Objekt S_BTCH_NAM und S_BTCH_NA1 (Nutzung fremder Benutzer in Steps)
System-Trace-Funktion ST01
Sollen Ihre Benutzer ihre eigenen Hintergrundjobs freigeben dürfen, benötigen Sie dafür die Berechtigung JOBACTION = RELE zum Objekt S_BTCH_JOB. In diesem Fall dürfen sie alle Jobs zu einem gewünschten Zeitpunkt starten lassen. In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«). Der Vorteil dabei ist, dass die Berechtigungen genauer gesteuert werden können und Sie nicht das Risiko eingehen, dass ein Job nicht mehr läuft, sollte der Benutzer, unter dem er eingeplant war, einmal Ihr Unternehmen verlassen. Die Zuordnung zu einem Systembenutzer können Sie realisieren, indem Sie dem Benutzer, der den Job einplant, eine Berechtigung für das Objekt S_BTCH_NAM erteilen. Im Feld BTCUNAME wird der Name des Step- Benutzers eingetragen, d. h. des Benutzers, unter dem der Job laufen soll, z. B. MUSTERMANN.
Diese Lösung steht Ihnen nur per Support Package ab SAP NetWeaver AS ABAP 7.31 zur Verfügung und erfordert einen Kernel-Patch. Die Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1750161. Zusätzlich muss die SAP Cryptographic Library installiert sein; dies ist aber durch den erforderlichen Kernel-Patch sichergestellt. Nur wenn Sie manuell eine andere Konfiguration vorgenommen haben, müssen Sie diese Voraussetzung prüfen.
Audit Information System Cockpit nutzen
Ebenso verhält es sich mit dem Konzept der Dateneigentümerschaft. Hierbei übernimmt eine Person die Verantwortung für die Daten eines bestimmten Geltungsbereichs (z. B. SAP-System X oder Systemlandschaft Y) und achtet auf diese, als seien sie der eigene, kostbare Besitz. Er beantwortet gewissenhaft Fragen wie „Dürfen Daten verändert / eingesehen / gelöscht werden?“, „Wie wird bei einem Datenabfluss gehandelt?“, „Wer darf wie auf die Daten zugreifen und was mit ihnen machen?“.
Sie möchten den Zugriff auf die Dateien des Anwendungsservers absichern? Erfahren Sie, welche Möglichkeiten Ihnen die Berechtigungsobjekte S_DATASET und S_PATH bieten, welche Einschränkungen bestehen und welche Fallstricke lauern. Der Zugriff auf die Dateien des Anwendungsservers ist durch im Kernel eingebaute Berechtigungsprüfungen geschützt, ähnlich wie der Start von Transaktionen und RFC-Funktionsbausteinen. Die von SAP ausgelieferten Berechtigungsvorschläge zum Berechtigungsobjekt S_DATASET bieten Ihnen keine große Hilfestellung, und zu S_PATH gibt es praktisch keine Informationen, da Sie dieses Berechtigungsobjekt erst durch das Customizing der Tabelle SPTH aktivieren müssen. Häufig werden daher die Berechtigungen zu S_DATASET zu großzügig ausgeprägt, die Tabelle SPTH kaum gepflegt und S_PATH gar nicht benutzt. Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Wann wurden welche Änderungen an einer Rolle vorgenommen (PFCG)? Klicke in der PFCG oben im Menü auf Hilfsmittel > Änderungen anzeigen, um dir die Änderungsbelege anzeigen zu lassen.
Zu den UI-Komponenten gehören auch das Erstellen oder Aufrufen von gespeicherten Suchen oder das Navigieren aus einem Datensatz direkt in einen anderen Datensatz, z. B. das Aufrufen eines Termins direkt aus einem Geschäftspartner; dies entspricht der Cross-Navigation.