-Reporting verhindern ............................................................................. 291
TEIL 7 Berechtigungen für User-Interface-Clients ............ 295
Tipp 68 Berechtigungen für den SAP NetWeaver Business Client steuern .................................................................................. 296
Tipp 69 Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten .......................................................... 301
Tipp 70 Eine Berechtigung für externe Services von SAP CRM vergeben ................................................................ 304
Tipp 71 Dem Benutzermenü externe Services aus SAP CRM hinzufügen ............................................................. 308
Tipp 72 CRM-Rollenkonzept im Zusammenhang mit externen Services umsetzen .................................................................. 311
TEIL 8 Berechtigungsprüfungen ............................................. 315
Tipp 73 Berechtigungsobjekte für die Tabellenbearbeitung verwenden ............................................................................. 316
Tipp 74 Berechtigungsobjekte einfacher pflegen ................................. 320Tipp 75 Berechtigungsfehler durch Debugging ermitteln ..................... 323Tipp 76 Transaktionsstartberechtigungen beim Aufruf
CALL TRANSACTION pflegen ................................................. 327Tipp 77 Berechtigungsprüfungen in SAP HANA verstehen .................. 332
TEIL 9 Kundeneigene Berechtigungen .................................. 339
Tipp 78 Berechtigungsverwaltung in kundeneigenen Programmen koordinieren .......................................................................... 340
Tipp 79 Kundenspezifische Berechtigungen einsetzen ......................... 343Tipp 80 Kundeneigene Customizing-Tabellen in den
IMG einbinden ...................................................................... 347Tipp 81 Profit-Center-Berechtigungen in FI prüfen ............................. 352Tipp 82 Berechtigungsprüfungen für Belege in FI erweitern ................ 356
Inhalt
11
Tipp 83 Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten ............................................... 362
TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen .................................................. 367
Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren .... 368Tipp 85 Nach Benutzer- und Passwortsperren suchen ......................... 371Tipp 86 Ausführbare Transaktionscodes ermitteln ............................... 373Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung
auswerten .............................................................................. 376Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen«
durchführen ........................................................................... 379Tipp 89 Audit Information System Cockpit nutzen .............................. 384Tipp 90 Einstellungen zur Systemänderbarkeit einsehen ..................... 388Tipp 91 Mit den Standardbenutzern und deren
SAP Active Global Support � AGSSAP Business Workflow 395SAP BW 416SAP Code Vulnerability Analyzer 423SAP CRM 311SAP CRM Web Client 304, 308, 311SAP Cryptographic Library 427SAP Easy Access 198SAP HANA
SAP HANA (Forts.)Calculation View 333Database User 332Datenbank 89, 332Delivery Unit 334, 336Design Time 334, 337Design Time Repository 336granted 335Grantor 335HALM 337Katalogobjekt 336Object Privilege 333Package Privilege 334Privileg 332Project Explorer 336Runtime-Version 336Schema Privilege 333Smart Data Access 333Source Privilege 333Studio 334System Privilege 333Technical User 332Transportwesen 337XS 89
SAP Identity Management 23, 92, 216, 337SAP Implementation Guide 246
Projekt 246Projektsicht 248Referenz-IMG 247Struktur anlegen 349
SAP NetWeaver AS ABAP, Anmeldungs- beschränkung 210
SAP NetWeaver Business Client 79, 296SAP Query 368SAP Solution Manager 154, 403, 415, 419SAP Unified Connectivity 115SAP_ALL � Berechtigungs-ProfilSAPconnect 426SAP-Easy-Access-Menü 79Schattendatenbank 224Secure Network Communication 222, 400Security Audit Log 393, 408
Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Gerne dürfen Sie diese Leseprobe empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Die vorliegende Leseprobe ist in all ihren Teilen urheberrecht-lich geschützt. Alle Nutzungs- und Verwertungsrechte liegen beim Autor und beim Verlag.
Teilen Sie Ihre Leseerfahrung mit uns!
Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich eben-falls als GRC-Beraterin für die SAP (Schweiz) AG tätig.
Katharina Stelzner arbeitet seit 2006 als Technologie-beraterin für die SAP Deutschland AG. Ihr Schwerpunkt liegt auf Berechtigungskonzepten im CRM-Umfeld.
Anna Otto, Katharina Stelzner
Berechtigungen in SAP − 100 Tipps & Tricks460 Seiten, broschiert, Juni 2014 49,90 €, ISBN 978-3-8362-2615-8