Betriebsarten einrichten
Richtwerte: CPU
Wir halten Ihre Systeme immer auf dem neuesten Stand: System-Upgrades und -Updates sind sowohl funktional als auch für die Sicherheit Ihrer Daten sehr wichtig. Ob Release-Wechsel oder Einspielen von wichtigen Support Packages – wir sind Ihr Experte.
Der Technologiearchitekt kennt in Grundzügen das Kerngeschäft des Unternehmens, besitzt Geschäftsprozess- und Projektmanagement-Know-how. Im Rahmen seiner Tätigkeit übt der Technologiearchitekt keine Projektleitung oder Projektmanagement aus. Er erarbeitet und konzipiert in Abstimmung mit übergeordneten Instanzen, IT-Fachabteilungen und auch Geschäftsbereichen Strategien und Lösungsvorschläge. Er definiert Vorgaben für die Umsetzung und den Betrieb, die er mit dem Operator oder auch der notwendigen Ausprägung des Subject Matter Experts abstimmt. Ebenfalls kümmert er sich um neue Technologien in seinem Themengebiet und ist somit Innovationstreiber und Impulsgeber aus technischer Sicht. Auch agiert er als Ansprechpartner für Enterprise-Architekten im Unternehmen. Die Ausrichtung dieser Rolle wird zukünftig jedoch deutlich mehr koordinierend sein. Somit wird sich das Aufgabenspektrum in der Breite vergrößern. Eine zusätzliche Anforderung in der Zukunft wird das unternehmenspolitische Verständnis sein.
Processing-Zeit
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen. Wie funktioniert das SAP Berechtigungsvererbung? Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalss Änderungen am Masterobjekt direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfacherere Wartung ermöglicht und die Fehlerquote drastisch minimiert. Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen. Vererbung für SAP Berechtigungen anlegen Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen. Schritt 1: Masterrolle anlegen Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button "Einzelrolle" legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle "findepartment_r".
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Dies kann zu Wartezeiten in der Queue des SAP-Dispatchers führen.
Bei dieser Art der Verarbeitung werden Dokumente von Programmen erstellt oder bearbeitet, die ohne ständige Kommunikation mit Dialogbenutzern arbeiten (daher die Bezeichnung im Hintergrund).