Vorteile von Berechtigungstools
Sofortige Berechtigungsprüfung – SU53
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
Die vier wichtigen Konzepte der SAP Security erfordern erst einmal einen gewissen Aufwand. Sie müssen nicht nur abgestimmt, ausformuliert und bereitgestellt, sondern eben auch fortlaufend aktualisiert und vor allem aktiv gelebt werden. Dennoch ist der Return of Investment groß, denn sie wappnen für alle Fälle, liefern Revisionssicherheit, außerdem ein hohes Schutzpotenzial fürs SAP-System und somit auch für das Unternehmen selbst.
Neue Organisationsebenen hinzufügen
Mit der ABAP-Anweisung AUTHORITY-CHECK im Quelltext des Programms prüfen Anwendungen, ob der Benutzer über die entsprechenden Berechtigungen verfügt und ob diese Berechtigungen angemessen definiert sind, d.h. ob der Benutzeradministrator die vom Programmierer für die Felder erforderlichen Werte vergeben hat. Auf diese Weise können Sie auch Transaktionen schützen, die indirekt von anderen Programmen aufgerufen werden. AUTHORITY-CHECK sucht in den im Benutzerstammsatz angegebenen Profilen nach Berechtigungen für das in der Anweisung AUTHORITY-CHECK angegebene Berechtigungsobjekt. Stimmt eine der ermittelten Berechtigungen mit einem der angegebenen Werte überein, war die Prüfung erfolgreich.
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Ebenfalls ein Problem ist der erhöhte Administrationsaufwand der Berechtigungsvergabe und -Verwaltung.
Die Selektion erfolgt im Startbild des Reports, z. B. über den Tabellennamen oder die Auswahl der Optionen zur Protokollierung.