Überwachung, Monitoring SAP® – und Schnittstellensysteme
Digital signierte SAP Hinweise durch Einbau der Note 2408073 nutzen
Diese Zugriffsmethode hängt ausschließlich von den Rechten ab, die dem Nutzer zugewiesen sind. Systemuser: Nutzer dieser Nutzergruppe sind vergleichbar mit SAP*. Sie fungieren im System als Administrator. Daher sollten sie schnellstmöglich deaktiviert / auf inaktiv gesetzt werden, sobald der Systembetrieb sichergestellt ist. Die Behebung dieses Sicherheitsrisikos sollte Ihnen noch aus dem SAP ERP Umfeld bekannt sein. In einem HANA-System gibt es Privilegien statt Berechtigungen. Der Unterschied besteht erst einmal in der Begrifflichkeit. Trotzdem werden die Berechtigungen auch anders zugeordnet (direkt / indirekt) über die Zuordnungen von Rollen. Diese sind somit Ansammlungen von Privilegien. Wie in älteren SAP-Systemen müssen die Systemuser deaktiviert werden und bestimmte Rollen die schon bestehen eingeschränkt werden. Im Vergleich zu einem SAP ERP System werden statt große Anwendungen kleine Apps berechtigt. Hier sollte auf jeden Fall auf eine individuelle Berechtigungsvergabe geachtet werden. Für die Nutzer sollte es selbstverständlich sein, sichere Passwortregeln implementiert zu haben. Einstellungen Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway, welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert. Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten, die archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten nur wenig Nutzer Zugriff darauf haben.
In einem hybriden Entwicklungsszenario werden die Datenbank-spezifischen Teile der Anwendung mit den Werkzeugen der SAP HANA Platform entwickelt und von Anwendungen im SAP NetWeaver genutzt. Dies kann im AS ABAP über natives SQL oder über sogenannte Stellvertreterobjekte (Proxies) im ABAP Data Dictionary geschehen. Die Datenbankobjekte bleiben für den Applikationsserver eine »Blackbox«. Dieses Entwicklungsszenario unterstützt alle Funktionalitäten von SAP HANA, hat aber den Nachteil, dass Entwickler in beiden Entwicklungswelten zu Hause sein müssen.
Die Architektur von SAP-Lösungen
In der Dispatcher-Queue muss der Auftrag bis zum Freiwerden des benötigten Workprozesses warten. Sobald ein Workprozess für ihn zur Verfügung steht, wird er diesem zur Bearbeitung übergeben. Die Verweildauer in der Dispatcher-Queue wird als Wartezeit (Ø Wartezeit) bezeichnet. Beachten Sie bitte, dass es noch zahlreiche andere Wartezeiten bei der Verarbeitung gibt (z. B. Warten auf RFC, Warten auf Sperren, Warten auf CPU, Wartesituationen auf der Datenbank). Um die hier besprochene Wartezeit von anderen abzugrenzen, sollte diese also präziser als Dispatcher-Wartezeit bezeichnet werden.
Haben Sie sich schon einmal gefragt, wofür es eigentlich einen Reiter Personalisierung bei der Rollenpflege in der PFCG bzw. bei der Benutzerdatenpflege in der SU01 gibt? Diese Frage beantworte ich für Sie in diesem Blog-Beitrag. Wofür brauchen wir den Reiter Personalisierung? Durch diesen Reiter haben Sie Zugriff auf die zentrale Ablage für Personalisierungsdaten. Der Sinn und Zweck dieser Ablage ist es, eine Speicherungsmöglichkeit für benutzer- und rollenspezifische Daten zu schaffen, ohne dass zusätzliche Datenbanktabellen angelegt werden müssen. Diese Daten sollen dann bei sämtlichen Manipulationen an Benutzern und Rollen berücksichtigt werden. Die Funktionalität umfasst zunächst eine generische Ablage für benutzer- und rollenspezifische Daten und den zentralen Zugriff auf diese Daten durch die Benutzer- bzw. Rollenpflege. Außerdem wird die Möglichkeit geboten, über eine festgelegte Schnittstelle bereits existierende Tabellen mit benutzerspezifischen Daten an den zentralen Zugriff anzukoppeln. Um Personalisierungsdaten in der zentralen Ablage abzulegen, muss für die Daten ein Schlüssel vergeben werden: Dies erfolgt über die Registrierungstransaktion PERSREG. Die angelegten Personalisierungsdaten werden in der generischen Ablagetabelle gespeichert. Der Zugang zu dieser wird durch die Klassenmethoden der Klasse CL_PERS_ADMIN bereitgestellt. Verschiedene Personalisierungsebenen Die Daten können entweder zum Benutzer, zu Rollen oder zum System abgelegt werden. Zu einem Benutzer können dann alle ihm zugewiesenen Daten (über Rolle oder eigene Einstellungen) auf einmal ausgelesen werden.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Basis.
Eine weitere Möglichkeit Ihr Gateway mit Hilfe des SAP Standards abzusichern ist die Verschlüsselung der Kommunikation mittels Secure Network Communication (SNC).
Dies ermöglicht es Ihnen, Massendaten nahezu in Echtzeit zu analysieren und auszuwerten, ohne dass eine Aggregation der Daten notwendig ist.