SAP_NEW richtig verwenden
Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Die Sicherheit eines SAP-Systems ist nicht nur von der Absicherung des Produktivsystems abhängig. Die Entwicklungssysteme sollten ebenfalls betrachtet werden, da hier über zu transportierende Änderungen in der Entwicklungsumgebung und im Customizing oder über mangelhaft konfigurierte Schnittstellen Einfluss auf das Produktivsystem genommen werden kann. Abhängig von der konzeptionellen Granularität der Zuständigkeiten im Entwicklungs- und Customizing-Umfeld sind evtl. genauere Berechtigungsprüfungen durchzuführen.
Sie können sich die Inhalte der geprüften Berechtigungsfelder anschauen, indem Sie doppelt auf die jeweiligen Variablen klicken. Auf der Registerkarte Variablen 1 werden die Variablen mit den jeweiligen Werten, die für diese Berechtigungsprüfung herangezogen werden, angezeigt. Diese Werte entsprechen den Werten, die Sie auch im Systemtrace für Berechtigungen sehen. Wenn eine Berechtigungsprüfung mit SY-SUBRC = 0 endet, obwohl keine passenden Berechtigungen vorliegen, prüfen Sie, ob die Prüfung lokal über die Transaktionen SU24 oder global über die Transaktion SU25 bzw. AUTH_SWITCH_OBJECTS abgeschaltet wurde.
Berechtigungskonzept
Für das Szenario des Versands von Initialpasswörtern ist die Signierung von E-Mails nicht so relevant. Es besteht zwar die Möglichkeit, eine verschlüsselte E-Mail mit gefälschter Absenderadresse zu verschicken, in diesem Fall würden aber die enthaltenen Initialpasswörter im System nicht funktionieren. Anders sieht es aus, wenn Sie Geschäftsdaten versenden; in solchen Fällen ist die Verifikation des Absenders über eine digitale Signatur empfehlenswert. Sollten Sie also E-Mails digital signiert versenden wollen, raten wir Ihnen, sie unter der E-Mail-Adresse des Systems zu versenden. Nutzen Sie dafür die beschriebene Methode SEND_EMAIL_FOR_USER und setzen Sie dort das Kennzeichen für den Absender auf das System. Für diesen Fall brauchen Sie ein Public-Key-Schlüsselpaar für Ihr ABAP-System, das als persönliche Systemsicherheitsumgebung (PSE) abgelegt wird. Eine detaillierte Beschreibung der Konfiguration, auch für die Verifikation und Entschlüsselung von empfangenen E-Mails, finden Sie in der SAP-Onlinehilfe unter http://help.sap.com/saphelp_nw73ehp1/helpdata/en/d2/7c5672be474525b7aed5559524a282/frameset.htm und im SAP-Hinweis 1637415.
Sind die Änderungen an Ihren SU24-Daten mit Schritt 2a nicht erkannt worden oder haben Sie Transporte aus anderen Systemlandschaften in Ihr System importiert, haben Sie die Möglichkeit, die Zeitstempeltabellen zurückzusetzen und somit noch einmal von vorn anzufangen. Lassen Sie dafür den Report SU24_AUTO_REPAIR in einem System, das noch auf dem Stand des Altrelease ist, laufen, sodass das Modifikationsflag korrekt gesetzt wird (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Anschließend legen Sie einen Transport an und transportieren Ihre SU24- Daten in das System, das auf dem Stand des neuen Release ist. Löschen Sie nun Ihre Zeitstempeltabellen. Dafür können Sie den Report SU25_INITIALIZE_TSTMP verwenden. Ab SAP NetWeaver 7.31 haben Sie die Auswahlmöglichkeiten, den Referenzzeitstempel aus den SU22-Daten zu setzen oder die Inhalte der Zeitstempeltabellen zu löschen. Anschließend können Sie Schritt 2a erneut ausführen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Diese Anwendungen müssen somit in die PFCG-Rollen aufgenommen werden.
Es steht Ihnen frei, noch manuelle Anpassungen an den Feldwerten vorzunehmen.