Berechtigungsprüfungen in SAP HANA verstehen
Berechtigungen für das Customizing erstellen
Nach dem Klick auf diesen Button sehen Sie den aktuellen ZBV-Status im gleichnamigen Bereich und können das ausgewählte System über den Button Ausführen aus der ZBV herauslösen. Für dieses Tochtersystem ist die ZBV nun nicht mehr aktiv. Um Inkonsistenzen in den Benutzerstammsätzen zu vermeiden, müssen Sie die Benutzer nach der Aktivierung der ZBV im Tochtersystem abgleichen. Dies können Sie in der Transaktion SCUG durchführen und dort Benutzerdaten aus dem Tochtersystem in das Zentralsystem übernehmen. Informationen zu den technischen Voraussetzungen finden Sie im SAP-Hinweis 962457. Um die ZBV komplett auszuschalten, nutzen Sie den Report RSDELCUA bzw. den Button Löschen in der Transaktion SCUA. Über diese Funktion haben Sie die Möglichkeit, entweder nur bestimmte Tochtersysteme aus der ZBV oder die komplette ZBV zu löschen.
Schon bei der Definition der Entwicklungsrichtlinie sollten Sie darauf achten, dass der Zugriffssicherheit das entsprechende Augenmerk geschenkt wird. Über kundeneigene Programme oder Anpassungen im SAP Code Inspector lässt sich sicherstellen, dass alle im Unternehmen beschäftigten Entwickler diese Richtlinien entsprechend einhalten. Die Prüfung, ob die Entwicklungsrichtlinien eingehalten wurden, sollte zwingender Bestandteil der Qualitätssicherung sein, bevor die Programme produktiv genutzt werden. Die Transaktionen SE38 und SA38 sollten im produktiven System nicht vergeben werden, und kundeneigene Programme sollten in eigene Transaktionscodes eingebunden werden. Anschließend werden Berechtigungen nur für diese Transaktionen eingerichtet.
FAZIT
Der nächste Schritt ist nun die Pflege der Berechtigungswerte. Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen. Wenn Sie aus dem Rollenmenü auf die Registerkarte Berechtigungen wechseln, werden Startberechtigungen für alle im Rollenmenü enthaltenen Anwendungen generiert und Standardberechtigungen aus den Berechtigungsvorschlägen angezeigt. Sie können diese Vorschlagswerte nun mit den Tracedaten ergänzen, indem Sie in der Button-Leiste auf den Button Trace klicken. Suchen Sie sich zuerst das Berechtigungsobjekt aus, das Sie pflegen möchten. Für jedes Berechtigungsobjekt kann es mehrere Berechtigungen geben. Anschließend laden Sie die Tracedaten, indem Sie auf Trace auswerten klicken. Es öffnet sich wieder ein neues Fenster, in dem Sie die Auswertungskriterien für den Trace festlegen und den Filter für Anwendungen entweder nur auf Anwendungen im Menü oder auf alle Anwendungen beschränken können. Ist der Trace einmal ausgewertet, werden Ihnen alle geprüften Berechtigungswerte für das ausgewählte Berechtigungsobjekt angezeigt. Mit dem Button Übernehmen können Sie hier nun die Werte zeilenweise, spaltenweise oder feldweise übernehmen.
Die soeben angelegten Customizing-Objekte binden Sie nun in die eigene IMG-Struktur ein. Dazu öffnen Sie wieder die Transaktion SIMGH, rufen Ihre Struktur im Änderungsmodus auf und fügen sie unter dem zuvor angelegten Ordner ein, indem Sie Aktivität > eine Ebene tiefer einfügen wählen. Sie sollten schon mit der Anlage der Customizing-Objekte eine gleichnamige Dokumentation anlegen. Dazu wählen Sie auf der Registerkarte Dokument den Button Anlegen aus und verfassen einen entsprechenden Text, den Sie speichern und anschließend aktivieren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Transportaufzeichnung für Profile geänderter Rollen: Hiermit können Sie die geänderten Profile in einen Transportauftrag schreiben lassen.
Wenn klar ist, dass eine Bereinigung notwendig ist, sollte im ersten Schritt eine genaue Analyse der Situation erfolgen und ein Check der Sicherheitssituation erfolgen.