Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Berechtigungen mit dem Status Gepflegt
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind. Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann. Es ist daher sicherzustellen, dass diese Berechtigungen an keinen Benutzer, auch nicht an SAP®-Basisadministratoren, vergeben wurden.
Spielen Sie den SAP-Hinweis 1433352 in Ihr System ein. Mit diesem Hinweis wird der Report RSAUDIT_SYSTEM_STATUS ausgeliefert. Dieser Report dokumentiert den aktuellen Status der Einstellungen zur Mandanten- und Systemänderbarkeit in einer Übersicht, die Sie bei Bedarf zur Auswertung auch ausdrucken können. Der Vorteil dieses Reports ist, dass reine Anzeigeberechtigungen zu dessen Ausführung notwendig sind.
Berechtigungsobjekte einfacher pflegen
Die Berechtigungsprüfung auf der Ebene des Funktionsbausteins können Sie nutzen, indem Sie im Berechtigungsobjekt S_RFC im Feld RFC_TYPE (Typ des zu schützenden RFC-Objekts) den Wert FUNC (Funktionsbaustein) eintragen. Wollen Sie weiterhin Funktionsgruppen berechtigen, geben Sie hier den Wert FUGR an. Abhängig von der Ausprägung des Feldes RFC_TYPE geben Sie dann im Feld RFC_NAME (Name des zu schützenden RFC-Objekts) den Namen des Funktionsbausteins oder der Funktionsgruppe an. Diese Erweiterung der Prüfung wird durch die Korrektur im SAP-Hinweis 931251 ausgeliefert.
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Anschließend verschicken Sie diese E-Mail an den Benutzer, dessen E-Mail-Adresse Sie entweder direkt im SAP-System ermitteln (Parameter ADDSMTP von BAPI_USER_GET_DETAIL) oder im Rahmen Ihrer Webanwendung (z. B. aus dem AD).
In SAP CRM gibt es jedoch die Besonderheit, dass Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern in der Regel indirekt mithilfe des zugeordneten Geschäftspartners.