Alten Stand lesen und mit den neuen Daten abgleichen
Analyse der Qualität des Berechtigungskonzeptes – Teil 1
Für die Konfiguration müssen Sie zuerst die Verschlüsselung und gegebenenfalls die Signierung in der SAPConnect-Administration aktivieren. Gehen Sie hierzu in der Transaktion SCOT unter Einstellungen > Ausgehende Nachrichten > Einstellungen auf die Registerkarte Signierung & Verschlüsselung. Beachten Sie, dass durch die Aktivierung nur die Verschlüsselung bzw. Signatur von E-Mails ermöglicht wird; ob dies tatsächlich erfolgt, steuert immer die versendende Anwendung.
Wir stellen Ihnen hier verschiedene Szenarien für den Prozess des Zurücksetzens von Passwörtern vor. In allen Szenarien wählt der Benutzer das System und den Mandanten, in denen ein Passwort zurückgesetzt werden soll, über eine Webseite aus. Es sollten nur Systeme und Mandanten angezeigt werden, in denen dieser Benutzer bereits existiert und eine Berechtigung zugewiesen hat. Anschließend wird ein Initialpasswort generiert und an die E-Mail-Adresse des Benutzers verschickt. Nur für den Fall, dass eine Benutzersperre durch Falschanmeldungen gesetzt ist, muss der Benutzer zusätzlich entsperrt werden. Bei einer Administratorsperre sollte der Benutzer entsprechend informiert werden. Bevor Sie den Self-Service implementieren, sollten Sie sich Gedanken über die in Ihren Systemen eingestellten Passwortregeln und den Einsatz von Sicherheitsrichtlinien machen. Denn über diese Einstellungen können Sie steuern, wie Passwörter in Ihren Systemen generiert werden. Wir empfehlen Ihnen, dazu die Erläuterungen in den Tipps 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«, und 5, »Sicherheitsrichtlinien für Benutzer definieren«, zu lesen.
Berechtigungen mit dem Pflegestatus Verändert oder Manuell
Sie finden alle Benutzerfavoriten eines Systems in der Tabelle SMEN_BUFFC; zusätzlich gibt es noch die Tabelle SMEN_BUFFI, in der die Links aus den Favoritenlisten abgelegt werden. Sie können diese Tabelle einfach nach Microsoft Excel exportieren und dann auswerten. An dieser Stelle möchten wir Sie allerdings darauf hinweisen, dass Sie die Favoriten nicht ohne die vorherige Abstimmung mit den Benutzern auswerten dürfen, denn die gespeicherten Favoriten sind benutzerbezogen und damit personenbezogene Daten. Die Tabelle SMEN_BUFFC enthält verschiedene Felder, die die Struktur der abgelegten Favoriten bestimmt. So können Sie z. B. Ordner in Ihren Favoriten anlegen, um diese zu sortieren. Diese Ordnerstruktur finden Sie ebenfalls in der Tabelle SMEN_BUFFC. Wichtig für die Neuerstellung eines Berechtigungskonzepts sind allerdings die Einträge selbst, die Sie im Feld REPORT finden. Das Feld REPORTTYPE gibt Ihnen Aufschluss darüber, ob es sich bei dem betreffenden Eintrag z. B. um eine Transaktion oder eine Web-Dynpro-Anwendung handelt. Im Feld TEXT finden Sie dann, falls erforderlich die Beschreibung des Favoriteneintrags. Zusätzlich sollten Sie auch auf das Feld TARGET_SYS achten, da Favoriten auch für andere Systeme eingetragen werden können, in diesem Fall ist unter TARGET_SYS ein RFC-Zielsystem eingetragen.
Diese Auswertungswege können Sie in der Tabelle T77AW bzw. in der Transaktion OOAW anpassen. Wählen Sie hierzu den jeweiligen Auswertungsweg aus, indem Sie diesen markieren, und klicken Sie in der Menüführung links auf Auswertungsweg (Einzelpflege). In der daraufhin angezeigten Tabelle werden die Beziehungen zwischen den Objekten definiert. Für SAP CRM spielen lediglich die Objekte Organisationseinheit (O), Planstelle (S), zentrale Person (CP) sowie Anwender (US) eine Rolle. Der Einfachheit halber können Sie nun die Zeilen, die das Objekt Person (P) verwenden, kopieren. Vergeben Sie hier eine neue Nummer, und tauschen Sie das Objekt P mit dem Objekt CP aus.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Aufgrund der Komplexität eines SAP®-Berechtigungskonzepts ist es notwendig, dass alle wesentlichen Aspekte in einem schriftlich dokumentierten Berechtigungskonzept niedergeschrieben sind.
Ab SAP Net-Weaver AS ABAP 7.40 gibt es dafür die zusätzliche Sicherheitsschicht SAP Unified Connectivity (UCON).