Anwendungsberechtigungen
Security Automation bei SAP Security Checks
SAP_NEW stellt ein spezifisches Berechtigungsprofil dar, in dem die konkreten Berechtigungsänderungen zwischen zwei SAP-Releaseständen zusammengefasst sind. Zu unterscheiden ist dabei zwischen der Auslieferung des SAP_NEW-Profils durch SAP und der Generierung einer SAP_NEW-Rolle mit einem dazugehörigen Profil durch Sie als SAP-Kunden (siehe auch den SAPHinweis 1711620). Abhängig von der Vorgehensweise zur Berechtigungsnachpflege kann die Berechtigung SAP_NEW jedem Benutzer in einem Entwicklungs- und Qualitätssicherungssystem unmittelbar nach dem technischen Systemupgrade zugewiesen werden. Ziel ist es jedoch, in der Produktionsumgebung jedem Benutzer möglichst nur Berechtigungen zuzuweisen, die er für seine Geschäftsvorfälle benötigt. Im Umfeld von Upgrades müssen die hierzu korrekten Berechtigungen ermittelt und in entsprechende Berechtigungsrollen integriert werden.
Um nun die Tracedaten aus der Tabelle USOB_AUTHVALTRC zu verwenden, gehen Sie erst in den Änderungsmodus und klicken anschließend entweder auf den Button SAP-Daten, oder Sie wählen Objekt > Objekte aus Trace hinzufügen > Lokal. Die gefundenen Berechtigungsobjekte werden aus der Tabelle importiert, sind aber noch mit keinerlei Vorschlagswerten versehen. Zur Pflege der Vorschlagswerte klicken Sie auf den Button Trace. Im sich daraufhin öffnenden Fenster selektieren Sie nach einem der neuen Berechtigungsobjekte und wählen anschließend Trace auswerten > Berechtigungstrace > Lokal. Es werden nun die geprüften Berechtigungswerte angezeigt. Zur Übernahme dieser Werte wählen Sie in der Auswahlliste Vorschlagsstatus die Option Y Ja aus und markieren im rechten Bereich des Fensters die gewünschten Werte. Klicken Sie dann auf Übernehmen. Nach der Bestätigung Ihrer Eingaben bestätigen Sie in der Berechtigungsvorschlagswertepflege die Berechtigungsfeldpflege mit einem Klick auf das grüne Häkchen, sodass der Status des Berechtigungsobjekts auf grün (gepflegt) steht. Fahren Sie ebenso mit weiteren Berechtigungsobjekten fort.
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Nachträglich können Sie die Aufbewahrungszeit nicht mehr hochsetzen; daher sollten Sie die Konfiguration rechtzeitig vor Beginn eines Projekts anpassen. Zusätzlich sollten Sie die Einstellungen der Profilparameter stat/rfcrec und stat/rfc/distinct ändern. Den Wert für stat/rfcrec sollten Sie z. B. auf den Wert 30 erhöhen, und stat/rfc/distinct sollten Sie auf den Wert 1 setzen. Dies verbessert die Vollständigkeit der aufgezeichneten RFC-Nutzungsdaten. Details zu den technischen Verbesserungen finden Sie im SAP-Hinweis 1964997.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Optional ist der nächste Schritt, in dem Sie Funktionsgruppen zu den Funktionsbausteinen ermitteln.
Die Pflege der Organisationsfelder kann dennoch eine enorme manuelle Arbeit für Sie bedeuten, da die Anzahl der Rollenableitungen sehr groß werden kann.