Einplanung von Hintergrund-Jobs, Job-Überwachung, Job-Löschung, etc
SWF_APPL_DISPLAY Anwendungslog auswerten
In der Einstiegsmaske können Sie zunächst über die globalen Einstellungen festlegen, ob Änderungen im Allgemeinen erlaubt sein sollen. Weiterhin können Sie spezifisch für die Softwarekomponenten und Namensräume der Repository-Objekte definieren, ob diese hierbei überhaupt änderbar, oder die Änderbarkeit nur eingeschränkt möglich sein soll.
Daher können auch kritische Berechtigungen, Profile und Rollen bestehen, die nicht in das von SAP definierte Namensschema passen. Manuell ist die Identifikation kritischer SAP Berechtigungen insgesamt schwierig. Es sind jedoch Werkzeuge verfügbar, die automatisiert auf kritische Berechtigungen prüfen. Dabei sind die kritischen SAP Berechtigungen in der Regel durch spezielle Prüfsoftware vordefiniert. Sind die kritischen Berechtigungen, Profile und Rollen identifiziert, so sollten diese gemäß der Berechtigungsplanung angepasst werden. Im Anschluss ist zu prüfen, ob das gewünschte Systemverhalten erreicht wurde oder ob es zu Fehlfunktionen kommt. Dieser Anpassungsprozess kann bei stärkeren Veränderungen unter Umständen aufwendig sein und sollte nicht am Produktivsystem durchgeführt werden.
Implementierung und Betrieb
Bestenfalls wird für die Zeit, in welcher ein Notfallbenutzer im Einsatz ist, ein gesondertes Protokoll über die getätigten Aktivitäten geschrieben, welches anschließend ausgewertet werden kann. In dem nachfolgenden Kapitel möchte ich Ihnen gerne unsere Best-Practice Herangehensweise zur Umsetzung eines Notfallbenutzerkonzepts erklären. Unsere Herangehensweise zur Verwendung von einem Notfallbenutzerkonzept Wir haben gute Erfahrungen mit dem Einsatz der Xiting Authorizations Management Suite (XAMS) in diesem Bereich gemacht. Diese Suite besteht aus verschiedenen Modulen zur Erstellung von Rollenkonzepten, Verwalten von Berechtigungen inklusive eines Berechtigungskonzepts und ermöglicht zudem die Umsetzung von einem Notfallbenutzerkonzept. Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit erweiterten Rechten um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-Service Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von Sonderrechten erfolgen. Das Antragsfenster ist beispielhaft im folgenden Screenshot dargestellt: Auswertung der Nutzung des Notfallbenutzerkonzepts Sobald dieser Antrag angestoßen wurde, wird für den User ein neuer Modus geöffnet, in welchem er mit den erweiterten Rechten arbeiten kann. Zusätzlich, kann je nach Konfiguration ein hinterlegter Workflow als Genehmigungsprozess angestoßen werden, oder es werden vorher definierte Verantwortliche zur Überprüfung der Aktivitäten per Email benachrichtigt. Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten Berechtigungen. Eines dieser Protokolle ist im nächsten Screenshot zu sehen: Diese Protokolle können auch im System angeschaut werden. Hier bekommen Sie nach einer Selektion der User einen Überblick über alle gelaufenen Sessions. Es gibt zusätzlich die Möglichkeit getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung zu genehmigen. Hierdurch kann sich der Verantwortliche einen Überblick über die getätigten Aktivitäten mit dem Notfallbenutzer verschaffen. Wenn Sie dieses Notfallbenutzerkonzept verwenden und die genannten Schritte befolgen können Sie folgende Punkte sicherstellen: Jeder User auf dem Produktivsystem behält seine ursprünglich notwendigen Rechte.
In einer SAP-Installation mit insgesamt fünf Rechnern steht z. B. ein Datenbankserver mit vier Prozessoren zur Verfügung. Auf dem Datenbankserver befindet sich neben der Datenbankinstanz die zentrale SAP-Instanz mit Enqueue- und Dialog-Workprozessen. Der Datenbankprofilparameter, der die Anzahl der für die Datenbankinstanz nutzbaren Prozessoren beschränkt, steht auf dem Wert 1. Damit kann die Datenbankinstanz nur einen Prozessor nutzen. Nehmen wir an, dass die zentrale SAP-Instanz im Mittel etwa einen Prozessor beansprucht. Damit werden Sie im Betriebssystemmonitor (Transaktionscode ST06) eine mittlere CPU-Auslastung von 50 % beobachten, d. h. feststellen, dass kein CPU-Engpass vorliegt. Dennoch werden Sie bei dieser Konfiguration hohe Datenbankzeiten beobachten, da ein Prozessor zur Bearbeitung der Datenbankanfragen in einem System mit fünf Rechnern in der Regel zu klein sein wird. Ist der Datenbankprofilparameter, der die Anzahl der für die Datenbankinstanz nutzbaren Prozessoren beschränkt, zu groß konfiguriert, kann dies ebenfalls die Performance beeinträchtigen.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Weitere Informationen zu dem Generator finden Sie hier.
Weitere Informationen zu den verschiedenen Optimierern und zu Tabellenstatistiken finden Sie in Kapitel 11, »Optimierung von SQL-Anweisungen«, und in den in Anhang E, »Informationsquellen«, zusammengestellten Hinweisen.