Berechtigungsobjekte
Prüfung des SAP-Berechtigungskonzepts
Der Security Optimization Service für ABAP enthält mehr Sicherheitsprüfungen als der entsprechende Abschnitt im EWA. Insbesondere die Anzahl der Berechtigungsprüfungen ist höher. Insgesamt sind im SOS aktuell 110 Berechtigungsprüfungen definiert, einschließlich 16 kritischen Berechtigungsprüfungen für HR. Die vollständige Liste aller Sicherheitsprüfungen im SOS finden Sie im SAP Service Marketplace auf der Seite https://service.sap.com/sos über Media Library (Security Optimization Service > ABAP Checks).
Sind in der Transaktion PFCG keine Buttons zum Kopieren und Einfügen vorhanden, können Sie diese einfach einspielen. Im Dialogfenster zur Pflege von Feldwerten zu Berechtigungsobjekten in Transaktion PFCG (Rollenpflege) werden nur sieben Zeilen angezeigt. Bisher war es nicht möglich, mehr als diese sieben Zeilen auf einmal aus der Zwischenablage einzufügen. Gerade dies kann im Rahmen der Berechtigungspflege aber häufig notwendig sein, z. B. wenn Sie Einträge aus anderen Rollen verwenden möchten. Lesen Sie hier, wie Sie die Buttons zum Kopieren und Einfügen im Dialogfenster zur Pflege von Feldwerten zu den Berechtigungsobjekten einspielen und nutzen.
Auswertungen von Berechtigungen und Benutzerstammsätzen
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“. In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht. Dazu muss die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält! Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.
Transaktion SE63 ermöglicht Ihnen die Übersetzung verschiedenster Textbausteine im SAP-System. Die für die Berechtigungsrollen relevanten Texte finden Sie über den Menüpfad: Übersetzung > ABAP-Objekte > Kurztexte Im daraufhin erscheinenden Pop-up-Fenster Objekttypauswahl wählen Sie den Knoten S3 ABAP-Texte aus und hier den Unterpunkt ACGR Rollen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem.
Bei Änderungen an mandantenunabhängigen Tabellen prüft das System auch die Berechtigungen für das Objekt S_TABU_CLI.