Benutzergruppe als Pflichtfeld definierbar
Manuelle Berechtigungen
WF-BATCH: Der Benutzer WF-BATCH dient der Hintergrundverarbeitung in SAP Business Workflow und wird beim Customizing von Workflows automatisch angelegt. WF-BATCH ist häufig das Profil SAP_ALL zugeordnet, da die genauen Anforderungen an die Berechtigungen von der Nutzung des Benutzers abhängig sind. Das Passwort des Benutzers können Sie über die Transaktion SWU3 setzen und synchronisieren. Schutzmaßnahmen: Ändern Sie nach der automatischen Generierung das Passwort des Benutzers, und ordnen Sie ihn der Benutzergruppe SUPER zu.
Standardberechtigungen, die für eine funktional vollständig zu beschreibende Rolle benötigt werden, sollten entsprechend gepflegt werden. Es ist empfehlenswert, nicht benötigte Berechtigungen oder auch ganze Berechtigungszweige zu deaktivieren und nicht zu löschen. Berechtigungen, die auf den Aktivstatus Inaktiv gesetzt wurden, werden zum einen bei einem erneuten Abmischen nicht erneut als neue Berechtigungen in den Berechtigungsbaum aufgenommen, und zum anderen werden diese Berechtigungen bei der Profilgenerierung nicht mitberücksichtigt und somit auch nicht im zugrunde liegende Profil einer Rolle zugewiesen.
Berechtigungsobjekte
In vielen SAP-Umgebungen gibt es historisch gewachsene Berechtigungsstrukturen, die unnötige Sicherheitslücken verursachen. Diese sollten genau geprüft werden.
Die Änderungen, die durch das Einspielen des Hinweises bzw. durch ein Upgrade auf die genannten Support Packages entstehen, betreffen nicht nur das Profil SAP_ALL. Es bleibt zwar grundsätzlich weiterhin möglich, die Gesamtberechtigung für die Felder RFC_SYSID, RFC_CLIENT und RFC_USER zu vergeben; dies kann jedoch nur noch manuell in der Transaktion PFCG über die Dialogpflege der Felder erfolgen. In diesem Fall öffnet sich ein weiteres Dialogfenster, in dem auf das Sicherheitsrisiko hingewiesen wird. Dieses Fenster müssen Sie bestätigen. Aus dieser Umstellung des Verhaltens des Profils SAP_ALL folgt, dass sämtliche automatischen Methoden für die Übernahme der Gesamtberechtigung in den Feldern des Berechtigungsobjekts S_RFCACL nicht mehr zur Verfügung stehen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Für die Auditstrukturen können unterschiedliche Audits durchgeführt werden; daher müssen Sie immer zuerst ein Audit auswählen.
Punktuell lässt sich dadurch die Verwendung von Berechtigungen analysieren und in Tabellen exportieren.