System-Trace-Funktion ST01
Pflege der Berechtigungsobjekte (Transaktion SU21)
Diese Informationen werden bei der Namensgenerierung des externen Services verwendet. Auf diese Weise werden alle in einer CRM-Business- Rolle konfigurierten Bereichsstartseiten und logischen Links in Form von externen Services berechtigt. Aufgrund der Masse an externen Services, die im Rollenmenü auftauchen, ist es schwierig, den Überblick zu behalten. Um nun nur bestimmte externe Services zu berechtigen, können Sie wie folgt vorgehen: Identifizieren Sie den externen Service zunächst über den Berechtigungstrace.
Wie alle anderen Security-Themen auch müssen die SAP-Berechtigungen ins genutzte Framework integriert werden. Die Risiken durch falsch vergebene Berechtigungen sind als sehr hoch einzustufen. Die Definition eines ganzheitlichen Governance-, Risk- und Compliance-Management Systems ist erforderlich. Dieses stellt sicher, dass Risiken frühzeitig erfasst, analysiert, bewertet, koordiniert und innerhalb des Unternehmens weitergeleitet werden. Dementsprechend fließen auch die Risiken, die durch falsch vergebene SAP-Berechtigungen oder durch einen fehlenden Prozess zur Überwachung der Berechtigungen entstehen, hier mit ein.
Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
Bei den Berechtigungen auf Datenbankobjekte zeigen Ihnen die Details, welche Berechtigung der Benutzer beim Zugriff auf das Objekt hat. Im folgenden Beispiel enthält die Rolle MODELING die Berechtigung für die Nutzung des Objekts _SYS_BI mit der Einschränkung auf die Privilegien EXECUTE, SELECT, INSERT, UPDATE und DELETE. Zusätzlich ist es einem Benutzer – dem diese Rolle zugewiesen ist – nicht erlaubt, diese Privilegien an andere Benutzer weiterzureichen (Grantable to Others). Unsere Beispielrolle enthält außerdem Analytical Privileges und Package Privileges, auf die hier nicht näher eingegangen wird.
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Dies vereinfacht die spätere Pflege in der IMG-Struktur.
Das Einplanen und Bearbeiten von Batch-Jobs ist durch Berechtigungen geregelt, über deren Nutzung häufig Unklarheit besteht.