S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren
Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein? Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System auswerten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführbaren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgenden klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
Diese Liste in der Tabelle AGR_1252 enthält sowohl die Organisationsfelder, die im Standard ausgeliefert werden, als auch die Felder, die von Ihnen zu Organisationsfeldern erhoben worden sind. Leider ist der Liste nicht zu entnehmen, um welche Art von Organisationsfeld es sich jeweils handelt. Dies können Sie jedoch herausfinden: Öffnen Sie über die Transaktion SA38 das Programm PFCG_ORGFIELD_DELETE. Über die Wertehilfe der Organisationsebene (Orgebene) erhalten Sie eine Liste aller kundenspezifischen Organisationsfelder, da nur diese wieder in normale Berechtigungsobjektfelder umgewandelt werden können. Beachten Sie die Auswirkungen, sollten Sie dieses Programm tatsächlich ausführen wollen.
Abfrage der Daten aus dem Active Directory
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems – sowohl nach außen als auch nach innen.
Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden. Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Schieben Sie diesem einen Riegel vor, indem Sie den Zeichenvorrat von vornherein einschränken.
Wurden Eingaben nicht korrekt vorgenommen, war die Dialogführung für den Anwender mitunter nicht transparent und verwirrend.