Hauptspeicherbasiertes Sizing bei SAP HANA
Konzept
Um zusätzliche Berechtigungen für definierte Gruppen im Launchpad zu PFCG-Rollen hinzuzufügen befolgen Sie die Schritte wie oben bereits beschrieben. Dieses Mal wählen Sie nur anstatt einem "SAP Fiori Kachelkatalog" eine "SAP Fiori Kachelgrupe". Hier unterscheiden sich die Vergaben von Berechtigungen nur sehr gering. Fiori Berechtigung für OData-Services Die Startberechtigung für den im Backend hinterlegten OData-Service von einer Fiori App wird sowohl auf dem Frontend-, als auch auf dem Backend-Server beim Aufrufen der Applikation abgefragt. Deshalb muss diese Berechtigung auf beiden Servern zu der entsprechenden Rolle hinzugefügt werden. Die typische Abfolge beim Anklicken einer Fiori App im Launchpad löst die folgenden Schritte aus: 1) Beim Auswählen der Kachel wird die App-Fiori-Implementierung aufgerufen 2) Die App ruft dynamische Daten aus dem HTTP-Endpunkt des OData-Services auf dem Frontend-Server ab 3) Es folgt ein RFC-Aufruf an die Gateway-Aktivierung des Backend Systems, dabei wird die relevante Geschäftslogik abgerufen 4) Nun wird die Fiori Berechtigung für den entsprechenden OData-Service auf dem Backend abgefragt 5) Wenn dies erfolgreich war werden die entsprechenden Berechtigungen für die Geschäftslogik im OData-Service abgefragt. Um die Fiori Berechtigung zur Ausführung eines OData-Services für eine App zu einer Rolle hinzuzufügen führen Sie bitte die folgenden Schritte durch: In der PFCG die entsprechende Rolle im Änderungsmodus öffnen Schritte auf dem folgenden Screenshot durchführen: 1) Menü-Reiter auswählen 2) Pfeil neben dem "Transaktion" Button klicken 3) Berechtigungsvorschlag auswählen.
Innerhalb einer Client-Server-Ebene lässt sich die anfallende Last auf mehrere logische Instanzen verteilen, die auf unterschiedlichen Rechnern laufen können, was man als horizontale Skalierbarkeit bezeichnet. So wird die Präsentationsebene in der Regel auf PCs oder Terminalserver verteilt. Die Applikationsebene wird durch die SAP-Instanzen realisiert. Die Client-Server-Architektur erlaubt es, die Zahl der Applikations- und Präsentationsserver fast beliebig zu erhöhen, um bei steigender Benutzerzahl den wachsenden Anforderungen gerecht zu werden.
Hintergrund-Input-Verarbeitung (Batch-Input)
Zu einem sicheren SAP-System gehört nicht nur ein gutes Rollenkonzept. Es muss auch überprüft werden, ob ein Nutzer eine bestimmte Rolle überhaupt (noch) besitzen soll. Die regelmäßige Überprüfung der Rollenzuordnung wird als Rezertifizierung bezeichnet. In diesem Blogbeitrag möchte ich Ihnen die Notwendigkeit von Rezertifizierungen näherbringen und unser eigenes Tool, den EasyReCert, vorstellen. Die Notwendigkeit der Rezertifizierung - Szenarien: Beispiel 1: Das „Azubi Problem“ Stellen Sie sich folgendes Szenario vor: Ein neuer Mitarbeiter (beispielsweise ein Azubi oder Trainee) durchläuft im Rahmen seiner Einarbeitung verschiedene Abteilungen und arbeitet in verschiedenen Projekten mit. Natürlich wird Ihrem Mitarbeiter gleich zu Beginn ein SAP User zur Verfügung gestellt, welcher mit entsprechenden Rollen versehen ist. Beim Durchlauf der einzelnen Projekte und Abteilungen benötigt der Mitarbeiter immer wieder neue Berechtigungen, um den Anforderungen gerecht zu werden. Nachdem der Mitarbeiter seine Einarbeitung erfolgreich abgeschlossen hat und nun eine feste Stelle besetzt, verfügt er immer noch über Berechtigungen, die zur Bearbeitung seiner Aufgaben nicht nötig sind. Dies verletzt das Prinzip des „least privilede“ und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Beispiel 2: Der Abteilungswechsel Ein Szenario, welches wohl in jedem Unternehmen vorkommt, ist der Abteilungswechsel. Sollte bei einem Abteilungswechsel nicht automatisch eine komplette Neuvergabe der Rollen durchgeführt werden und der Mitarbeiter seine alten Berechtigungen einfach mitnehmen, können sehr schnell kritische Kombinationen von Berechtigungen auftreten. So verletzt ein Mitarbeiter, der beispielsweise über Berechtigungen in der Kreditoren- und Debitorenbuchhaltung verfügt, das Prinzip SoD („Segregation of Duties“) und stellt ein potentielles Sicherheitsrisiko für Ihr Unternehmen dar. Rezertifizierung im Rahmen einer Revision: Die beiden genannten Beispiele zeigen, dass eine regelmäßige Überprüfung der Rollenvergabe potentielle Sicherheitsrisiken für Ihr Unternehmen aufzeigt und sich diese so beheben lassen.
Verwenden Sie "Shortcut for SAP Systems", um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
Die Webseite "www.sap-corner.de" bietet viele nützliche Informationen zum Thema SAP Basis.
In solchen Fällen hilft der Security Auditlog oder kurz SAL.