SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Rollen über das Organisationsmanagement zuordnen
Authorization object: Berechtigungsobjekte sind Gruppen von Berechtigungsfeldern, die eine bestimmte Aktivität steuern. Berechtigungsobjekte sollten immer im Vorfeld mit dem Nutzerkreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.
Bestimmte Berechtigungen, die erst beim Ausführen eines Job-Steps von Bedeutung sind, werden zum Zeitpunkt der Einplanung für den angegebenen Step-Benutzer geprüft. So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen. Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt. Bei externen Kommandos findet eine Prüfung auf das Objekt S_LOG_COM statt.
Berechtigungsverwaltung in kundeneigenen Programmen koordinieren
Um nachfolgende SAP Standardreports ausführen zu können, benötigen Sie Berechtigungen zum Zugriff auf bestimmte Programme bzw. Reports und im Bereich der Rollenpflege. Hierbei haben vor allem die Transaktionen „SA38“ bzw. „SE38“ zur Ausführung von Programmen eine besondere Bedeutung inne. Sie ermöglichen eine weitreichende Systemanalyse mittels bestimmter Programme für den Endnutzer. Damit einhergehende Zusatzrechte, die über die Basisrechte von Administratoren hinausgehen können, müssen durch explizite Werte dediziert ausgesteuert werden.
Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter. Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Alle Objektfelder, die als Organisationseinheiten genutzt werden, sind in der Tabelle USORG aufgelistet.
Ein Teil der Gefahren geht von potenziellen Sicherheitslücken im ABAP-Code hervor, die sich meistens nicht durch nachgelagerte Maßnahmen schließen lassen und daher im Code selbst bereinigt werden müssen.