Berechtigungsobjekte einfacher pflegen
Werte aus der Zwischenablage in die Berechtigungsfelder der Transaktion PFCG kopieren
Grundsätzlich sollten Sie beachten, dass in der Benutzer- und Berechtigungsverwaltung nicht alle relevanten Änderungsbelege eines Systems vorhanden sind. In der Regel erfolgt die Berechtigungsadministration im Entwicklungssystem; daher entstehen die relevanten Änderungsbelege der Berechtigungsverwaltung in den Entwicklungssystemen. Im Gegensatz dazu finden Sie die relevanten Änderungsbelege der Benutzerverwaltung in den Produktivsystemen; daher sollten Sie beachten, dass beim Import von Rollen und Profilen in den Produktivsystemen keine Änderungsbelege geschrieben werden. Es entstehen nur Transportprotokolle, die festhalten, dass Änderungen an den Objekten vorgenommen wurden. Ihre Änderungsbelege der Berechtigungsverwaltung auf den Entwicklungssystemen sind aus diesem Grund revisionsrelevant und sollten entsprechend abgesichert werden.
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind. Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann. Es ist daher sicherzustellen, dass diese Berechtigungen an keinen Benutzer, auch nicht an SAP®-Basisadministratoren, vergeben wurden.
Weiterbildung im Bereich Berechtigungswesen
Der Komfort bei der Konfiguration und Auswertung des Security Audit Logs wurde verbessert. Dafür wurden die maximale Anzahl markierter Meldungen in der Detailauswahl auf 40 Ereignisse erhöht, eine Vorwärtsnavigation für die dargestellten Objekte ergänzt und die Detailauswahl in Transaktion SM20 um die technischen Ereignisnamen ergänzt. Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1963882.
Der Pfad mit der zugeordneten Berechtigungsgruppe DEVL enthält die temporären lokalen Dateien des ABAP-Frontend-Editors der ABAP-Entwicklungsumgebung (Transaktionen SE38, SE80, SE24 usw.). Die beiden Pfade mit der Berechtigungsgruppe ADMN zeigen, wie logisch zusammengehörige Pfade zu einer Berechtigungsprüfung für S_PATH gruppiert werden können. Die beiden Einträge mit der Berechtigungsgruppe FILE zeigen, wie in Systemen mit Anwendungsservern unterschiedlicher Betriebssysteme Pfade für Windows ergänzt werden können. Die Einträge core.sem und coreinfo werden benötigt, um Laufzeitfehler in die Snapshot-Tabelle SNAP zu schreiben. Die Einträge dev_ und gw_ erlauben das Anzeigen von Dateien aus Entwicklertrace und Gateway Log in der Transaktion ST11. Ist Ihnen der Vorschlag im ersten Eintrag der Tabelle zu restriktiv, können Sie die Alternative in der folgenden Tabelle wählen. Dieser Eintrag erzwingt lediglich eine Berechtigungsprüfung auf S_PATH und die Berechtigungsgruppe ALLE; die entsprechende Berechtigung sollten Sie allerdings nur sehr restriktiv vergeben.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Fehlen Berechtigungsfelder oder gibt es zu viele Einträge, werden diese Daten in den Vorschlagswerten korrigiert.
Es reicht jedoch nicht, sich nur auf die vorgebrachten Verbesserungspotentiale zu konzentrieren, denn es muss sichergestellt sein, dass all jene Punkte, welche in der Vergangenheit nicht moniert wurden, auch weiterhin passen.