IKS für die Geschäftsprozesse in SAP-Systemen
Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen
Was in solchen Fällen fehlt, ist der Benutzerabgleich. Der Benutzerabgleich prüft, welche PFCG-Rollen einem Nutzer zugewiesen sind und weist ebenfalls die dazugehörigen Profile zu. Jede generierte PFCG-Rolle hat mindestens ein Profil, und der Anwender erhält seine Berechtigungen aus diesem Profil. Ist das Profil nicht zugewiesen bzw. veraltet, besitzt der Anwender auch nicht die darin enthaltenen Berechtigungen. Ähnlich verhält es sich mit Rollentransporten in ein Produktivsystem. Eine vorhandene und zugewiesene PFCG-Rolle wird im Entwicklungssystem geändert und durch die Systemlandschaft transportiert. Wird die PFCG-Rolle nun ins Produktivsystem transportiert, verfügen die der Rolle zugewiesenen Benutzer noch nicht über das aktuelle mittransportierte Profil. Hier muss erst ein Benutzerabgleich erfolgen, der sicherstellt, dass das aktualisierte Profil der geänderten PFCG-Rolle allen ihr zugewiesenen Anwendern zugeordnet wird.
Um den sicheren Betrieb von SAP-Systemen zu unterstützen, bietet SAP ein ganzes Portfolio an Services. Wir stellen Ihnen die vom SAP Active Global Support (AGS) angebotenen Security Services vor. Die Sicherheit eines SAP-Systems im Betrieb hängt von vielen Faktoren ab. Es gibt im SAP-Standard verschiedene Sicherheitsfunktionen, wie z. B. die Benutzerverwaltung, Authentifizierungs- und Verschlüsselungsfunktionen, Sicherheitsfunktionen für Webservices oder die verschiedenen Berechtigungskonzepte. Schwachstellen in der Standardsoftware werden ebenfalls regelmäßig in SAP-Hinweisen und Support Packages behoben. Sie sind verantwortlich für den sicheren Betrieb Ihrer SAP-Systemlandschaften; daher müssen Sie diese Funktionen und Korrekturen in Ihre Systeme einspielen. Die AGS Security Services unterstützen Sie dabei, indem Sie die Erfahrungen des AGS in konsolidierten Best Practices bündeln. Wir stellen diese Services vor und beschreiben, wie Sie mit ihrer Hilfe einen Überblick über die Sicherheit Ihres Betriebskonzepts erlangen.
Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Voraussetzung für eine gelungene Berechtigungsprüfung ist eine sorgfältige Vorbereitung. Für alle kundeneigenen Funktionalitäten muss eine funktionale Spezifikation erstellt werden. Dies zwingt dazu, darüber nachzudenken, was die eigentlichen Anforderungen der Anwendung sind, und anschließend die mögliche Umsetzung zu beschreiben. Dabei müssen sicherheitsrelevante Aspekte, wie die Berechtigungsprüfung und -vergabe beachtet werden. Legen Sie fest, was man mit diesem Programm ausführen darf, und auch, was man explizit nicht können darf! Bei einer Berechtigungsprüfung kann nicht nur die auszuführende Aktivität wie Lesen, Ändern, Anlegen usw. geprüft werden. Auch können Sie den Zugriff auf die Datensätze anhand bestimmter Kriterien einschränken, wie z. B. anhand von Feldinhalten oder organisatorischen Trennern.
Bereits beim Anlegen der PFCG-Einzelrollen im jeweiligen SAP-System sollten Sie die Menüstruktur so erstellen, dass sie mit anderen Einzelrollen in einer Sammelrolle zusammengefasst werden können. Haben Sie die Einzelrollen mit dem richtigen Rollenmenü einmal erstellt, können Sie diese einer Sammelrolle zuordnen. Fügen Sie der Sammelrolle das Rollenmenü über den Button Menü einlesen hinzu. Das Menü kann nun final sortiert werden. Sind Änderungen am Rollenmenü notwendig, müssen Sie diese jedoch zuerst in den Einzelrollen vornehmen, um sie dann in der Sammelrolle neu abzumischen (über den Button Abmischen, siehe Abbildung nächste Seite oben). Transaktionen aus anderen SAP-Systemen wie SAP CRM, SAP SCM usw. können Sie ebenfalls in den NWBC einbinden. Zu diesem Zweck legen Sie die PFCG-Einzelrolle für die entsprechenden Transaktionen zunächst im Zielsystem an. Aus den Einzelrollen können Sie wieder Sammelrollen mit einer definierten Menüstruktur erstellen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Alternativ kann auch die Pflege der Berechtigungsobjekte über die Transaktion SU21 (Report RSU21_NEW) aufgerufen werden.
Die Transaktion SU10 unterstützt Sie als Benutzeradministrator bei der Massenpflege von Benutzerstammsätzen.