Berechtigungen für Spoolaufträge vergeben
Gewährleistung einer sicheren Verwaltung
Zusätzlich zur Definition von Berechtigungen für den externen RFC-Zugriff über das Berechtigungsobjekt S_RFC besteht die Möglichkeit, den externen Aufruf von Funktionsbausteinen grundsätzlich zu unterbinden. Ab SAP Net-Weaver AS ABAP 7.40 gibt es dafür die zusätzliche Sicherheitsschicht SAP Unified Connectivity (UCON). Sie steuert den externen Zugriff auf RFC-Funktionsbausteine unabhängig von Benutzern oder Rollen und lässt sich mandantenabhängig konfigurieren. Dabei werden alle Funktionsbausteine, die per RFC ausführbar sein sollen, in die UCON Communication Assembly eingetragen. Ist ein Funktionsbaustein dort nicht hinterlegt, wird der Aufruf blockiert. UCON wurde so konzipiert, dass es die Performance bei RFC-Aufrufen so wenig wie möglich beeinflusst. Die Identifizierung der erforderlichen Funktionsbausteine erfolgt im UCON Phase Tool (Transaktion UCONPHTL), das konstant alle externen RFC-Aufrufe überwacht und eine Einführung der UCON Communication Assembly unterstützt. So können Aufrufe von neuen Funktionsbausteinen (z. B. kundeneigene Entwicklungen, Änderungen durch Support Packages) analysiert und gegebenenfalls für den externen Zugriff freigegeben werden. Zusätzlich bietet UCON die Möglichkeit, die Konfiguration im Rahmen einer Evaluierungsphase zu prüfen. In einem ERP-System gibt es circa 40.000 RFC-fähige Funktionsbausteine; üblicherweise werden davon nicht mehr als ein paar Hundert verwendet. Mit dem Einsatz von UCON erhöhen Sie daher die Sicherheit Ihres Systems.
Einzelrolle - Wird mit dem Werkzeug der Rollenverwaltung erstellt und ermöglicht die automatische Generierung eines Berechtigungsprofils. Die Rolle enthält die Berechtigungsdaten und das Anmeldemenü der Benutzer.
Reports starten
Wenn Sie nach einem Upgrade oder nach dem Einspielen eines Support Packages die Transaktion SU25 mit den Schritten 1 oder 2a genutzt haben, um Vorschlagswerte auf den neuesten SAP-Systemstand zu bringen, müssen Sie die Vorschlagswerte zu den kundeneigenen Organisationsebenen mit dem Report PFCG_ORGFIELD_UPGRADE wiederherstellen. Dazu müssen Sie den Report für jedes einzelne Feld ausführen, wobei die Suchhilfe des Reports nur die betroffenen Organisationsebenen anzeigt.
Achten Sie darauf, dass die für die Protokollierung vorgesehenen mandantenunabhängigen Tabellen immer protokolliert werden, wenn die Parameter nicht auf OFF gesetzt sind. Zusätzlich zu den hier angeführten Parametern muss auch in der Tabelle selbst der Haken für die Tabellenprotokollierung gesetzt sein; dies erfolgt üblicherweise mithilfe der Transaktion SE13. Die Einstellungen werden in der Entwicklung vorgenommen und dann in die weiteren Systeme transportiert. Im SAP-Standard sind bereits einige Tabellen für die Protokollierung vorgesehen; einen Überblick über diese Tabellen verschafft Ihnen der SAP-Hinweis 112388 (protokollierungspflichtige Tabellen). Die Einstellungen der Tabellen zur Protokollierung können Sie mit dem Report RDDPRCHK bzw. der Transaktion RDDPRCHK_AUDIT im SAP-System auswerten. Die Selektion erfolgt im Startbild des Reports, z. B. über den Tabellennamen oder die Auswahl der Optionen zur Protokollierung.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Dasselbe galt für das Speichern eines Berechtigungsobjekts.
Beispiele hierzu sind die Benutzer SYS und _SYS_REPO, mit denen administrative Aufgaben, wie z. B. die Erzeugung eines neuen Datenbankobjekts oder das Zuweisen von Privilegien, ermöglicht werden.