Weiterbildung im Bereich Berechtigungswesen
Berechtigungstools – Vorteile und Grenzen
Grundsätzlich sollte die Berechtigung SAP_NEW nicht im Produktivsystem vergeben werden. Auf der Registerkarte Profile werden im Benutzerstammsatz die generieten Profile angezeigt, die einem konkreten Benutzer zugeordnet sind. Hier können Sie auch manuell angelegte Berechtigungsprofile aus der Transaktion SU02 zuordnen – auch ohne direkte Rollenzuordnung. Prinzipiell gilt die Empfehlung, den Profilgenerator (Transaktion PFCG) anzuwenden, um Berechtigungsprofile automatisch zu generieren. Besondere Vorsicht gilt, wenn Sie generierte Berechtigungsprofile direkt auf der Registerkarte Profile eintragen, da diese Zuweisungen durch den Abgleich von Benutzerzuordnungen mittels der Transaktion PFUD gelöscht werden, wenn für die Zuweisung kein Eintrag auf der Registerkarte Rollen vorhanden ist. Sie haben bisher wahrscheinlich Benutzern, für die es keine Beschränkungen im SAP-System geben soll, SAP_ALL und SAP_NEW zugewiesen. Worin aber unterscheiden sich diese beiden Profile und wozu sind sie eigentlich notwendig?
Diese Lösung steht nur über ein Support Package ab SAP NetWeaver AS ABAP 731 zur Verfügung und erfordert einen Kernel-Patch. Die Details zu den relevanten Support Packages finden Sie in SAP-Hinweis 1891583. Grundsätzlich kann dann die Anmeldung von Benutzern am Anwendungsserver durch die Einstellung des neuen Profilparameters login/server_logon_restriction eingeschränkt werden.
Anzahl der möglichen Profile über Referenzbenutzer erweitern
Privilegien steuern die Nutzung aller in der HANA-Datenbank enthaltenen Objekte und Daten. Für die Nutzung einer Anwendung müssen Sie in der Regel einem Benutzer viele verschiedene Privilegtypen zuweisen. Um die komplexen Zusammenhänge bei der Zuordnung der tatsächlich benötigten Privilegien in überschaubarer Weise berücksichtigen zu können, werden Privilegien in SAP HANA zu Rollen gebündelt. In unserem Beispiel ist die Rolle MODELING in der Rolle SAPT04_CONTENT_ACTIVATION enthalten. In SAP HANA ist es sowohl möglich, eine Rolle mehreren Rollen als auch mehrere Rollen einer Rolle zuzuordnen. So können komplexe Rollenhierarchien zusammengestellt werden.
SAP-Kunden pflegen Vorschlagswerte nicht in dieser Transaktion. Es gibt jedoch Fälle, in denen Daten in der Transaktion SU22 auch in einer Kundenumgebung gepflegt werden. Werden vom Kunden oder Partner TADIR-Services bzw. externe Services entwickelt, sind diese Services nicht standardmäßig in der Transaktion SU22 oder in der Transaktion SU24 verfügbar. Für diese Services müssen erst die Headerdaten in die Tabelle USOBHASH geschrieben werden, die als Grundlage zur Pflege der Services dienen. Diese Einträge in der Tabelle USOBHASH werden beim Ausführen von TADIR-Services automatisch erzeugt. Lesen Sie Tipp 41, »Den Vorschlagswerten externe Services aus SAP CRM hinzufügen«, für den Umgang mit externen Services. Sobald die Daten in dieser Tabelle verfügbar sind, haben Sie die Möglichkeit, die Vorschlagswerte zu pflegen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Zuerst sollten Sie den Zugang zu den Tabellen, in denen die Hash-Werte der Passwörter abgelegt sind, stark einschränken.
Der jeweilige Objekttyp (Tabelle, View, Prozedur) bestimmt, welche Datenbankoperationen berechtigt werden können.