Benutzerinformationssystem (SUIM)
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Legen Sie einen Funktionsbaustein im Kundennamensraum an. Dabei wählen Sie den ausgelieferten Baustein SAMPLE_INTERFACE_00001650 als Vorlage. Für uns hat es sich bewährt, im Namen des neuen Funktionsbausteins die Bezeichnung BTE und die Nummer der Vorlage (hier: 1650) zu verwenden.
Die gültigen Programme bzw. Transaktionen sind in der SAP-Auslieferungstabelle TPCPROGS hinterlegt, folgen jedoch keiner einheitlichen Namenskonvention. Teilweise ist hier der Transaktionscode (z. B. AW01N), teilweise der Reportname (z. B. RFEPOS00) oder die logische Datenbank (z. B. SAPDBADA) relevant. Logische Datenbanken (z. B. SAPDBADA, SAPDBBRF) sind grundlegende Datenselektionsprogramme und werden insbesondere in der Finanzbuchhaltung verwendet. Die Berechtigungsprüfungen – einschließlich der Zeitraumabgrenzung – sind in der logischen Datenbank implementiert und wirken für alle Reports, die auf einer logischen Datenbank basieren (z. B. basiert das Anlagengitter RAGITT00 auf SAPDBADA und der Bilanzreport RFBILA00 auf SAPDBSDF). Wenn Sie die Werte aus der Tabelle TPCPROGS kopieren, ist die Transaktion TPC4 schnell konfiguriert.
Das SAP-Berechtigungskonzept
In der Transaktion AL08 werden alle angemeldeten Anwender und deren Anwendungsserver angezeigt. Hier sehen Sie in der Spalte Server Name, auf welchem Anwendungsserver der Benutzer angemeldet ist, bei dem das Berechtigungsproblem aufgetreten ist. Wechseln Sie auf diesen Anwendungsserver, indem Sie die Transaktion SM51 aufrufen und doppelt auf den herausgesuchten Anwendungsserver klicken. Führen Sie auf dem nun aktiven Anwendungsserver den Berechtigungstrace wie gewohnt durch, und prüfen Sie die Auswertung.
Die Ergebnisse der Auswertung werden mit einem farbigen Symbol gekennzeichnet. Die Einstufung ist für die verschiedenen Berechtigungsprüfungen jeweils unterschiedlich. Der EWA enthält nicht ausschließlich Prüfungen zu den Sicherheitsaspekten und ist daher in verschiedene Abschnitte (z. B. Hardware, Performance) unterteilt. Die Prüfergebnisse in diesen Bereichen werden jeweils mit einem Ampelsymbol dargestellt. Ist eine der Prüfungen innerhalb eines Abschnitts rot gekennzeichnet, wird auch die Ampel für diesen Abschnitt auf Rot gesetzt.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Dies ist die einfachste und effektivste Verteidigung, um Ihre Geschäftsanwendungen vor Missbrauch zu schützen, denn Berechtigungsprüfungen auf Programmierebene können zwei Aspekte sicher gewährleisten: Unvollständige oder fehlerhafte Prüfung der ausgeführten Transaktionsstartberechtigungen führen zu Compliance-Verstößen.
Mit dem Enhancement Package (EHP) 3 zu SAP ERP 6.0 hat SAP in der Business Function FIN_GL_CI_1 eine Erweiterung der Berechtigungsprüfungen zur Verfügung gestellt, mit der die Berechtigungsobjekte für Profit-Center bereits in FI geprüft werden können.