Hashwerte der Benutzerkennwörter
Was tun, wenn der Wirtschaftsprüfer kommt – Teil 1: Prozesse und Dokumentationen
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Durch das Einschalten des Parameters auth/authorization_trace werden externe Services in die Tabelle USOBHASH geschrieben sowie durchgeführte Berechtigungsprüfungen in der Tabelle USOB_AUTHVALTRC protokolliert. Den Inhalt dieser Tabelle können Sie nun dazu verwenden, in der Transaktion SU24 die geprüften Objekte und Werte aus dem Trace in die Vorschlagswerte zu übernehmen. Da es sich um einen dynamischen Profilparameter handelt, wird dieser beim Durchstarten des Anwendungsservers wieder zurückgesetzt. Öffnen Sie nun die Transaktion SU24, und Sie werden dort Ihre eigene UIKomponente als externen Service wiederfinden. Per Doppelklick auf diesen Service werden Sie feststellen, dass dort keine Vorschlagswerte gepflegt worden sind. Sie können diese Vorschlagswerte aus Tabelle USOB_AUTHVALTRC übernehmen. Hier sollten Sie mindestens das Berechtigungsobjekt UIU_COMP pflegen, damit diese Informationen in die PFCG-Rolle geladen werden, sobald Sie den externen Service in Ihr Rollenmenü aufnehmen.
Transaktion PFUD regelmäßig einplanen
Um nachhaltig die Sicherheit des SAP-Systems nach innen und außen zu gewährleisten, ist eine regelmäßige Revision unabdingbar. Vorhandene Regelverstöße müssen erkannt und korrigiert werden. Zudem ist es wichtig, den regelmäßigen Betrieb von SAP zu dokumentieren, um somit bei externem und internem Bedarf Nachweise dessen zu haben. Durch automatisierte Prozesse kann dabei viel Zeit und Geld gespart werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite "www.sap-corner.de".
Ein wahrscheinliches Ergebnis ist, dass Sie längst nicht alle technischen Organisationsmerkmale auch zur Differenzierung nutzen müssen.