Rollen und Berechtigungen in SAP SuccessFactors wachsen oft organisch und werden unübersichtlich
Inaktive Benutzer sperren
Über administrative Tätigkeiten werden das Systemverhalten gesteuert und diverse sicherheitsrelevante Einstellungen vorgenommen. Um das Risiko eines Systemausfalls oder der Entstehung einer Sicherheitslücke zu minimieren, sollten administrative Rechte nur an Mitarbeiter der Basisadministration vergeben werden. Die nachfolgende Liste kann evtl. noch durch Vorschläge der unternehmenseigenen Administration ergänzt werden. Sie enthält jeweils nur die wesentlichen Berechtigungsobjekte je Themengebiet.
In der Transaktion SU22 pflegen die Entwickler einer Anwendung die Vorschlagswerte für alle benötigten Berechtigungsobjekte; dabei hilft der Berechtigungstrace. Wie in SAP-Hinweis 543164 beschrieben, wird über den dynamischen Profilparameter auth/authorization_trace der Trace mit dem Wert Y (aktiv) bzw. F (aktiv mit Filter) eingeschaltet. Mit dem Einspielen der SAP-Hinweise 1854561 bzw. des relevanten Support Packages aus SAP-Hinweis 1847663 ist es möglich, einen Filter für diesen Trace über die Transaktion STUSOBTRACE zu definieren, den Sie anhand der Kriterien Typ der Anwendung, Berechtigungsobjekte oder Benutzer einschränken können.
Generischer Zugriff auf Tabellen
Bei der Sicherheitsbetrachtung von SAP-Transportlandschaften ist nicht nur das Produktivsystem prüfungsrelevant. Auch die anderen Systeme, einschließlich der Entwicklungssysteme, sind in die Risikobetrachtungen einzubeziehen. Noch immer wird dort häufig das Profil SAP_ALL genutzt, anstelle konkreter Rollen. Dieser Beitrag zeigt hier die wesentlichen Risikofelder auf.
Mithilfe eigener Berechtigungsobjekte können Sie Berechtigungsprüfungen entwickeln, um Ihre kundeneigenen Anwendungen zu berechtigen oder Standardberechtigungen zu erweitern. Dabei war die Pflege der Berechtigungsobjekte bisher sehr unhandlich. Berechtigungsobjekte können in der Transaktion SU21 angezeigt und neu angelegt werden. Das Anlegen von Berechtigungsobjekten über diese Transaktion war bisher nicht sehr benutzerfreundlich. Wurden Eingaben nicht korrekt vorgenommen, war die Dialogführung für den Anwender mitunter nicht transparent und verwirrend. Dasselbe galt für das Speichern eines Berechtigungsobjekts. Mehrere Pop-up-Fenster weisen hier auf weitere Pflegeaktivitäten hin. Ein anderes Problem ist, dass der Verwendungsnachweis des Berechtigungsobjekts darauf beschränkt ist, Implementierungen des Berechtigungsobjekts zu finden. Berechtigungsobjekte werden allerdings an anderen Stellen, wie z. B. der Vorschlagswertepflege und der Berechtigungspflege, ebenfalls verwendet. Eine weitere Problematik ist die Verwendung von Namensräumen. Für SAPPartner, die Ihre Berechtigungsprüfungen in ihren Namensräumen pflegen möchten, sind die klassischen Namenräume, mit J beginnend, aufgebraucht.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Ist der Wildwuchs dadurch entstanden, weil das Berechtigungskonzept nicht eingehalten wurde, reicht eine Bereinigung aus.
Nachdem Sie das Projekt erfolgreich erstellt, generiert oder bearbeitet haben, führen Sie zum Anlegen einer passenden Customizing-Rolle für das Projekt die Transaktion PFCG aus.