Lösungsansätze für effiziente Berechtigungen
Sicherheit in Entwicklungssystemen
Im SAP-Standard gibt es keine allgemein anwendbare Möglichkeit für die Automatisierung der Massenpflege von Rollenableitungen. Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management (BRM) von SAP Access Control 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar).
Bei Zugriffen von Prüferbenutzern (aus der Tabelle TPCUSERN) werden im Anwendungs-Log die Selektionsparameter der aufgerufenen Transaktion protokolliert und können mit dem Report CA_TAXLOG ausgewertet werden. Im Beispiel wurde hier die Einzelpostenliste für das Kreditorenkonto 100000 aufgerufen.
Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen
Verschiedene Tätigkeiten, wie etwa die inhaltliche Änderung oder die Zuordnung von Rollen werden über Änderungsbelege nachvollziehbar gemacht. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Sie können eine signierte E-Mail an das System, dem Sie das Zertifikat bekannt machen möchten, versenden. Dies ist z. B. bei der Einbindung von E-Mail-Adressen außerhalb Ihrer Organisation eine sinnvolle Alternative. Voraussetzung für diese Lösung ist, dass für Ihr SAP-System ein Signaturzertifikat existiert, in dessen Zertifikatsliste das Certificate-Authority-Zertifikat – bzw. die Zertifikate – Ihrer Anwender importiert worden sind.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Die Berechtigungsprüfung soll aber nur auf drei Ebenen erfolgen.
Nutzen Sie dafür ein Business Add-in (BAdI), mit dem Sie bereits bei der Anlage eines Benutzers in der Transaktion SU01 bestimmte Felder vorbelegen können.