Referenzbenutzer
Reports starten
Der Berechtigungstrace ist ein mandanten- und benutzerunabhängiger Trace. Die Ergebnisse dieses Trace werden in die Tabelle USOB_AUTHVALTRC geschrieben, und können ebenfalls in der Transaktion STUSOBTRACE über den Button Auswerten eingesehen werden. Diese Tracedaten können von Entwicklern verwendet werden, um die Berechtigungsvorschlagswerte in der Transaktion SU22 zu pflegen (siehe auch Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«).
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
ABAP-Quelltexte über RFC installieren und ausführen
Grundsätzlich empfehlen wir Ihnen, starke Verschlüsselungsmechanismen einzusetzen und die meisten Benutzer auf eine SSO-Anmeldung umzustellen. Die Hash-Werte der Benutzerpasswörter sollten Sie dann, wie oben beschrieben, löschen. Releaseabhängige Informationen zur SNC-Client-Verschlüsselung finden Sie im SAP-Hinweis 1643878.
Protokolle: Protokolle existieren zu allen durchgeführten Audits. So können Sie zu einem späteren Zeitpunkt die Historie der Auditergebnisse durchsehen oder sich nur die Ergebnisse der letzten Durchführung anzeigen lassen. Dazu nutzen Sie die Protokollauswertung des AIS in der Transaktion SAIS_LOG oder klicken in der Transaktion SAIS auf den Button.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Wichtig ist dabei, dass das Rahmenprogramm die User-Exits prozessiert.
In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt.