Kritikalität
Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden
In den folgenden Ausführungen werden zunächst die einzelnen Komponenten des Berechtigungskonzepts beschrieben und eingeordnet. Anschließend wird erläutert, welche Aufgaben mit dem Profilgenerator automatisiert werden können.
Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden. Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.
Umsetzung der Berechtigung
Unabdingbar ist das Gebot, adäquate Berechtigungsprüfungen in jede ABAP-Eigenentwicklung zu implementieren. Hierfür wird der sogenannte AUTHORITY-CHECK genutzt, der die erforderlichen Berechtigungsobjekt-Ausprägungen abfragt und somit nur befugte Benutzer den Code ausführen lässt.
Sie möchten den Zugriff auf die Dateien des Anwendungsservers absichern? Erfahren Sie, welche Möglichkeiten Ihnen die Berechtigungsobjekte S_DATASET und S_PATH bieten, welche Einschränkungen bestehen und welche Fallstricke lauern. Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen. Die von SAP ausgelieferten Berechtigungsvorschläge zum Berechtigungsobjekt S_DATASET bieten Ihnen keine große Hilfestellung, und zu S_PATH gibt es praktisch keine Informationen, da Sie dieses Berechtigungsobjekt erst durch das Customizing der Tabelle SPTH aktivieren müssen. Häufig werden daher die Berechtigungen zu S_DATASET zu großzügig ausgeprägt, die Tabelle SPTH kaum gepflegt und S_PATH gar nicht benutzt. Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Alle Berechtigungsprüfungen werden in Tabellenform als ALV-Liste ausgegeben.
Achten Sie darauf, bei der Programmierung Ihrer Berechtigungsprüfung immer den Returncode SY-SUBRC abzuprüfen und zu definieren, was im Falle einer nicht erfolgreichen Berechtigungsprüfung passieren soll, d. h. wenn SY-SUBRC ungleich 0 ist.