Benutzerinformationssystem SUIM
Nach Benutzer- und Passwortsperren suchen
Mit dem SAP-Hinweis 1720401 wird die Transaktion SU10 (Massenpflege von Benutzern) um die bislang fehlende Möglichkeit erweitert, Benutzer nach Anmeldedatum und Passwortänderungen zu selektieren. Mit dem Hinweis wird der Report RSUSR200 um diese Funktionen ergänzt. Dieser Report kann mithilfe der Transaktion SU10 und der entsprechenden Berechtigung auch direkt ausgeführt werden. Nach dem Einspielen des Hinweises wird die Transaktion SU10 um den Button Anmeldedaten erweitert.
Die Passwörter der Benutzer sind im SAP-System als Hash-Werte abgelegt. Die Qualität der Hash-Werte und damit deren Sicherheit, hängt aber von den eingesetzten Hash-Algorithmen ab. Die früher in den SAP-Systemen eingesetzten Hash-Algorithmen sind nicht mehr als sicher einzustufen; sie können innerhalb kurzer Zeit mit einfachen technischen Mitteln geknackt werden. Sie sollten daher die Passwörter in Ihrem System auf verschiedene Weise absichern. Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken. Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY. Am besten weisen Sie diesen Tabellen eine eigene Tabellenberechtigungsgruppe zu, wie es in Tipp 55, »Tabellenberechtigungsgruppen pflegen«, beschrieben wird. Zusätzlich sollten Sie auch die Zugriffe über das Berechtigungsobjekt S_TABU_NAM kontrollieren.
Berechtigungsfehler durch Debugging ermitteln
Im Rahmen von Upgrades müssen auch die Berechtigungsrollen überarbeitet werden. In diesem Zusammenhang können Sie das Profil SAP_NEW zur Unterstützung verwenden. Während eines Upgrades werden Änderungen und Verbesserungen von Berechtigungsprüfungen im SAP NetWeaver AS ABAP ausgeliefert. Damit die Benutzer weiterhin wie gewohnt Ihre bisherigen Aktionen im SAP-System durchführen können, müssen Sie als Berechtigungsadministrator die Berechtigungsausprägungen im Rahmen des etablierten Berechtigungskonzepts überarbeiten bzw. ergänzen. Grundsätzlich nutzen Sie hierzu die Transaktion SU25. Für die Übergangszeit können Sie die Berechtigung SAP_NEW einsetzen, bis das Berechtigungskonzept auf dem aktuellen Stand für das neue Release ist. Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Das Feld RESPAREA hat einen Pflegedialog, der die Eingabe von Verantwortungsbereichen erlaubt. Der Pflegedialog wird als Baustein aufgerufen und bietet je nach Berechtigungsobjekt unterschiedliche Registerkarten für die Eingabe. Wenn Sie nun das Feld RESPAREA zur Organisationsebene erklären, müssen Sie zuvor die Anzeige der Registerkarten für die Eingabe im Customizing festlegen. Dazu müssen Sie in der mandantenunabhängigen Tabelle KBEROBJ mithilfe der Transaktion SE16 einen Eintrag hinzufügen. In diesem Eintrag lassen Sie das erste Feld OBJECT leer. Das Feld CURRENTOBJ muss gepflegt werden, da es die Registerkarte definiert, die beim Aufruf der Pflege angezeigt wird, also die Default-Registerkarte. Ist dieses Feld leer, kann kein Startbild ermittelt werden, und es kommt zu Fehlern. Die folgenden Felder bestimmen die Inhalte der verschiedenen Registerkarten und sollten daher auch gepflegt werden, damit Sie RESPAREA als Organisationsebene nutzen können. Dies sind die Felder OBJECT1 bis OBJECT7 für die erste bis siebte Registerkarte. In diesen sieben Feldern definieren Sie, welche Werte Sie auf den Registerkarten eingeben können.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Denn gerade Abweichungen vom Regelfall sind für einen Wirtschaftsprüfer von großem Interesse, da der Prüfer feststellen muss, ob eine Abweichung Auswirkungen auf die Korrektheit der Daten haben könnte.
Der nächste Schritt ist nun die Pflege der Berechtigungswerte.