Rollentyp
SAP Security Automation
Sollten Sie den Haken zur Tabellenprotokollierung für mehrere Tabellen setzen wollen, müssen Sie beachten, dass die Grundsätze zur Änderung von Dictionary-Objekten gelten, d. h., dass Sie in laufenden Systemen eine erhöhte Systembelastung erzeugen. Deshalb sollten Sie sowohl die Änderung als auch den Transport der Änderungen außerhalb der Geschäftszeiten durchführen. Im SAP-System sind standardmäßig nur Customizing-Tabellen zur Tabellenprotokollierung vorgesehen; daher brauchen Sie keine Bedenken wegen der Performance zu haben. Tabellen, die dem Customizing dienen, enthalten in der Regel nur relativ wenige Daten, die eher selten geändert werden. Sie sollten aber die Tabellenprotokollierung nicht für Tabellen einschalten, die Massenänderungen unterliegen, da es ansonsten zu Problemen mit der Performance und dem Speicherplatz kommen kann. Dies gilt für Tabellen mit Stamm- oder Bewegungsdaten. Denn wenn die Tabellenprotokollierung eingeschaltet ist, wird für jede Änderung am Inhalt einer protokollierten Tabelle ein Protokolleintrag in der Tabelle DBTABLOG erzeugt.
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Prüfung auf Programmebene mit AUTHORITY-CHECK
Nach erfolgter Anmeldung stehen Ihnen die Ihrem Benutzer (über den Benutzer-Account) zugeordneten Berechtigungen zur Verfügung. Jede Ihrer Aktionen führt dabei zur Nutzung von Runtime-Versionen der entsprechenden Objekte. Dies gilt auch für jedes Privileg und jede Rolle. Runtime-Versionen von Rollen sind in SAP HANA jedoch nicht transportierbar. Damit bei der Entwicklung Ihrer Anwendungen eine hohe Qualität erreicht werden kann, sollten Sie allerdings eine Systemlandschaft mit Entwicklungssystem (DEV), Qualitätssicherungssystem (QAS) und Produktivsystem (PRD) nutzen. Damit Sie Entwicklungsergebnisse nach QAD und PRD überführen können, stellt Ihnen das SAP HANA Studio die Möglichkeit zur Verfügung, in einem (frei definierbaren) Design Time Repository Objekte anzulegen, die Sie über Delivery Units weiteren Systemen zur Verfügung stellen und somit transportieren können.
Die Lösung der ersten beiden genannten Probleme erhalten Sie durch das Einspielen der Korrektur aus dem SAP-Hinweis 1614407. Die Profildaten werden nicht mehr zum Zeitpunkt der Rollenaufzeichnung, sondern erst bei der Freigabe des Transportauftrags der Stückliste hinzugefügt. Auf diese Weise ist die Übereinstimmung zwischen den Berechtigungsdaten der Rolle und den dazugehörigen Profildaten gewährleistet. Der freigegebene Transportauftrag enthält ebenfalls die komplette Änderungshistorie der Profile und Berechtigungen, sodass auch die Löschung obsoleter Daten in den Zielsystemen möglich ist.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
In der Übersicht der ausgewählten Rollen finden Sie wieder den Button Abmischen, der den Abmischvorgang simuliert.
Im Rahmen der Einführung eines Security-Patch-Prozesses werden Sie, abhängig von Ihrem Release- und Support-Package-Stand, viele Sicherheitshinweise auswerten müssen.