Unser Angebot
Berechtigungen für die SAP-Hintergrundverarbeitung vergeben
Das SAP Berechtigungskonzept sichert ab, dass auf Transaktionen, Programme und Services in SAP-Systemen kein unberechtigter Zugriff stattfinden kann. Um im SAP-System betriebswirtschaftliche Objekte aufzurufen oder Transaktionen durchzuführen, benötigt ein Anwender deshalb entsprechende Berechtigungen. Beim Aufruf prüft die über eine Transaktion gestartete Applikation, ob die Berechtigung vorliegt und der Nutzer die ausgewählte Operation durchführen darf.
Es gibt vier verschiedene Möglichkeiten für die Benutzerverwaltung in SAP HANA, die wir Ihnen im Folgenden vorstellen. Zunächst einmal können Sie Benutzer mit dem SAP HANA Studio administrieren. Wir zeigen Ihnen hier ein Beispiel für die Pflege eines Benutzers. Im oberen Bereich können Sie die Authentifizierungsmethode des Benutzers festlegen (Authentication). Neben der Authentifizierung via Benutzername und Passwort können Sie die Methoden Kerberos und SAML durch Anklicken der entsprechenden Optionen konfigurieren. Des Weiteren können Sie unter Session Client den Mandanten des SAP-Systems hinterlegen, in dem der Anwender arbeitet. Im unteren Bereich werden die Zuweisungen der Rollen und der verschiedenen Privilegtypen durchgeführt.
Fazit
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Das Setzen der Kennzeichen für die Vertraulichkeit oder die Verschlüsselung in der Methode SEND_EMAIL_FOR_USER wirkt sich auf die Anzeige der E-Mail in der Business Communication Services Administration aus (Transaktion SCOT).
Die gefundenen Berechtigungsobjekte werden aus der Tabelle importiert, sind aber noch mit keinerlei Vorschlagswerten versehen.