SU21 Pflege von Berechtigungsobjekte
SolMan – der Solution Manager übernimmt die Überwachung des Systemzustandes und ermöglicht ein zentrales Anwendungsmanagement
Hierdurch wird der technische User zum Dialog-User und eine Anmeldung im SAP System ist uneingeschränkt möglich. Also meldet sich Johannes mit dem bekannten Passwort des RFC Users im Produktivsystem an. Dank sehr weitreichender Berechtigungen hat er fortan Zugriff auf allerlei kritische Tabellen, Transaktionen und Programme in Produktion. Mit der Identität des RFC Users beginnt Johannes mit der technischen Kompromittierung des Produktivsystems… RFC Sicherheit: Alles nur erfunden – oder alltägliche Bedrohung? Ob nun eine simple Verkleidung, veränderte biometrische Eigenschaften oder ein gekaperter, technischer User im SAP System: die Grundlage der Kompromittierung ist dieselbe. Eine Person nutzt eine andere Identität, um Zugang und Berechtigungen zu geschützten Bereichen zu bekommen. Außerdem hätte das Übel in allen drei Geschichten durch Pro-Aktivität verhindert werden können. Wann haben Sie sich das letzte Mal Gedanken über die Sicherheit Ihrer RFC Schnittstellen gemacht? Können Sie mit Sicherheit sagen, dass alle Ihre technischen RFC User nur die Berechtigungen besitzen, die sie auch tatsächlich benötigen? Und wissen Sie eigentlich wer genau die Passwörter dieser User kennt? Können Sie zu 100% ausschließen, dass nicht jetzt in diesem Moment ein SAP User mit falscher Identität Ihre Produktivsysteme infiltriert? Change now: Es geht um Pro-Aktivität! Doch bevor Sie jetzt beginnen und sich auf die Suche nach dem „Identitäten-Wandler“ begeben (was ich wirklich nicht empfehlen möchte!), schlage ich vor, dass Sie die Wurzel des Übels fassen und Ihre RFC Sicherheit proaktiv stärken. Wenn Sie also mehr erfahren möchten, habe ich hier folgende 3 Tipps für Sie: 1) Unser E-Book über SAP RFC-Schnittstellen 2) Unser kostenloses Webinar zum Thema RFC-Schnittstellen bereinigen 3) Blogbeitrag über unser Vorgehen zur Optimierung von RFC Schnittstellen Wie immer freue ich mich auf Ihr Feedback und Ihre Kommentare direkt unterhalb dieser Zeilen!
Um eine revisionssichere Nachvollziehbarkeit sicherstellen zu können, sollten Sie eine Änderbarkeit der Softwarekomponenten und Namensräume auf einem Produktivsystem nur in Ausnahmefällen und zudem nur zeitlich begrenzt gewähren. Dies sollte nur restriktiv vorgenommen werden, um einer Manipulation auf produktiver Ebene vorzubeugen.
BRF Business Rule Framework
Benutzerkontexte werden zum Großteil im SAP Extended Memory gespeichert. Der SAP Extended Memory wird als Shared Memory allokiert: Somit können alle SAP-Workprozesse einer SAP-Instanz die dort abgelegten Benutzerkontexte direkt bearbeiten. Beim Roll-in wird daher nicht der gesamte Benutzerkontext in den lokalen Speicher der Workprozesse kopiert, sondern es werden nur noch die Adressen kopiert, unter denen Benutzerkontext im SAP Extended Memory zu finden ist, also die sogenannten Pointer. Der Umfang der beim Roll-in bzw. beim Roll-out kopierten Daten wird durch die Verwendung des SAP Extended Memorys um ein Vielfaches reduziert, was zu einer drastischen Beschleunigung des Roll-Vorgangs führt. In der Regel wird das SAP-System so konfiguriert, dass der Großteil der Benutzerkontextdaten im SAP Extended Memory gespeichert wird.
Um eine optimale Datenbankperformance zu gewährleisten, sollten die Festplatten der Datenbank möglichst gleichmäßig belastet (d. h. beschrieben bzw. gelesen) werden, sogenannte Hotspots sollten Sie vermeiden. Im Betriebssystemmonitor des Datenbankservers (Transaktionscode ST06) in der Analyse Snapshot > Platten finden Sie u. a. Informationen über die Auslastung der Festplatten sowie Warte- und Antwortzeiten von I/O-Operationen dieser Platten. Die Gefahr eines I/O-Engpasses besteht, wenn einzelne Platten stark ausgelastet sind (Util.>50 % im Stundendurchschnitt), wenn auf diesen Platten Datendateien liegen, die stark beschrieben werden, oder wenn beim Zugriff auf diese Dateien Wartesituationen auftreten. Einen I/O-Engpass können Sie durch eine bessere Verteilung der Tabellen auf das Dateisystem beseitigen. Sie sollten insbesondere sicherstellen, dass sich auf den ausgelasteten Platten keine anderen stark beschriebenen Dateien befinden. Die in Tabelle 2.5 aufgeführten Komponenten gehören zu den am stärksten beschriebenen Elementen einer Datenbank. Sie sollten grundsätzlich weder auf einer gemeinsamen Festplatte mit den Datendateien der Datenbank liegen noch auf einem Festplatten-Array (z. B. auf einem Raid-5-System).
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Beachten Sie, dass unsere Ausführungen keine Vorlage für einen »juristisch wasserdichten« Vertrag sind.
In einem ERP-Systeme steckt bekanntlich das Kapital der Unternehmen.