Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Web-Dynpro-ABAP-Anwendungen starten
Spielen Sie die SAP-Hinweise 1656965 und 1793961 in Ihr System ein. Mit diesen Hinweisen wird der Report RSUSR_LOCK_USERS ausgeliefert bzw. erweitert. Dieser Report unterstützt die automatisierte Selektion und Sperrung von inaktiven Benutzern. Dazu müssen Sie im Selektionsbild des Reports RSUSR_LOCK_USERS die Kriterien auswählen, nach denen Sie Benutzer sperren bzw. ungültig setzen möchten. Die Auswahl der Benutzer können Sie anhand verschiedener Kriterien bestimmen. Es empfiehlt sich hierbei besonders, den Zeitraum seit der letzten Anmeldung im Feld Tage seit letzter Anmeldung und den Passwortstatus im Feld Tage seit Kennwortänderung zu berücksichtigen. Sie haben die Möglichkeit, das Ergebnis der Selektion zu prüfen und sich die gefundenen Benutzer anzeigen zu lassen. Wählen Sie dazu im Bereich Auswahl der Aktion die Aktion Test der Selektion aus. Auch können Sie in diesem Bereich zwischen den Maßnahmen Sperren der Benutzer (Lokale Sperre) und Entsperren der Benutzer (Lokale Sperre) wählen. Das Ende der Gültigkeit eines Benutzers können Sie durch Anklicken der entsprechenden Optionen für »heute« oder »gestern« festlegen. Beachten Sie dabei, dass Sie die Gültigkeit nur für aktuell gültige Benutzer setzen können.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Löschen von Versionen
Sperren und Gültigkeiten des Benutzerkontos erfolgen über den Benutzeradministrator und sind auch für andere Authentifizierungsverfahren gültig. Das heißt, dass eine Anmeldung über SSO für einen ungültigen Benutzer oder einen Benutzer mit Administratorsperre nicht möglich ist. Wir empfehlen Ihnen daher immer, den Zugang zum System über das Setzen der Gültigkeit von Benutzern zu verhindern. Das Setzen von Gültigkeiten bei zugeordneten Rollen verhindert zwar ebenfalls, dass der Benutzer noch Aktionen im System durchführen kann, unterbindet aber nicht generell deren Anmeldung.
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Standardmäßig ist diese Funktion ausgeschaltet.
SAP liefert Vorschlagswerte für die Erstellung von PFCG-Rollen in den Tabellen USOBT und USOBX mittels Upgrades, Support Packages oder Hinweisen aus.