Notfalluserkonzept
Wildwuchs mit dem Systemlastmonitor verhindern
Zur Erstellung von PFCG-Rollen sind gut gepflegte Vorschlagswerte überaus hilfreich. Wir geben Ihnen einen groben Leitfaden, wann es sinnvoll ist, Vorschlagswerte zu pflegen. SAP liefert Vorschlagswerte für die Erstellung von PFCG-Rollen in den Tabellen USOBT und USOBX mittels Upgrades, Support Packages oder Hinweisen aus. Diese Vorschlagswerte beinhalten Wertvorschläge für Berechtigungen von SAP-Standardapplikationen, die in PFCG-Rollen gepflegt werden können. Vorschlagswerte werden nicht nur für Transaktionscodes ausgeliefert, sondern auch für Web-Dynpro-Anwendungen, RFC-Funktionsbausteine oder externe Services. Diese Vorschlagswerte können Sie an Ihre Anforderungen anpassen. Dies geschieht jedoch nicht in den ausgelieferten Tabellen, sondern in den Kundentabellen USOBT_C und USOBX_C. Die Pflege wird in der Transaktion SU24 vorgenommen.
Eine vollumfängliche SAP-Sicherheitsüberprüfung ist hier jedoch noch nicht zu Ende. Zusätzlich untersucht der Auditor, ob die vier wichtigen Konzepte der SAP Security, namentlich das Dateneigentümer-, das Eigenentwicklungen-, das Berechtigungs- und das Notfalluserkonzept, den Anforderungen genügen. Jedes von ihnen sollte ein ausformuliertes Schriftstück darstellen, das zum einen alle Soll-Vorgaben zum jeweiligen Thema enthält und zum anderen mit dem vorgefundenen Ist-Zustand der Prüfung übereinstimmt.
Fehleranalyse bei Berechtigungen (Teil 1)
Das Interface IF_IDENTITY der Klasse CL_IDENTITY stellt verschiedene Methoden für die Pflege der Felder des Benutzerstammsatzes zur Verfügung. Als Vorlage für die Implementierung des BAdIs können Sie das Implementierungsbeispiel CL_EXM_IM_IDENTITY_SU01_CREATE nutzen, in dem die Felder Nachname, Raumnummer, Telefon, E-Mail-Adresse, Benutzergruppe, Abrechnungsnummer und Kostenstelle der Transaktion SU01 automatisch vorbelegt werden. In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt. An dieser Stelle müssen Sie die Implementierung, abhängig von Ihren Anforderungen, ergänzen. Dabei gibt es verschiedene mögliche Datenquellen für die Benutzerstammdaten, die Sie aus dem BAdI aufrufen können.
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Es muss klar sein, welche Rechte für die einzelnen Aufgaben im System nötig sind.
Gerade in wachsenden Systemlandschaften kann es vorkommen, dass die einmal definierten Konzepte nicht mehr zu den aktuellen Anforderungen passen oder die eingeübten Prozesse in der Rollenund Berechtigungsverwaltung mit der Zeit immer aufwendiger und umständlicher werden.