Einstellungen zur Systemänderbarkeit einsehen
Gesetzeskritische Berechtigungen
Optional: Berechtigungsobjekt S_PATH: Wurden in der Prüfung 3 zusätzliche Berechtigungsprüfungen für einzelne Pfade für das Berechtigungsobjekt S_PATH identifiziert, werden diese im vierten Schritt geprüft. Dabei werden die Zugriffsart und die in der Tabelle SPTH hinterlegte Berechtigungsgruppe geprüft.
Sie haben bereits Rollen für SAP CRM erstellt und möchten diese um weitere externe Services ergänzen? Nichts leichter als das! Erstellen Sie PFCG-Rollen für den SAP CRM Web Client, gehen Sie in der Regel so vor, dass Sie erst das Customizing der CRM-Business-Rolle fertigstellen, bevor Sie die PFCG-Rolle, aufbauend auf diesem Customizing, anlegen. Es kann jedoch vorkommen, dass das Customizing der CRM-Business-Rolle aktualisiert wird. Die PFCG-Rolle muss nun ebenfalls angepasst werden, da sonst die neu konfigurierten Bereichsstartseiten oder die logischen Links nicht sichtbar sind. Dafür gibt es jedoch keinen Automatismus, wie er bei der initialen Erstellung des Rollenmenüs vorhanden ist. Die Anpassung müssen Sie manuell in der PFCG-Rolle nachtragen.
SAP FICO Berechtigungen
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
Wir stellen Ihnen hier verschiedene Szenarien für den Prozess des Zurücksetzens von Passwörtern vor. In allen Szenarien wählt der Benutzer das System und den Mandanten, in denen ein Passwort zurückgesetzt werden soll, über eine Webseite aus. Es sollten nur Systeme und Mandanten angezeigt werden, in denen dieser Benutzer bereits existiert und eine Berechtigung zugewiesen hat. Anschließend wird ein Initialpasswort generiert und an die E-Mail-Adresse des Benutzers verschickt. Nur für den Fall, dass eine Benutzersperre durch Falschanmeldungen gesetzt ist, muss der Benutzer zusätzlich entsperrt werden. Bei einer Administratorsperre sollte der Benutzer entsprechend informiert werden. Bevor Sie den Self-Service implementieren, sollten Sie sich Gedanken über die in Ihren Systemen eingestellten Passwortregeln und den Einsatz von Sicherheitsrichtlinien machen. Denn über diese Einstellungen können Sie steuern, wie Passwörter in Ihren Systemen generiert werden. Wir empfehlen Ihnen, dazu die Erläuterungen in den Tipps 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«, und 5, »Sicherheitsrichtlinien für Benutzer definieren«, zu lesen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird.
Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein.