Grenzen von Berechtigungstools
Benutzer aus der Zwischenablage in die Auswahl von Transaktion SU10 kopieren
Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen.
Kein Benutzer kann mehr ohne die Zuordnung einer gültigen Benutzergruppe angelegt, gepflegt oder gelöscht werden. Wird bei der Anlage eines Benutzers keine Benutzergruppe zugeordnet, wird dem Benutzer automatisch die Standardbenutzergruppe zugewiesen. Bevor Sie den Schalter USER_GRP_REQUIRED setzen, muss zuvor jedem vorhandenen Benutzer eine Benutzergruppe zugeordnet worden sein, und die Administratoren müssen über die Berechtigungen für die Standardbenutzergruppe verfügen. Bei der Anlage eines neuen Benutzers wird die Standardbenutzergruppe als Vorbelegung herangezogen; diese Benutzergruppe kann durch die Einstellung einer anderen Benutzergruppe im Benutzerparameter S_USER_GRP_DEFAULT für jeden Benutzeradministrator überschrieben werden. Der Customizing-Schalter erfordert eine gültige Benutzergruppe, denn diese wird als Standardbenutzergruppe verwendet. Sollte keine gültige Benutzergruppe im Customizing-Schalter eingetragen worden sein, ist die Benutzergruppe trotzdem ein Pflichtfeld. Dies führt dann gegebenenfalls zu Fehlern bei der automatisierten Anlage von Benutzern.
Profit-Center-Berechtigungen in FI prüfen
RFC – Verbindungen sind gleichermaßen Schnittstelle für viele lokale und globale Systemprozesse, aber auch eine sicherheitsrelevante Fehlerquelle vieler Unternehmen. Die RFC Schnittstellen und dazugehörige Systembenutzer sind oftmals mit zu starken Berechtigungen ausgeprägt und können schnell von unberechtigten Personen missbraucht werden, um sensible Firmendaten einzusehen. Daher ist es wichtig, diese Systemverbindungen immer im Fokus des globalen Monitorings zu halten und zu prüfen, welche RFC Destinationen, wohin führen und was sie bewirken. Dafür gibt es das Programm RSRFCCHK wodurch Sie gezielte Tests für ihre RFC Systemlandschaft durchführen können. Dabei wird einerseits der Inhalt der Tabelle RFCDES geprüft und anderseits auch die dazugehörigen Benutzereigenschaften der Systembenutzer als Überblick dargestellt. Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
Wichtig ist, dass nach dem Aufruf des Befehls AUTHORITY-CHECK OBJECT insbesondere der Return-Code in SY-SUBRC geprüft wird. Dieser muss auf 0 gesetzt sein; nur dann ist ein Absprung erlaubt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Kommunikationsbenutzer verwenden meist ein Initialpasswort, da eine Dialoganmeldung nicht möglich ist und damit das Passwort nicht geändert wird.
Denn manuell ist es schwierig, alle Anforderungen in Bezug auf SAP Berechtigungen zu erfüllen.