Das SAP-Berechtigungskonzept
Wildwuchs mit dem Systemlastmonitor verhindern
Der Einfachheit halber möchten wir dieses Beispiel anhand des Hintergrundjobs PFCG_TIME_DEPENDENCY erläutern. Dieser Job ruft den Report RHAUTUPD_NEW auf bzw. kann auch mit der Transaktion PFUD direkt ausgeführt werden. Stellen Sie sich vor, dass es für diesen Job noch keinen Transaktionscode gäbe.
Legen Sie eine Nachricht an, die dem Benutzer bei fehlgeschlagenen Berechtigungsprüfungen angezeigt werden soll. Die Prüfungen in diesem User-Exit können Sie relativ frei gestalten. So können Sie Tabelleneinträge lesen, Daten aus dem Speicher der ABAP-Anwendung ablegen oder dort bereits vorhandene Daten auslesen. Eingeschränkt sind Sie allerdings durch die Schnittstellenparameter der Anwendung. In unserem Beispiel sind dies die Strukturen BKPF und BSEG sowie die Systemvariablen. Sollten Ihnen die Informationen aus den Schnittstellenparametern nicht für die Prüfung ausreichen, können Sie mithilfe Ihrer Programmierkenntnisse und dem Wissen über die Zusammenhänge der Substitution und Validierung im Finanzwesen zusätzliche Daten ermitteln. Mit dem folgenden Coding können Sie die selektierten Posten zum Ausgleichsbeleg ermitteln, die Sie in der Tabelle POSTAB (mit der Struktur RFOPS) im Programm SAPMF05A finden können. Auf diesem Weg können Sie viele zusätzliche Daten ermitteln. Wichtig ist dabei, dass das Rahmenprogramm die User-Exits prozessiert.
Sicherheitsrichtlinien für Benutzer definieren
Die Anlage der Berechtigungsobjekte erfolgt für die Planung und die einzelpostenbasierten Berichte analog. Die Berechtigungsobjekte der einzelpostenbasierten Berichte werden bei der Berichtsauswahl zusätzlich zu den Berechtigungsobjekten für das Informationssystem geprüft. Einen Trick gibt es bei der Pflege der CO-PA-spezifischen Berechtigungsobjekte, denn ein einmal ausgewählter Ergebnisbereich ist für die gesamte Session Ihrer Anmeldung gesetzt. Dies ist bei der Pflege von Berechtigungsobjekten für verschiedene Ergebnisbereiche natürlich hinderlich. Daher wechseln Sie einfach im Customizing den Ergebnisbereich über den folgenden Pfad: Controlling > Ergebnis- und Marktsegmentrechnung > Strukturen > Ergebnisbereich setzen.
Die mit dem Berechtigungstrace (mit Filter für das Berechtigungsobjekt S_DATASET) gewonnenen Daten können Sie natürlich auch gleich zur Ausprägung von Berechtigungen für das Objekt selbst verwenden. Hierzu sollten Sie in jedem Fall auch die für das Feld PROGRAM gewonnenen Werte nutzen. Auf diese Weise schließen Sie den Missbrauch durch modifizierte Kopien von ABAP-Programmen aus. Diese Einschränkung der zugreifenden Programme stellt bereits einen Sicherheitsgewinn dar, auch wenn Sie den Zugriff auf Pfade und Dateien nicht einschränken möchten.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen.
In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«).