Sicherheit in Entwicklungssystemen
Security Audit Log konfigurieren
Die Berechtigungen in SAP-Systemen bilden die Grundlage für das Identity & Access Management. Sie ermöglichen den Benutzern Zugriff auf die für die Ausübung ihrer Tätigkeiten notwendigen Anwendungen. Da fachliche und organisatorische Anforderungen Änderungen unterliegen, müssen SAP-Berechtigungen regelmäßig einer Kontrolle und Nachbearbeitung unterzogen werden. Nur so ist gewährleistet, dass Prozesse sicher und technisch vollständig korrekt abgebildet werden.
Der Pfad mit der zugeordneten Berechtigungsgruppe DEVL enthält die temporären lokalen Dateien des ABAP-Frontend-Editors der ABAP-Entwicklungsumgebung (Transaktionen SE38, SE80, SE24 usw.). Die beiden Pfade mit der Berechtigungsgruppe ADMN zeigen, wie logisch zusammengehörige Pfade zu einer Berechtigungsprüfung für S_PATH gruppiert werden können. Die beiden Einträge mit der Berechtigungsgruppe FILE zeigen, wie in Systemen mit Anwendungsservern unterschiedlicher Betriebssysteme Pfade für Windows ergänzt werden können. Die Einträge core.sem und coreinfo werden benötigt, um Laufzeitfehler in die Snapshot-Tabelle SNAP zu schreiben. Die Einträge dev_ und gw_ erlauben das Anzeigen von Dateien aus Entwicklertrace und Gateway Log in der Transaktion ST11. Ist Ihnen der Vorschlag im ersten Eintrag der Tabelle zu restriktiv, können Sie die Alternative in der folgenden Tabelle wählen. Dieser Eintrag erzwingt lediglich eine Berechtigungsprüfung auf S_PATH und die Berechtigungsgruppe ALLE; die entsprechende Berechtigung sollten Sie allerdings nur sehr restriktiv vergeben.
Anwendungsberechtigungen
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen nur Zugriff auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss. Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
Eine Alternative zur Verwendung des Berechtigungsobjekts S_TABU_LIN ist die Erstellung von kundeneigenen Tabellen-Views, über die eine organisatorische Abgrenzung leichter zu erreichen ist. Hierzu legen Sie einen neuen View in der Transaktion SE11 an und fügen die Tabelle, für die die Einschränkung gelten soll, auf der Registerkarte Tabellen/Joinbedingungen hinzu. Über die Registerkarte Selektionsbedingungen können Sie Ihre einschränkende organisatorische Bedingung in Form eines Feldes und eines Feldwerts angeben. Anschließend berechtigen Sie alle relevanten Benutzer zum Zugriff auf den View, der nur Daten für Ihre organisatorische Einschränkung beinhaltet.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Legen Sie daher Berechtigungsobjekte im Customizing der Ergebnisrechnung an.
Umso wichtiger ist es, die vergebenen Berechtigungen zu analysieren und zu verbessern.