Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Sie sollten alle Belegarten in denselben Zeitintervallen archivieren; dies gilt besonders für die Archivobjekte US_USER und US_PASS. Üblich ist es, die Änderungsbelege zwischen zwölf und achtzehn Monate aufzubewahren, da dies den Aufbewahrungsfristen für die Revision entspricht. Wollen Sie aus Performancegründen in kürzeren Intervallen archivieren, sollten Sie immer alle Archivobjekte zeitgleich archivieren und die Archivobjektklassen PFCG und IDENTITY in separaten Archiven ablegen. In diesem Fall ist es unter Umständen sinnvoll, die archivierten Änderungsbelege in eine Schattendatenbank zurückzuladen, um sie zur schnelleren Auswertung durch die Revision zur Verfügung zu stellen. Dazu können Sie die folgenden Reports nutzen: RSUSR_LOAD_FROM_ARCH_PROF_AUTH / RSUSR_LOAD_FROM_ARCHIVE. Mit dem Archivobjekt BC_DBLOGS können Sie zusätzlich die Tabellenänderungsprotokolle archivieren.
Im Vorfeld wurden im Gros wichtige SAP Reports zum Thema Rollen- und Berechtigungsverwaltung vorgestellt. Da diese und das gesamte SAP System bekannterweise auf dem ABAP Coding aufbauen, ist die Analyse des Quellcodes, besonders bei der Nutzung von Eigenentwicklungen, genauso wichtig. Diese Inhouse Entwicklungen stellen oftmals gravierende Sicherheitslücken dar, da sie nur unzureichende Berechtigungsprüfungen im Coding besitzen. Um nach expliziten Strings zu suchen und die Eigenentwicklungen entsprechend zu kategorisieren kann der Report RS_ABAP_SOURCE_SCAN genutzt werden. Dadurch können vorhanden Programme im Backend nach gezielten Prüfmustern durch den Berechtigungsadministrator explizit überprüft und etwaige Fehlstellungen durch die entsprechenden Entwickler bereinigt werden. Berechtigungsrelevante Prüfmuster bei solch einem Scan sind bspw. “AUTHORITY-CHECK“ oder SQL Statements wie SELECT, UPDATE oder DELETE. Erstere prüft, ob überhaupt Berechtigungsprüfungen im Quellcode vorhanden sind. Die Prüfung auf Open SQL Muster analysiert die Codestruktur auf direkte SELECT, MODIFY oder INSERT Anweisungen, die vermieden bzw. berechtigungsseitig geschützt werden müssen. Die Best Practice Maßnahme ist in diesem Fall die Verwendung von SAP BAPIs. Das präventive Best Practice Vorgehen wäre es, Entwickler und Berechtigungsadministratoren schon während der Konzeptionierung der Eigenentwicklung gleichermaßen zu involvieren.
SAP Data Analytics
Entferne falsch definierte SAP-Orgebene ($CLASS): Diese Funktion löscht die Organisationsebene $CLASS, die mit dem GRCPlug-in (Governance, Risk and Compliance) fehlerhaft ausgeliefert wurde. Nutzen Sie den Testmodus des Reports, um sich mögliche Korrekturen im Vorfeld anzuschauen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Webseite "www.sap-corner.de" bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Über die Korrektur werden die Buttons Abmischmodus für PFCG: Ein/Aus bzw. Rollen zur Verfügung gestellt.