Berechtigungen in SAP – 100 Tipps & Tricks

LeseprobeIn dieser Leseprobe stellen wir Ihnen verschiedene Möglichkeiten zu Aus-wertungen in der Benutzer- und Berechtigungsverwaltung vor. Dabei geht es z. B. um nützliche Erweiterungen der Reports des Benutzerinformations-systems, das neue Audit Information Cockpit und darum, wie Sie eigene Anforderungen über SAP Query abbilden können.

Anna Otto, Katharina Stelzner

Berechtigungen in SAP − 100 Tipps & Tricks460 Seiten, broschiert, Juni 2014 49,90 €, ISBN 978-3-8362-2615-8

www.sap-press.de/3463

»Auswertungen von Berechtigungen und Benutzerstammsätzen« (Kapitel 10)

Inhaltsverzeichnis

Index

Die Autorinnen

Leseprobe weiterempfehlen

Wissen aus erster Hand.

http://www.sap-press.de/3463?GPP=lpn

mailto:?body=Leseproben-Empfehlung:%20%C2%BBBerechtigungen%20in%20SAP%20%E2%80%93%20100%20Tipps%20und%20Tricks%C2%AB%20von%20SAP%20PRESS,%20http://gxmedia.galileo-press.de/leseproben/3463/leseprobe_sappress_berechtigungen_sap_100_tipps_tricks.pdf&subject=Leseprobe:%20%C2%BBBerechtigungen%20in%20SAP%20%E2%80%93%20100%20Tipps%20und%20Tricks%C2%AB

367

TEIL 10

TEIL 10 Auswertungen von Berechti-gungen und Benutzerstamm-sätzen

In diesem Teil stellen wir Ihnen verschiedene Möglichkeiten zu Auswertungen in der Benutzer- und Berechtigungsverwaltung vor. Dabei geht es z. B. um nützliche Erweiterungen der Reports des Benutzerinformationssystems, das neue Audit Information Cockpit und darum, wie Sie eigene Anforderungen über SAP Query abbilden können.

› Tipps in diesem Teil

Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren .... 368

Tipp 85 Nach Benutzer- und Passwortsperren suchen ......................... 371

Tipp 86 Ausführbare Transaktionscodes ermitteln ............................... 373

Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung auswerten .............................................................................. 376

Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen ........................................................................... 379

Tipp 89 Audit Information System Cockpit nutzen .............................. 384

Tipp 90 Einstellungen zur Systemänderbarkeit einsehen ..................... 388

Tipp 91 Mit den Standardbenutzern und deren Initialpasswörtern umgehen ............................................................................... 391

TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen

368

Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren

Manche Abfragen sind auch mit der Transaktion SUIM ein wenig umständlich. Mit SAP Query können Sie schnell Abfragen zusammenbauen, die individuelle und komplexere Datenauswertungen ermöglichen.

Wollen Sie schnell wissen, welche gültigen Benutzer aktuell einen ändern-den Zugriff auf eine bestimmte Tabelle haben oder über welche Rollen die Benutzer die Berechtigung für eine bestimmte Transaktion erhalten? Für Datenabfragen dieses Typs ist das SAP-Standardwerkzeug, das Benutzer-informationssystem, für die meisten Recherchefälle eine hervorragende Lösung. Allerdings passiert es spätestens bei der nächsten Prüfung durch die Revision, dass gezielte Abfragen mit Datenkombinationen – und damit meh-rere SUIM-Abfragefolgen – innerhalb kurzer Zeit geliefert werden müssen. SAP Queries können diese Tätigkeit erleichtern.

Eine SAP Query ist im Wesentlichen eine übersichtliche Methode, um Tabel-len abseits der Transaktion SE16 nach bestimmten Daten zu durchforsten. Dabei gibt es die Möglichkeit, mehrere Tabellen zu verknüpfen (Join), wodurch aus mehreren SE16-Abfragen nur eine SAP Query wird. Wollen Sie z. B. wissen, über welche Rollen die Benutzer die Berechtigung beziehen, die Transaktion SCC4 auszuführen, können Sie über die Transaktion SUIM zwar mit einer Abfrage feststellen, welche Benutzer die Transaktion ausführen können und sich in einer anderen Abfrage anzeigen lassen, welche Rollen dies ermöglichen – jedoch gibt es hier kein Ergebnis, in dem beides ange-zeigt wird.

› Und so geht’s

Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an.

Tipp 84Berechtigungen mit SAP Query analysieren und evaluieren Tipp 84

369

Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an.

Query mit Tabellen-Join als Datenquelle anlegen

Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten � Tabelle einfügen (oder über den Button ) kön-nen Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERSfür die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.

Tabellen-Join für die Tabellen AGR_1251 und AGR_USERS anlegen


370

Wenn Ihre Auswahl vollständig ist, verlassen Sie das Bild einfach mit dem grünen Zurückknopf. Sie gelangen nun auf den Detailauswahlbildschirm, in dem Sie die Selektionsfelder und die Ausgabefelder (die Registerkarten Lis-tenfeldauswahl und Selektionsfelder) Ihrer Tabellenkombination auswählen können. Wir wählen die Berechtigungsobjekte und -werte als Selektion und den Rollennamen sowie den Benutzer als Ausgabefelder.

Selektions- und Ausgabefelder festlegen

Fertig! Jetzt kann die Query mit dem Button Ausführen gestartet werden. Dabei erstellt das System im Hintergrund ein Programm, das den Join auf-baut. Als Ergebnis wird Ihnen ein Selektionsbild angezeigt. Geben Sie dort »S_TCODE« als Objekt und »SCC4« als Feldwert an (wir haben bei diesem Objekt ja nur ein Feld). Wenn Sie dann auf Ausführen klicken, werden Ihnen alle Benutzer und die auslösenden Rollen ausgegeben.

Nach Benutzer- und Passwortsperren suchen Tipp 85

371

Tipp 85 Nach Benutzer- und Passwortsperren suchen

Ist es für Ihre Auswertungen notwendig, die gesperrten oder ungültigen Benutzer zu selektieren? Dies ist nun mit den Erweiterungen des Benutzer-informationssystems direkt möglich.

Es besteht immer wieder die Anforderung, die vorhandenen Benutzer in Ihrem SAP-System auszuwerten. Anlass können z. B. von Wirtschaftsprüfern eingeforderte Listen sein. In einem solchen Fall möchten Sie natürlich ungül-tige Benutzer und solche mit Administratorsperre von der Selektion ausneh-men. Bisher mussten Sie dazu mit den Reports RSUSR200 und RSUSR002 des Benutzerinformationssystems (Transaktion SUIM) verschiedene Auswertun-gen durchführen und die Listen nachträglich bearbeiten. Die Ergebnisse wurden unter Umständen von den Wirtschaftsprüfern nicht akzeptiert, da die Listen erkennbar manipuliert wurden, auch wenn diese Manipulation gerechtfertigt war. Sie können diese Selektion nun direkt eingeben. Wir zei-gen Ihnen im Folgenden, wie Sie nach Benutzern mit Passwort- oder Admi-nistratorsperre suchen bzw. diese aus Ihrer Selektion ausschließen können.

› Und so geht’s

Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hin-weis werden die Reports RSUSR200 und RSUSR002 um die Selektion ver-schiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht.

Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie

Tipp 85


372

die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nichtgesetzt) selektieren wollen. Dabei werden lokale und globale Administrator-sperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskri-terien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heutegültig und Benutzer heute nicht gültig wählen.

Selektion nach Benutzersperren und Gültigkeit im Report RSUSR200

Ausführbare Transaktionscodes ermitteln Tipp 86

373

Tipp 86 Ausführbare Transaktions-codes ermitteln

Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein?

Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System aus-werten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführ-baren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgen-den klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.

› Und so geht’s

Sie finden den Report RSUSR010 im Benutzerinformationssystem unter dem Eintrag Transaktionen � ausführbare Transaktionen (alle Selektionsmöglich-keiten). Sie können den Report, wie bereits beschrieben, für Benutzer, Rol-len, Profile und Berechtigungen ausführen. Wir werden im Folgenden die Auswertung für die Benutzer beschreiben (siehe Abbildung nächste Seite oben); für die anderen Selektionsmöglichkeiten verhält sich die Arbeitsweise des Reports analog.

Der Report RSUSR010 ermittelt alle Transaktionen, die ein Benutzer starten darf. In der Übersicht der ausführbaren Transaktionen können Sie sich dann per Doppelklick auf die entsprechende Transaktion (in der Abbildung z. B. PFCG) die Liste der Berechtigungsobjekte und Werte zu dieser Transaktion anzeigen lassen.

Tipp 86


374

Report RSUSR010 im Benutzerinformationssystem

Ergebnis der ausführbaren Transaktionen für einen Benutzer

Die Anzeige der ausführbaren Transaktionen kann sich von den Transaktio-nen, für die der Benutzer Berechtigungen hat, unterscheiden, weil der Report RSUSR010 nur die tatsächlich ausführbaren Transaktionen anzeigt. Zu deren Ausführung ist nicht nur die Startberechtigung für die Transaktion über das Berechtigungsobjekt S_TCODE notwendig, sondern es müssen auch die folgenden Voraussetzungen vorliegen:

� Für bestimmte Transaktionen gibt es zusätzliche Berechtigungsprüfungen, die noch vor dem Start der Transaktion ausgeführt werden. Diese Berech-tigungsobjekte sind dann zusätzlich in der Transaktion SE93 eingetragen (Tabelle TSTCA). Dies können z. B. Abfragen zu den Berechtigungsobjekten P_TCODE, Q_TCODE oder S_TABU_DIS sein.

� Der Transaktionscode muss Gültigkeit haben (d. h. in der Tabelle TSTC ein-getragen sein) und darf nicht durch den Systemadministrator gesperrt sein (in der Transaktion SM01).

Ausführbare Transaktionscodes ermitteln Tipp 86

375

Neben diesen Voraussetzungen können auch andere Einstellungen dafür sor-gen, dass die Transaktion ohne Prüfung ausgeführt werden darf:

� Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE.

� Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Trans-aktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat.

Zusätzlich können ausführbare Transaktionen aber auch durch die Zuord-nung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.


376

Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung auswerten

Sie verwenden die Zentrale Benutzerverwaltung und fragen sich, warum Sie die Lizenzdaten trotzdem einzeln in den angeschlossenen Systemen auswerten müssen. Das muss nicht sein, denn eine zentrale Auswertung ist möglich!

Für die Nutzung von SAP-Systemen fallen Lizenzkosten an, und Sie brauchen entsprechende SAP-Lizenzschlüssel. Die Höhe Ihrer Lizenzkosten wird im laufenden Betrieb ermittelt, abhängig von der Anzahl der Benutzer und der genutzten Funktionen der SAP-Software. Dazu dient das Vermessungspro-gramm (Transaktion USMM), dessen Ergebnisse Sie an SAP übermitteln. Dabei ist nicht nur die Anzahl der Benutzer relevant, sondern auch deren Klassifizierung, die sogenannten Nutzertypen. Diese ordnen Sie dem Benut-zer über die Transaktion SU01 oder die Transaktion SU10 (Registerkarte Lizenzdaten) zu. Alternativ können Sie den Benutzer auch den Nutzertyp eines Referenzbenutzers erben lassen oder ihn über eine zugeordnete Rolle klassifizieren. Dies erfolgt analog, wenn Sie die Zentrale Benutzerverwaltung (ZBV) nutzen. Bisher gab es aber keine zentrale Auswertung der Daten aller an die ZBV angeschlossenen Systeme. Dies hat sich nun geändert, und wir zeigen Ihnen, wie Sie diese Auswertung nutzen können.

› Und so geht’s

Spielen Sie den SAP-Hinweis 1171185 in Ihr ZBV-System ein. Mit diesem Hinweis wird der Report RSUSR_SYSINFO_LICENSE ausgeliefert, der die Nut-zertypen aus den an die ZBV angeschlossenen Systemen abruft und anzeigt. Zusätzlich muss allerdings der SAP-Hinweis 1307693, der neue Funktionali-täten der Lizenzvermessung enthält, auf den an die ZBV angeschlossenen Tochtersystemen installiert sein. Ergänzend müssen Sie gegebenenfalls die Berechtigungen der Benutzer in den RFC-Verbindungen zu den Tochter-

Tipp 87Lizenzdaten über die Zentrale Benutzerverwaltung auswerten Tipp 87

377

systemen der ZBV um die Berechtigung zum Objekt S_RFC mit den Funkti-onsgruppen SUNI und SLIM_REMOTE_USERTYPES erweitern. Sollte der SAP-Hinweis 1307693 auf einem Tochtersystem nicht installiert oder die Berech-tigungen des RFC-Benutzers nicht entsprechend angepasst worden sein, gibt der Report RSUSR_SYSINFO_LICENSE im Anwendungs-Log (Transaktion SLG1) eine entsprechende Warnung aus.

Die Auswertung der Lizenzdaten über die ZBV mit dem Report RSUSR_SYSINFO_LICENSE liefert eine Ergebnisliste mit den folgenden Inhalten:

� Vertraglicher Nutzertyp Diese Spalte beinhaltet die tatsächlichen lokalen Benutzertypen aus den Tochtersystemen der ZBV.

� Wert in Zentrale Diese Spalte beinhaltet den zentralen Benutzertyp aus der ZBV, der für das jeweilige Tochtersystem zu dem Benutzer hinterlegt ist.

Diese Darstellung wurde gewählt, damit die Unterschiede in der Einstufung von Benutzertypen sichtbar werden, denn es kann trotz der Einstellung Glo-bal für den Verteilungsparameter der Lizenzdaten (in der Transaktion SCUM) vorkommen, dass sich die Einstellungen in der ZBV von den Einstel-lungen des Tochtersystems unterscheiden. Zusätzlich können Sie im Report noch die Spalten ID: Vertraglicher Nutzertyp und ID: Wert in Zentrale ein-blenden, die die technischen Werte zum Benutzertyp beinhalten.

Sollten Benutzer auf den Tochtersystemen nicht für die Lizenzvermessung relevant sein, wird der Wert Benutzer ist für die Lizenzvermessung irrelevantin der Spalte Vertraglicher Nutzertyp ausgegeben. Dieser Wert tritt für die folgenden Benutzer auf:

� technische Benutzer

� Benutzer ist nicht vorhanden

� Benutzer ist nicht gültig

� Benutzer ist vom Typ Referenzbenutzer

Für Benutzer, zu denen in der ZBV kein Benutzertyp definiert wurde, wird entweder der Standardbenutzertyp des Tochtersystems oder der über den lokalen Lauf des Vermessungsprogramms (Transaktion USMM) definierte Benutzertyp in der Spalte Vertraglicher Nutzertyp ausgegeben. In der Spalte Wert in der Zentrale wird in diesem Fall kein Wert ausgegeben. Wurde der Benutzertyp über einen lokalen Lauf des Vermessungsprogramms definiert


378

und ist dieser Benutzertyp nicht in der ZBV hinterlegt, sollten Sie die Lizenz-daten für diesen Benutzer mithilfe der Transaktion SCUG erneut aus dem Tochtersystem in die ZBV übernehmen.

Gibt es Benutzer in den Tochtersystemen, für die sich der Wert in den Spal-ten Vertraglicher Nutzertyp und Wert in ZBV Zentrale unterscheiden, wurde entweder das IDoc der ZBV noch nicht verarbeitet, oder der Benutzertyp wurde lokal geändert. In diesen Fällen sollten Sie prüfen, wodurch die Diffe-renzen begründet sind, und sie ebenfalls bereinigen.

Auswertung des Reports RSUSR_SYSINFO_LICENSE

Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen Tipp 88

379

Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen

Haben Sie sich schon einmal gefragt, wer in Ihrem System über kritische Berechtigungen verfügt? Fehlten Ihnen bisher das Tool und die Herangehens-weise, um diese Benutzer zu identifizieren?

Die Benutzeranlage in einem SAP-System ist auch immer mit einer Berechti-gungsvergabe verbunden. Über den Lebenszyklus eines Benutzers im SAP-System werden immer mehr Berechtigungen angesammelt, wenn diese nicht wieder entzogen werden, sobald sie nicht mehr gebraucht werden. Diese Ansammlung hat zwangsläufig zur Folge, dass Benutzer mehr Aktio-nen durchführen können, als Ihnen als Berechtigungsadministrator lieb ist. Um dies zu vermeiden, wollen wir Ihnen ein geeignetes Werkzeug an die Hand geben.

› Und so geht’s

Der Report RSUSR008_009_NEW (Liste der Benutzer mit kritischen Berechti-gungen) wird ab SAP Web Application Server 6.20 mit den folgenden Sup-port Packages bereitgestellt:

� Release 6.20, beginnend mit SAPKB62039

� Release 6.40, beginnend mit SAPKB64003

Sie können die alten Reports RSUSR008 und RSUSR009 bis zum Release 6.40 weiterverwenden. Der Report RSUSR008_009_NEW wird mit den alten SAP-Vorschlägen für kritische Berechtigungsdaten ausgeliefert, die schon für den Report RSUSR009 verwendet wurden.

Tipp 88


380

Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinatio-nen als sogenanntes Risiko abzubilden. Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Kom-ponente SAP Access Control ersetzen. Vielmehr sollte dieser Report als Indi-kator für den aktuellen Systemzustand verstanden und eingesetzt werden.

Mit dem Report ermitteln Sie die Benutzer, die über die in der Tabelle USKRIA definierten kritischen Berechtigungskombinationen verfügen. Die Kennung, die auch als Risiko-ID bezeichnet werden kann, beschreibt eine Kombination von Berechtigungsobjekten mit Feldnamen und Feldwerten. Diese werden mit einem der beiden zur Verfügung stehenden Operanten AND oder OR miteinander verknüpft. Eine mögliche Kombination von Berech-tigungsobjekten ist in der folgenden Tabelle zu sehen:

Ein Benutzer wird in der Ergebnisliste angezeigt, wenn eine der beiden Transaktionen mit der entsprechenden Ausprägung in seinem korrespondie-renden Berechtigungsprofil enthalten ist. Würde die logische Verknüpfung vollständig mit OR verknüpft, würde ein entsprechender Benutzer bereits dann in der Ergebnisliste angezeigt, wenn nur eine der vier Berechtigungen im Benutzerstammsatz und somit im Berechtigungsprofil vorliegt.

Ein Hinweis zur zugrunde liegenden Tabelle USKRIA: Diese Tabelle ist man-dantenunabhängig. Aus diesem Grund können Sie diese Tabelle in Syste-men, die gegen ein mandantenübergreifendes Customizing gesperrt sind, nicht pflegen. In diesem Fall sollten Sie einen Transportauftrag im Entwick-lungssystem anlegen und die Tabelle ins Produktivsystem transportieren.

Sie haben zwei Möglichkeiten, um den Report RSUSR008_009_NEW zu star-ten; beide Wege führen auf den Einstiegsbildschirm:

� in der Transaktion SUIM über Benutzer � mit kritischen Berechtigungen

� über die Transaktion SA38, in der Sie den Report direkt auswählen

Kennung Objekt Feld von bis AND/OR Text Farbe

ZB01 S_TCODE TCD SM30 OR ... 3

ZB01 S_TCODE TCD SM31 OR ... 3

ZB01 S_TABU_DIS ACTVT 02 03 AND ... 3

ZB01 S_TABU_DIS DICBERCLS SC AND ... 3


381

Einstiegsbildschirm des Reports RSUSR008_009_NEW

Die Definition der kritischen Berechtigungen erfolgt in diesen Schritten:

1. Wählen Sie auf dem Einstiegsbildschirm den Button Kritische Berechti-gungen. Ihnen werden nun in der Dialogstruktur zwei Ordnerpaare angezeigt:

– Varianten zu kritischen Berechtigungen � krit. Berechtigung

– krit. Berechtigung � Berechtigungsdaten

2. Öffnen Sie im Änderungsmodus in der unteren Ordnerhierarchie mit einem Doppelklick den Ordner krit. Berechtigung, und wählen Sie anschließend Neue Einträge.

3. Geben Sie nun im rechten Bildschirmbereich für die Felder ID Berechti-gung, Text, Farbe und Transaktionscode die entsprechenden Daten ein.

Kritische Berechtigung anlegen


382

4. Speichern Sie Ihre Eingaben. Beim Speichern werden Sie nach einem Cus-tomizing-Auftrag gefragt. Geben Sie diesen entsprechend an.

5. Markieren Sie den soeben angelegten Eintrag, und öffnen Sie per Dop-pelklick den Ordner Berechtigungsdaten, um die Berechtigungsdaten zu pflegen.

6. Anschließend erstellen Sie eine Variante. Hierzu öffnen Sie mit einem Doppelklick den Ordner Varianten zu kritischen Berechtigungen und wäh-len Neue Einträge. Geben Sie nun den Namen und die Beschreibung der Variante ein, und speichern Sie Ihre Eingaben.

Variante erstellen

7. Nun weisen Sie der Variante die Kennung der erstellten kritischen Berechtigung zu. Dazu markieren Sie die Variante, und anschließend gelangen Sie per Doppelklick in den Unterordner Varianten zu kritischenBerechtigungen � krit. Berechtigungen in der Eingabemaske. Klicken Sie nun auf Neue Einträge, und wählen Sie aus der Liste Ihre soeben erstellte Variante aus – in unserem Beispiel ZB01. Anschließend speichern Sie Ihre Eingaben.

8. Abschließend können Sie Ihre Reportvariante mit kritischen Berechti-gungen ausführen. Hierzu gehen Sie zurück auf den Einstiegsbildschirm des Reports RSUSR008_009_NEW und wählen im Bereich Name der Vari-ante die Option für kritische Berechtigungen aus. Selektieren Sie nun mithilfe der Wertehilfe die soeben erstellte Variante, und führen Sie diese aus.

Nach der erfolgreich durchgeführten Analyse auf Ihrem Zielsystem mit der von uns definierten Variante für eine kritische Berechtigung ZB01 erhalten Sie die folgende Bildschirmausgabe. Das Beispiel zeigt uns die Menge der Benutzer im System, die über die kritische Berechtigung ZB01 verfügen.


383

Analyseergebnis für eine kritische Berechtigung


384

Tipp 89 Audit Information System Cockpit nutzen

Sie möchten interne Systemrevisionen und das Berechtigungs-Monitoring dokumentieren? Das neue Cockpit des Audit Information Systems bietet Ihnen hierzu einige praktische Funktionen.

Es gibt verschiedene rechtliche Anforderungen, die ein regelmäßiges Prüfen und Bewerten (Audit) Ihres SAP-Systems erfordern. In der Regel gibt es interne und externe Revisoren, die solche Audits durchführen. Zusätzlich kann die Benutzer- und Berechtigungsverwaltung ein eigenes Monitoring der Berech-tigungen einführen, um unangenehme Überraschungen während der Audits zu vermeiden. Die Dokumentation der Audits erfolgt bei den externen Audi-toren oft standardisiert; für die interne Revision oder Ihr eigenes Monitoring fehlt aber in vielen Fällen eine passende Dokumentation. Häufig fordern auch externe Revisoren trotz automatisierter Auswertungen eine Aktivierung des Audit Information Systems (AIS). Wir zeigen Ihnen daher wie Sie das AIS akti-vieren und die Vorteile des neuen AIS Cockpits nutzen.

› Und so geht’s

In SAP-Hinweis 1763089 finden Sie Informationen zu den Systemvorausset-zungen und Support Packages, die Sie benötigen, um auf die neue Funktion zuzugreifen. Mit diesen Support Packages wird die Transaktion SAIS, das neue AIS Cockpit, ausgeliefert. Damit wurde das AIS vom vorherigen Rollen-konzept wieder auf themenbezogene Auditstrukturen umgestellt und bietet neue Funktionen, wie die Protokollierung aller Prüfungsaktivitäten.

Das AIS gibt es im SAP-System schon recht lange; es wurde als Arbeitsmittel zur Prüfung und Bewertung von SAP-Systemen konzipiert und wird im Stan-dardumfang von SAP ERP ausgeliefert. Es beinhaltet die Funktion der Auditstrukturen, einer Sammlung von Prüfungsfunktionen zu den Bereichen des kaufmännischen Audits und des Systemaudits, inklusive deren Dokumen-

Tipp 89Audit Information System Cockpit nutzen Tipp 89

385

tation. Das kaufmännische Audit beinhaltet organisatorische Übersichten und bilanzorientierte bzw. prozessorientierte Funktionen. Damit können Sie z. B. Informationen zur Finanzbuchhaltung und zu Steuerbelangen auswerten. Das Systemaudit des AIS deckt die allgemeinen Systemprüfungen und die Analyse der Benutzer und Berechtigungen ab. Es beinhaltet z. B. Funktionen zur Über-prüfung von Profilparametern oder des Transportwesens.

Mit der neuen Transaktion SAIS gelangen Sie in das AIS Cockpit, in dem Sie die verschiedenen themenbezogenen Auditstrukturen auswerten können. Bei der Durchführung eines Audits wählen Sie unter Auditstruktur eine der vorhandenen Strukturen aus und selektieren eine Prüfnummer im entspre-chenden Feld. Für die Auditstrukturen können unterschiedliche Audits durchgeführt werden; daher müssen Sie immer zuerst ein Audit auswählen. Hierzu wählen Sie eine Prüfnummer aus oder legen ein neues Audit an.

Selektion der Auditstruktur und einer passenden Prüfnummer in der Transaktion SAIS

Nachdem Sie das Audit ausgewählt haben, wird Ihnen die Auditstruktur im Cockpit angezeigt. Sie können nun die einzelnen Schritte des Audits entlang der Definition in der Auditstruktur durchführen.

Übersicht über ein Audit zu einer Auditstruktur in der Transaktion SAIS


386

Es gibt drei Komponenten bei der Durchführung eines Audits:

� Dokumente Die Dokumente in der Auditstruktur beschreiben die Prüfungsschritte. Sie können sie analog zu Ihren Auditanforderungen anlegen. Dokumente er-kennen Sie anhand des Symbols . Durch einen Doppelklick auf dieses Symbol öffnen Sie das Dokument.

� Transaktionen Transaktionen in der Auditstruktur starten die für das Audit erforderlichen Auswertungen. Sie erkennen Transaktionen an dem Uhrensymbol ( ). Durch einen Doppelklick auf das Symbol wird die betreffende Transaktion in einem neuen Fenster geöffnet, und Sie können die Auswertung starten. Außerdem werden im oberen rechten Bereich der Anzeige in der Transak-tion SAIS die Protokolleinträge zu dieser Prüfungsaktivität angezeigt. Diese beinhalten das aktuelle Ausführungsdatum, die Benutzer-ID des Prüfers, einen Prüfstatus, den Sie selbst vergeben, eine Wichtung sowie eine Be-gründung für den Prüfungsstatus, die Sie ebenfalls selbst in ein Textfeld eingeben. Darunter finden Sie eine Übersicht der bisher durchgeführten Prüfungsaktivitäten, ebenfalls mit einem Zeitstempel, der Benutzer-ID des Prüfers, der Wichtung dem Status der Prüfungsaktivität und einer Begrün-dung. Damit die Prüfungsaktivitäten nicht manipuliert werden können, ist es nicht möglich, einmal gespeicherte Daten zu ändern.

� Protokolle Protokolle existieren zu allen durchgeführten Audits. So können Sie zu ei-nem späteren Zeitpunkt die Historie der Auditergebnisse durchsehen oder sich nur die Ergebnisse der letzten Durchführung anzeigen lassen. Dazu nutzen Sie die Protokollauswertung des AIS in der Transaktion SAIS_LOG oder klicken in der Transaktion SAIS auf den Button .

Benötigen Sie alte Auditergebnisse nicht mehr, können Sie diese mit der Transaktion SAIS über den Button (Administration der Auditumgebung) archivieren oder löschen. Die Selektion der Auditergebnisse erfolgt anhand der Auditstrukturen, der Prüfnummern oder des Eintragsdatums (siehe Abbildung nächste Seite).

Sie können das AIS Cockpit an Ihre Anforderungen anpassen. Hierzu nutzen Sie das Customizing, das Sie in der Transaktion SAIS ebenfalls unter dem Button Administration der Auditumgebung finden. Wählen Sie dort AuditCockpit konfigurieren aus, und Sie können eine Standardauditstruktur, die

Audit Information System Cockpit nutzen Tipp 89

387

maximale Zeilenlänge für Protokolleinträge und die Anzahl der Protokoll-einträge pro Prüfschritt definieren.

Auditprotokolle in der Transaktion SAIS archivieren oder löschen

Die themenbezogenen Auditstrukturen werden auf der Basis von Bereichs-menüs erstellt. Dabei werden zum einen SAP-Default-Auditstrukturen ange-boten, und zum anderen haben Sie die Möglichkeit, kundeneigene Auditstrukturen als Bereichsmenüs anzulegen. Der Vorteil der Auditstruktu-ren als Bereichsmenüs ist, dass Sie bereits bestehende Bereichsmenüs nutzen oder einfach neue Bereichsmenüs anlegen können. Die Transaktion SE43gibt Ihnen eine Übersicht über die vorhandenen Bereichsmenüs; sie dient ebenfalls der Pflege und dem Transport der Bereichsmenüs.

Das AIS Cockpit befindet sich zurzeit noch in der Pilotauslieferung ohne SAP-Default-Auditstrukturen. Sobald diese verfügbar sind, werden sie im SAP-Hinweis 1856125 aufgeführt. Vor der erneuten Umstellung des AIS auf themenbezogene Auditstrukturen wurden die AIS-Standardrollen der rollen-basierten Pflegeumgebung in den Kundennamensraum kopiert und den Benutzern zugeordnet. Die AIS-Standardrollen können Sie ebenfalls als Vor-lage für kundeneigene Bereichsmenüs verwenden.

Die Pflege der Berechtigungen zu den Auditstrukturen wird ebenfalls durch die Bereichsmenüs vereinfacht. Die von Ihnen genutzten Auditstrukturen bzw. Bereichsmenüs können Sie in der Rollenbearbeitung selektieren und so als Menüs in die Rollen importieren. Möchten Sie eine Einschränkung für Benutzer des AIS auf bestimmte Auditstrukturen einrichten oder einzelne Audits vor dem Zugriff schützen, können Sie dafür das Berechtigungsobjekt S_SAIS nutzen. Dieses Objekt steuert den Zugriff auf die Auditstrukturen oder die Prüfnummern einzelner Audits.


388

Tipp 90 Einstellungen zur System-änderbarkeit einsehen

Umfangreiche Berechtigungen für die Transaktionen SCC4 und SE06 sollten Sie nicht an interne und externe Revisoren vergeben, nur damit diese die Systemänderbarkeit einsehen können. Wir stellen Ihnen den Report vor, der zur Anzeige der Systemänderbarkeit nur die Berechtigungen erfordert, die ein Revisor üblicherweise hat.

Es gibt verschiedene Personen, die die Einstellungen zur Systemänderbarkeit in Ihrem System aus bestimmten Gründen einsehen möchten. Dies können Mitarbeiter der internen Revision, Wirtschaftsprüfer oder auch Entwickler sein. Die Anzeige dieser Einstellungen, z. B. über die Transaktionen SCC4oder SE06 ist an sich unkritisch; allerdings waren dafür bisher Berechtigun-gen notwendig, die dem soeben beschriebenen Personenkreis üblicherweise nicht zugeordnet werden. Seit SAP NetWeaver 7.0 gibt es alternativ einen Report, der die Einstellungen zur Systemänderbarkeit anzeigt. Dieser Report erfordert nur Anzeigeberechtigungen, die dem oben beschriebenen Perso-nenkreis ohne Bedenken zugeordnet werden können. Die Anwendung die-ses Reports und die erforderlichen Berechtigungen stellen wir Ihnen an die-ser Stelle vor.

› Und so geht’s

Spielen Sie den SAP-Hinweis 1433352 in Ihr System ein. Mit diesem Hin-weis wird der Report RSAUDIT_SYSTEM_STATUS ausgeliefert. Dieser Report dokumentiert den aktuellen Status der Einstellungen zur Mandanten- und Systemänderbarkeit in einer Übersicht, die Sie bei Bedarf zur Auswertung auch ausdrucken können.

Tipp 90Einstellungen zur Systemänderbarkeit einsehen Tipp 90

389

Druckbare Übersicht des Reports RSAUDIT_SYSTEM_STATUS

Der Vorteil dieses Reports ist, dass reine Anzeigeberechtigungen zu dessen Ausführung notwendig sind. Dies sind die erforderlichen Berechtigungen:

� Transaktionsstartberechtigung für RSAUDIT_SYSTEM_ENV:

– S_TCODE mit TCD = RSAUDIT_SYSTEM_ENV

� Anzeige des Systemaudits:

– S_ADMI_FCD mit S_ADMI_FCD = AUDD

� Anzeigeberechtigung für die relevanten Tabellen:

– S_TABU_DIS mit ACTVT = 03 und DICBERCLS = SS oder

– S_TABU_NAM mit ACTVT = 03 und TABLE = T000 und/oder TRNSPACE


390

Bitte beachten Sie in diesem Fall, dass Sie die TabellenberechtigungsgruppeSS gegebenenfalls durch andere Tabellenberechtigungsgruppen ersetzen müssen. Dies ist erforderlich, wenn Sie bei der Pflege der Tabellenberechti-gungsgruppen z. B. für die Tabelle T000 eine andere Tabellenberechtigungs-gruppe eingetragen haben (siehe Tipp 55, »Tabellenberechtigungsgruppen pflegen«).

Mit den Standardbenutzern und deren Initialpasswörtern umgehen Tipp 91

391

Tipp 91 Mit den Standardbenutzern und deren Initialpasswörtern umgehen

Initialpasswörter bei Standardbenutzern sind extrem riskant, da diese veröf-fentlicht sind. Sorgen Sie dafür, dass diese Sicherheitslücke in Ihrer System-landschaft nicht existiert.

Ein SAP-System wird immer mit bestimmten Standardbenutzern ausgeliefert bzw. diese werden z. B. für das Transportmanagementsystem automatisch eingerichtet. Diese Standardbenutzer verwenden Initialpasswörter, die hin-länglich bekannt sind. Schließen Sie diese Sicherheitslücke, indem Sie die Passwörter ändern und die Standardbenutzer gegen unbefugte Benutzung absichern. Wir zeigen Ihnen in diesem Tipp, wie Sie den Status der Passwör-ter Ihrer Standardbenutzer klären können und geben Ihnen Empfehlungen zu den Einstellungen Ihrer Profilparameter.

› Und so geht’s

Nutzen Sie den Standardreport RSUSR003 (bzw. die dazugehörige Transak-tion RSUSR003) zur Prüfung der Standardbenutzer auf Initialpasswörter und zur Sicherstellung der Sicherheitsrichtlinien, die diesen Benutzern zugeord-net sind. Dazu können Sie auf der Startseite ein eigenes Layout definieren und verwenden.

Nach der Ausführung des Reports wird Ihnen eine Übersicht der vorhande-nen Standardbenutzer in den unterschiedlichen Mandanten angezeigt. Diese beinhaltet den Passwortstatus, ein Sperrkennzeichen, die Gründe für die Sperre, die Anzahl der Falschanmeldungen, die Gültigkeitszeiträume der Benutzer sowie die den Benutzern zugeordneten Sicherheitsrichtlinien. Die Sicherheitsrichtlinien werden Ihnen angezeigt, damit Sie nachvollziehen

Tipp 91


392

können, ob für diese Benutzer spezielle Anmeldebedingungen oder Pass-wortregeln gelten.

Auswertung des Reports RSUSR003

Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert. In älteren Releases wird im Startbild des Reports anstelle der Übersicht über die Sicherheitsrichtlinien eine Selekti-onsseite für die Profilparameter angeboten. Wenn Sie in dieser Selektions-sicht Profilparameter anzeigen auswählen, erhalten Sie in der oberen Hälfte des Bildschirms eine Übersicht zu den Profilparametereinstellungen. Hier sollten Sie besonders auf die Einstellung des Parameters login/no_automatic_user_sapstar achten und dessen Einstellung auch nach der Umstellung auf die Sicherheitsrichtlinien kontrollieren.

Bitte beachten Sie, dass in Abhängigkeit vom Ergebnis des Reports RSUSR003eine System-Log-Meldung vom Typ E03 erzeugt wird. Sollte ein kritisches Merkmal (rot hinterlegt) erkannt werden, wird der Meldungstext »Pro-gramm RSUSR003 meldet ›Security violation‹« in das System-Log geschrie-ben. Falls kein kritisches Merkmal erkannt wurde, wird stattdessen die Mel-dung »Programm RSUSR003 meldet ›Security check passed‹« ausgegeben.


393

Diese Meldung erfolgt, da die Information zum Passwortstatus der Standard-benutzer hochgradig sicherheitsrelevant ist und Sie die Zugriffe darauf nach-vollziehen können sollten.

Sie können der Benutzer- und Systemadministration Änderungsberechtigun-gen für den Report RSUSR003 erteilen oder nur eine Ausführungsberechti-gung mit dem Berechtigungsobjekt S_USER_ADM und dem Wert CHKSTDPWDim Feld S_ADM_AREA vergeben. Diese Berechtigung beinhaltet keine Ände-rungsberechtigungen für die Benutzerverwaltung und kann daher auch an Auditoren vergeben werden.

Das SAP-System kennt die im Folgenden aufgelisteten sechs Standardbenut-zer, die durch das System in allen Mandanten angelegt werden. Sie werden für bestimmte Systemfunktionen benötigt (z. B. Upgrades), aber sie sollten im laufenden Betrieb vor unberechtigtem Zugriff geschützt sein.

� DDIC DDIC ist als einziger Benutzer während Installationen und Releasewechseln in der Lage, sich anzumelden bzw. Änderungen am ABAP Dictionary vor-zunehmen. Außerdem wird er im Mandanten 000, z. B. für bestimmte Jobs oder Unicode-Umwandlungen, verwendet. DDIC existiert in allen Man-danten außer im Mandanten 066.

Schutzmaßnahmen: Setzen Sie DDIC in allen Systemen (außer im Mandan-ten 000 wegen der Upgrade-Funktionen) auf den Benutzertyp System. Bei Bedarf können Sie ihn mithilfe des Notfallbenutzers wieder auf einen Dia-logbenutzer umstellen. Ändern Sie das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Secu-rity Audit Log.

� EARLYWATCH Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support. EARLYWATCH hat nur Anzeige-rechte für Performance- und Monitoring-Funktionen.

Schutzmaßnahmen: Sperren Sie den Benutzer EARLYWATCH, und schalten Sie ihn nur frei, wenn er durch den SAP-Support angefragt wird. Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und pro-tokollieren Sie ihn mit dem Security Audit Log.

� SAP* Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzer-stammsatz für SAP* existiert, kann sich jedermann nach einem Neustart


394

mit diesem Benutzer am SAP-System anmelden, da dann das Standard-passwort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Au-thority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 set-zen, da der Benutzer SAP* hierzu benötigt wird.

Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfü-gen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.

� SAPCPIC SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen.

Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.

� TMSADM Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration auto-matisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen.

Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzel-nen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft ver-fügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.


395

� WF-BATCH Der Benutzer WF-BATCH dient der Hintergrundverarbeitung in SAP Busi-ness Workflow und wird beim Customizing von Workflows automatisch angelegt. WF-BATCH ist häufig das Profil SAP_ALL zugeordnet, da die ge-nauen Anforderungen an die Berechtigungen von der Nutzung des Benut-zers abhängig sind. Das Passwort des Benutzers können Sie über die Trans-aktion SWU3 setzen und synchronisieren.

Schutzmaßnahmen: Ändern Sie nach der automatischen Generierung das Passwort des Benutzers, und ordnen Sie ihn der Benutzergruppe SUPER zu.

Bevor Sie Änderungen an den Standardbenutzern vornehmen, müssen Sie sicherstellen, dass diese nicht z. B. in RFC-Verbindungen, Background-Jobs oder Schnittstellen verwendet werden.

7

Inhalt

Einleitung .............................................................................................. 13

TEIL 1 Benutzerstammdaten .................................................... 17

Tipp 1 Den Zeichenvorrat für die Benutzer-ID einschränken ............. 18Tipp 2 Eine Benutzergruppe als Pflichtfeld im Benutzerstamm

definieren .............................................................................. 20Tipp 3 Benutzerstammdaten automatisiert vorbelegen ...................... 23Tipp 4 Passwortparameter und gültige Zeichen für Passwörter

einstellen ............................................................................... 27Tipp 5 Sicherheitsrichtlinien für Benutzer definieren ......................... 35Tipp 6 Die Auswirkung der Benutzertypen auf die Passwortregeln

beachten ............................................................................... 41Tipp 7 Anmeldesperren sicher einrichten .......................................... 44Tipp 8 Den Berechtigungspuffer prüfen und auffrischen .................... 46Tipp 9 Fehlgeschlagene Berechtigungsprüfungen in der

Transaktion SU53 zentral einsehen ........................................ 49

TEIL 2 Benutzerverwaltung ...................................................... 53

Tipp 10 Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden ............................................. 54

Tipp 11 Änderungsbelege der Zentralen Benutzerverwaltung verwenden ............................................................................. 56

Tipp 12 Die Zentrale Benutzerverwaltung temporär abschalten .......... 60Tipp 13 Rollen über das Organisationsmanagement zuordnen ............ 63Tipp 14 Auswertungswege in SAP CRM für eine indirekte

Rollenzuordnung anpassen .................................................... 67Tipp 15 Inaktive Benutzer sperren ...................................................... 70Tipp 16 Rollenzuordnung auf der Benutzerebene konsolidieren .......... 73Trick 17 Transaktion PFUD regelmäßig einplanen ................................ 75Tipp 18 Anzahl der möglichen Profile über Referenzbenutzer

erweitern ............................................................................... 77Tipp 19 Favoriten der Benutzer zentral einsehen ................................ 81Tipp 20 Benutzer aus der Zwischenablage in die Auswahl von

Transaktion SU10 kopieren .................................................... 83

Inhalt

8

Tipp 21 In der Transaktion SU10 nach Anmeldedaten von Benutzern selektieren ............................................................................. 86

Tipp 22 Lösungen für die Benutzerverwaltung in SAP HANA anwenden ............................................................ 89

TEIL 3 Rollenverwaltung ........................................................... 95

Tipp 23 Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren ....................................................... 96

Tipp 24 Anforderungen an ein Berechtigungskonzept umsetzen ......... 100Tipp 25 Fallstricke beim Excel-basierten Berechtigungswesen

umgehen ............................................................................... 104Tipp 26 Nutzungsdaten für die Rollendefinition verwenden ................ 107Tipp 27 S_RFC-Berechtigungen mithilfe von Nutzungsdaten

definieren .............................................................................. 111Tipp 28 Pflegestatus von Berechtigungen in Rollen und deren

Auswirkung beachten ............................................................ 116Tipp 29 Manuell gepflegte Organisationsebenen in Rollen

zurücksetzen .......................................................................... 122Tipp 30 Werte aus der Zwischenablage in die

Berechtigungsfelder der Transaktion PFCG kopieren .............. 126Tipp 31 Traceauswertung optimieren .................................................. 128Tipp 32 Berechtigungswerte mithilfe von Traceauswertungen

pflegen .................................................................................. 131Tipp 33 Massenpflege von abgeleiteten Rollen vornehmen ................. 136Tipp 34 Rollenmassenpflege mithilfe von eCATT vornehmen .............. 141Tipp 35 Texte in Berechtigungsrollen übersetzen ................................ 147Tipp 36 Verbesserungen der Rollentransportfunktion nutzen .............. 151

TEIL 4 Berechtigungsvorschlagswerte .................................. 155

Tipp 37 Bei der Pflege von Vorschlagswerten sinnvoll vorgehen ......... 156Tipp 38 Die Transaktionen SU22 und SU24 richtig verwenden ............ 159Tipp 39 Vorschlagswerte unter der Zuhilfenahme von

Traceauswertungen pflegen ................................................... 165Tipp 40 Den Berechtigungstrace für die Ermittlung von

Vorschlagswerten für kundeneigene Entwicklungen verwenden ............................................................................. 168

Tipp 41 Den Vorschlagswerten externe Services aus SAP CRM hinzufügen ............................................................. 172

Inhalt

9

Tipp 42 Vorschlagswerte für Batch-Jobs pflegen ................................. 175Tipp 43 Berechtigungen nach einem Upgrade anpassen ...................... 178Tipp 44 Berechtigungswerte beim Rollenupgrade vergleichen ............. 184Tipp 45 Den Zeitstempel in der Transaktion SU25 verwenden ............ 188Tipp 46 Upgradenacharbeiten für Berechtigungsvorschlagswerte

in Y-Landschaften durchführen .............................................. 190

TEIL 5 Systemeinstellungen ..................................................... 195

Tipp 47 Customizing der Benutzer- und Berechtigungsverwaltung einstellen ............................................................................... 196

Tipp 48 Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen ............. 202

Tipp 49 Neue Organisationsebenen hinzufügen .................................. 206Tipp 50 Anmeldung am Anwendungsserver einschränken ................... 210Tipp 51 Berechtigungstraces anwendungsserverübergreifend

auswerten .............................................................................. 212Tipp 52 Passwörter mittels Self-Service zurücksetzen .......................... 215Tipp 53 Änderungsbelegmanagement der Benutzer- und

Berechtigungsverwaltung archivieren ..................................... 221Tipp 54 Generierte Profilnamen in komplexen Systemlandschaften

verwalten .............................................................................. 227Tipp 55 Tabellenberechtigungsgruppen pflegen .................................. 231

TEIL 6 Anwendungsberechtigungen ...................................... 235

Tipp 56 Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen .............. 236

Tipp 57 Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden ............................................ 243

Tipp 58 Berechtigungen für das Customizing erstellen ........................ 246Tipp 59 Berechtigungen für den Dateizugriff steuern .......................... 250Tipp 60 Berechtigungen für die SAP-Hintergrundverarbeitung

vergeben ............................................................................... 257Tipp 61 Berechtigungen für Spoolaufträge vergeben ........................... 262Tipp 62 Berechtigungen zur Tabellenbearbeitung organisatorisch

einschränken ......................................................................... 266Tipp 63 S_TABU_NAM in ein Berechtigungskonzept integrieren ......... 271Tipp 64 SAP_NEW richtig verwenden ................................................. 276

Inhalt

10

Tipp 65 Leseberechtigungen für Steuerprüfungen geschäftsjahresabhängig steuern ............................................ 282

Tipp 66 Den Verantwortungsbereich RESPAREA zur Organisationsebene machen .................................................. 288

Tipp 67 Zu umfangreiche Berechtigungen beim HR-Reporting verhindern ............................................................................. 291

TEIL 7 Berechtigungen für User-Interface-Clients ............ 295

Tipp 68 Berechtigungen für den SAP NetWeaver Business Client steuern .................................................................................. 296

Tipp 69 Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten .......................................................... 301

Tipp 70 Eine Berechtigung für externe Services von SAP CRM vergeben ................................................................ 304

Tipp 71 Dem Benutzermenü externe Services aus SAP CRM hinzufügen ............................................................. 308

Tipp 72 CRM-Rollenkonzept im Zusammenhang mit externen Services umsetzen .................................................................. 311

TEIL 8 Berechtigungsprüfungen ............................................. 315

Tipp 73 Berechtigungsobjekte für die Tabellenbearbeitung verwenden ............................................................................. 316

Tipp 74 Berechtigungsobjekte einfacher pflegen ................................. 320Tipp 75 Berechtigungsfehler durch Debugging ermitteln ..................... 323Tipp 76 Transaktionsstartberechtigungen beim Aufruf

CALL TRANSACTION pflegen ................................................. 327Tipp 77 Berechtigungsprüfungen in SAP HANA verstehen .................. 332

TEIL 9 Kundeneigene Berechtigungen .................................. 339

Tipp 78 Berechtigungsverwaltung in kundeneigenen Programmen koordinieren .......................................................................... 340

Tipp 79 Kundenspezifische Berechtigungen einsetzen ......................... 343Tipp 80 Kundeneigene Customizing-Tabellen in den

IMG einbinden ...................................................................... 347Tipp 81 Profit-Center-Berechtigungen in FI prüfen ............................. 352Tipp 82 Berechtigungsprüfungen für Belege in FI erweitern ................ 356

Inhalt

11

Tipp 83 Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten ............................................... 362

TEIL 10 Auswertungen von Berechtigungen und Benutzerstammsätzen .................................................. 367

Tipp 84 Berechtigungen mit SAP Query analysieren und evaluieren .... 368Tipp 85 Nach Benutzer- und Passwortsperren suchen ......................... 371Tipp 86 Ausführbare Transaktionscodes ermitteln ............................... 373Tipp 87 Lizenzdaten über die Zentrale Benutzerverwaltung

auswerten .............................................................................. 376Tipp 88 Risikoanalyse mit dem Report »Kritische Berechtigungen«

durchführen ........................................................................... 379Tipp 89 Audit Information System Cockpit nutzen .............................. 384Tipp 90 Einstellungen zur Systemänderbarkeit einsehen ..................... 388Tipp 91 Mit den Standardbenutzern und deren

Initialpasswörtern umgehen ................................................... 391

TEIL 11 Systemsicherheit ............................................................ 397

Tipp 92 Passwörter schützen .............................................................. 398Tipp 93 AGS Security Services nutzen ................................................. 402Tipp 94 Security Audit Log konfigurieren ............................................ 408Tipp 95 Konfigurationsvalidierung einsetzen ....................................... 415Tipp 96 Sicherheitshinweise mithilfe der Systemempfehlungen

einspielen .............................................................................. 418Tipp 97 SAP Code Vulnerability Analyzer verwenden .......................... 423Tipp 98 E-Mails verschlüsseln ............................................................. 426Tipp 99 Inhalte des Profils SAP_ALL anpassen .................................... 432Tipp 100 Massenänderungen in der Tabellenprotokollierung

vornehmen ............................................................................ 435

Tabellen der SAP-Berechtigungsverwaltung ............................................ 439Die Autoren ........................................................................................... 443Index ..................................................................................................... 449

449

Index

A

ABAP Test Cockpit 423ABAP-Programmierung, Sicherheit 423Abmischfunktion 116Abmischmodus 162Abwärtskompatibilität 399Access Control Engine 343Action Log 287Active Directory 23, 216Administratorsperre 45, 215

globale 219lokale 219

AGS 402EarlyWatch Alert 403, 417SAP End-to-End Solution Operations

Standard for Security 403Secure Operations Standard 403Security Optimization Service 403, 417Security Services 402, 417Self-Services 402

AIS � Audit Information SystemAktivstatus 119ALE 200ALE-Kommunikation 238Änderungsbeleg 221, 238, 435

Analyse 223Archivierung 223Excel-basiertes Tool 105Index 224Objektklasse IDENTITY 222Objektklasse PFCG 222

Anmelderestriktion 36Anmeldesperre 44Anwendung, startbare 111Anwendungsserver 398Anwendungsstartberechtigung 343Applikationskennzeichen 285Applikationsschicht 89Archivobjekt

BC_DBLOGS 224US_AUTH 223US_PASS 223US_PROF 223US_USER 223

ATC � ABAP Test Cockpit

Audit 384kaufmännisches 385System-Audit 385

Audit Information System 384Auditstruktur 384Auditstruktur, Berechtigung 387Cockpit 384Standardrolle 387

Auswertungsweg 64, 67PROFLINT 68PROFLO 68SAP_TAGT 68US_ACTGR 66, 68

Authentifizierung, kryptografische 400Authentifizierungsverfahren 44

B

BAdI 23, 343, 356BADI_IDENTITY_CHECK 23BADI_IDENTITY_SU01_CREATE 23BADI_IDENTITY_UPDATE 23FAGL_ITEMS_CH_DATA 360FI_AUTHORITY_ITEM 361SMIME_EMAIL 428

BAPI 215BAPI_USER_CHANGE 219BAPI_USER_GET_DETAIL 217

Basisberechtigung 236Batch-Job 45, 237, 257

Berechtigungsvorschlagswert 175Job-Step 258Step-Benutzer 258

Beleganzeigen 356buchen 356Validierung 356

BenutzerAbgleich 48, 75Änderungsbeleg 222Auswahl 50DDIC 393EARLYWATCH 393entsperren 32Gültigkeit 45, 371

Index

450

Benutzer (Forts.)ID 18inaktiver 70Klassifizierung 376Nutzertyp 376Referenz 377SAP* 393SAPCPIC 394Sicherheitsrichtlinie 391sperren 70, 215, 371TMSADM 394WF-BATCH 395

Benutzeradministration, Massenpflege 86Benutzerattribut, Änderungsbeleg 222Benutzergruppe 20, 28, 201

Referenzbenutzer 79Standard 21SUPER 393

Benutzerinformationssystem 40, 78, 223, 368, 371

Benutzermenü 196Benutzermenü, Referenzbenutzer 79Benutzerparameter 26Benutzerpflege 196Benutzerpuffer 80Benutzer-Session beenden 239Benutzerstamm

Abgleich 66, 196, 200Datum 23, 24Rolle 74Satz 36, 394

Benutzertyp 41Dialog 41, 78Kommunikation 31, 41, 42Referenz 43, 77, 199, 376Service 40, 42System 40, 42, 258, 393

Benutzerverwaltung 221, 317Benutzerverwaltung, zentrale

� Zentrale BenutzerverwaltungBerechtigung

Änderungsbeleg 222Customizing 246kritische 236kritische Kombination 417kundeneigene 343Status 116Summation 78Vorschlagswerte 116

Berechtigungsfehler 46

Berechtigungsfeld 123, 207, 343ACTVT 207Änderung 222BEGRU 207Liste 346

Berechtigungsgruppe 253Berechtigungskonzept 81Berechtigungsobjekt 167, 206

Änderung 222Anlage 362B_ALE_MODL 238B_LSMW 239B_LSMW_PRO 239Berechtigungsfeld 131K_KEB_REP 365K_KEB_TC 365K_KEPL_BER 365K_PCA 353kritischer Wert 237kundeneigenes 320, 343, 357P_ABAP 291P_ORGIN 292P_ORGINCON 292Pflege 323S_ADMI_FCD 237, 238, 239, 240,

262, 389S_ARCHIVE 226S_BTCH_ADM 237, 240, 258S_BTCH_JOB 237, 240, 257S_BTCH_NAM 237, 257S_C_FUNCT 238S_CTS_ADMI 238S_DATASET 238, 250S_DEVELOP 237, 238, 239S_ICF_ADM 239S_IDOCCTRL 238, 242S_IDOCPART 238S_LOG_COM 258S_NUMBER 237S_PATH 250S_PROGRAM 207, 238, 258S_PROJECT 237, 246S_PROJECTS 246S_RFC 111, 115, 207, 237, 377S_RFC_ADM 240S_RFCACL 432S_RZL_ADM 239, 240, 251S_SAIS 387S_SCD0 226, 238S_SERVICE 207

Index

451

Berechtigungsobjekt 167, 206 (Forts.)S_SPO_ACT 240, 263S_SPO_DEV 259S_START 207, 301S_TABU_CLI 237, 239, 271S_TABU_DIS 226, 231, 237, 238, 240,

271, 317, 389S_TABU_LIN 266, 269S_TABU_NAM 226, 237, 238, 271, 318,

389, 398S_TCODE 48, 111, 120, 207, 327, 374,

389S_TMS_ACT 240S_TRANSPRT 154, 238, 241S_TSKH_VB 238S_USER_AGR 153, 199, 237S_USER_AUT 241S_USER_GRP 199, 237, 241S_USER_OBJ 238S_USER_PRO 241S_USER_SYS 57S_WFAR_PRI 259SM_FUNCS 422TTYPE 238UIU_COMP 172, 306, 313verwalten 241Verwendungsnachweis 320

BerechtigungsprofilÄnderungsbeleg 222Import 221Maximalzahl 77Name 227SAP_ALL 79, 198, 199, 277, 404, 406,

417, 432SAP_APP 280SAP_NEW 276Transport 227

Berechtigungsprüfung 356abschalten 238Code 323erweitern 356fehlgeschlagene 49kundeneigene 340Performance 80Referenzbenutzer 78

Berechtigungspuffer 46Berechtigungstrace 128, 159, 169, 172,

176, 212, 255, 277, 307, 323Berechtigungsverwaltung 221

Berechtigungsvorschlagswert � Vorschlagswert

Bereichsmenü 387Bereichsstartseite 312Betriebssystem 416Bewegungsdaten 225Black List 253BSP-Anwendung 304BTE 356Buchungskreis 136, 285, 359Business Add-ins � BAdIBusiness Application Programming Interface

� BAPIBusiness Process Change Analyzer 421Business Role Management 139Business Transaction Event 356Business-Rolle 92

C

CA 429CALL TRANSACTION 327CATT 239CCDB 415CCMS 414Certificate Authority 429Change and Request Management 154Change Management 415, 419Client 398Client-Anmeldung 399Code Inspector 424compliant 416Computing Center Management System

414Configuration and Change Database 415CO-PA � Ergebnis- und Markt-

segmentrechnungCRM 23CRM-Business-Rolle 304, 308, 311

Bereichsstartseite 304, 308logischer Link 304, 308

CRM-UI-Komponente 172, 304CSOL 154CTS+ 337Custom Code Security 423Customizing

Berechtigung 240, 246Rolle 247, 248

Index

452

Customizing-Parameter � Customizing-Schalter

Customizing-Schalter 196ADD_ALL_CUST_OBJECTS 198, 278ADD_COMPOSITE_ROLES 154ADD_OLD_AUTH_OBJECTS 278ADD_S_RFCACL 278, 433ASSIGN_ROLE_AUTH 199AUTO_USERCOMPARE 199BNAME_RESTRICT 19CLIENT_SET_FOR_ROLES 153COLL_READ_LEVEL_1 197CONDENSE_MENU 197CONDENSE_MENU_PFCG 197CUA_ATCR_CLEANUP 200CUA_AUTO_TXTCMP_ROLE 201DELETE_DOUBLE_TCODES 198GEN_PSW_MAX_DIGITS 34GEN_PSW_MAX_LENGTH 33, 198GEN_PSW_MAX_LETTERS 34GEN_PSW_MAX_SPECIALS 34GRSFOLD_LIMIT 198HR_ORG_ACTIVE 65LOAD_LEV_LIMIT 198NODE_VAL_LIMIT 198PRGN_CUST 27PRGN_PROF_PREFIX 192, 228PROFILE_TRANSPORT 154, 199REC_OBSOLETE_AUTHS 152REF_USER_CHECK 79, 199REFUS_EASY 79REFUS_NWBC_EASY 79SAP_ALL_GENERATION 199, 278SAP_MENU_OFF 197SGL_ROLES_TRANSPORT 154SU2X_SET_FORCE_MIX 186USER_GRP_REQUIRED 21, 201USER_REL_IMPORT 154, 200USRCOMPARE_PFUD 200USRPROF_AUTOEXEC 200

Customizing-Tabelle 435Änderung 222kundeneigene 347PRGN_CUST 19, 27, 196, 433SSM_CID 196SSM_COL 196SSM_CUST 196USR_CUST 21, 196

D

Data Mart 89Dateizugriff 250

Berechtigungsgruppe 253Verzeichnis 252Zugriffsart 254

Datenbank 89Datenbank, logische

PNP 292, 293PNPCE 292SAPDBADA 285SAPDBBRF 285

Datenbankobjekt 239Datenbankschema 333Datenbankschicht 89Datenschutzdirektive 100Debitorenbuchhaltung 355Debugger 412Debugging, Berechtigung 237Denial of Service 45DIAG 400Dialoganmeldung 41Dialoganmeldung, Passwortregeln 28Dialogbenutzer 41, 78DSAG 283, 348Dynamic Information and

Action Gateway 400

E

eCATT 141eCATT, Muster 142Einführungsleitfaden � SAP Implemen-

tation GuideEinkauforganisation 136E-Mail

Signierung 426Verschlüsselung 426

E-Mail-Proxy, sicherer 426Enterprise Support 402Entwicklungsobjekt anlegen 237Entwicklungsrichtlinie 340Entwicklungssystem 190Ergebnis- und Marktsegmentrechnung 362

einzelpostenbasierter Bericht 362Informationssystem 362Kennzahl 362

Index

453

Ergebnis- und Marktsegmentrechnung (Forts.)Merkmal 362Planung 362

Erweiterungsspot 24Excel-Rollenpflege 104Extended Computer Aided Test Tool 149externer Service 308

F

Falschanmeldung 33False Positive 425Favoriten 81Finanzbuchhaltung 285, 352funktionale Spezifikation 341Funktionsbaustein

AUTHORITY_CHECK_TCODE 331RFC-fähiger 111SWNC_GET_WORKLOAD_STATISTIC 108

G

Gateway 416Gesamtberechtigung 432Geschäftsjahr 283Geschäftspartner 23, 67Grantor 335

H

HANA � SAP HANAHash-Algorithmus 398Hash-Wert 398HCM 23Hexadezimalwert 18Hintergrundjob � Batch-JobHR-Abrechnungskreis 285HR-Reporting 291HTTP 400HTTPS 400

I

ICM 239ID Management � SAP Identity

ManagementIdentity Management � SAP Identity

ManagementIDM � SAP Identity ManagementIDoc 238IMG � SAP Implementation GuideIndex, logischer 224Infotyp, 0105 – Kommunikation 25Initialpasswort 41, 70, 219, 391Initialpasswortsperre 44Inputparameter 144

J

Job einplanen 240Join 368

K

Kernel 416Kommunikationsbenutzer 31, 41, 42Komponentenname 308Konfigurationsvalidierung 415

Konfigurationsspeichern 415Zielsystem 416

Konsolidierungssystem 190Kostenrechnungskreis 285, 353Kostenstelle 206, 352Kostenstellenhierarchie 288Kreditor 286Kreditorenbuchhaltung 355

L

LDAP 222Leerzeichen

Non-breaking Space 18Wide Space 18

Legacy System Migration Workbench 147Lesezugriff, Protokollierung 283Lightweight Directory Access Protocol 222Link, logischer 312

Index

454

LiveCache 237Lizenzdaten

Lizenzkosten 376Nutzertyp 376SAP-Lizenzschlüssel 376

Lizenzdatum 376auswerten 376Klassifizierung 376Vermessungsprogramm 376

logische Datenbank � Datenbank, logischeLogon-Gruppe 242

M

Mahnlauf 354Mandant

000 394066 393anlegen 225kopieren 225, 238, 394

Massentransport 152MaxAttention 402Mehrfachselektion 152Modifikationsabgleich 329Modifikationsflag 163, 188Monitoring 384

N

Namenskonvention 96neues Hauptbuch 352Non-breaking Space 18Note Assistant 420Notfallbenutzer 393Nummernkreis 228, 237Nutzertyp, vertraglicher 77, 376Nutzungsdaten

Aufbewahrungszeit 112statistische 107, 112

Nutzungsverhalten 112NWBC � SAP NetWeaver Business Client

O

On Demand 424On Premise 424

OP-Link 313Organigramm 64Organisationsebene 122, 123, 206,

285, 288Änderung 222Organisationsfeld 136, 203, 206

Organisationskriterium 266Organisationsmanagement 63, 67

Organisationseinheit 63, 67Organisationsmodell 63Person 63Planstelle 63, 67Stelle 63

Organisationsmatrix 137Organisationsrolle 100Organisationswert 202Orgebene � OrganisationsebeneOutbound-Plug 312

P

Parametertransaktion 272Passwort

abwärtskompatibles 40Änderung 36Generator 33generiertes 198Gültigkeit 30Hash-Wert 32, 398Historie 31Initial 429Regel 27, 35, 41, 215schützen 398Sperre 44verbotenes 27

Personal Security Environment � PSEPersonalstammdatum 23PFCG-Rolle 54, 74, 96, 271, 311

indirekte Zuordnung 63Organisationsebene 123Vorschlagswert 156

Pflegestatus 119Pilothinweis 137Planstelle 67Privileg 332Profil � BerechtigungsprofilProfildatum, obsoletes 152Profilgenerator 196

Index

455

Profilname 190Profilparameter 27, 36, 391, 415

auth/authorization_trace 159, 162, 169, 172, 176

auth/new_buffering 47AUTH/NO_CHECK_IN_SOME_CASES 375auth/su53_buffer_entries 51auth/tcodes_not_checked 48DIR_AUDIT 410FN_AUDIT 410login/disable_password_logon 28, 39login/failed_user_auto_unlock 32, 40login/fails_to_session_end 33login/fails_to_user_lock 33, 39login/min_password_diff 31, 38login/min_password_digits 29, 34, 37login/min_password_letters 29, 34, 37login/min_password_lng 29, 33, 37login/min_password_lowercase 29, 38login/min_password_specials 29, 34, 38login/min_password_uppercase 29, 38login/no_automatic_user_sapstar

211, 392, 394login/password_change_for_SSO

28, 38, 45login/password_change_waittime 31, 38login/password_charset 30login/password_compliance_to_current_

policy 32, 38login/password_downwards_compatibility

32, 399login/password_expiration_time

30, 32, 38login/password_history_size 31, 38login/password_logon_usergroup 28, 39login/password_max_idle_initial 31, 39login/password_max_idle_

productive 31, 39login/server_logon_restriction 33, 40, 210rec/client 435rsau/enable 410rsau/ip_ only 411rsau/max_diskspace/local 411rsau/max_diskspace/per_day 412rsau/max_diskspace/per_file 411rsau/selection_slots 410rsau/user_selection 410stat/rfc/distinct 113stat/rfcrec 113

Profit-Center 352Hierarchie 288Rechnung 352

Programmkundeneigenes 340, 343, 423Schwachstelle 423

Proxy 400Prüfkennzeichen 162Prüfungszeitraum 283PSE 222, 401, 431PSE-Datei 401Public Key 427Public-Key-Schlüsselpaar 431

Q

Qualitätssicherung 340Quellsprache 148Query 368QuickViewer 368

R

Referenzbenutzer � Benutzertyp, ReferenzReferenzrolle 136Releasewechsel 178Remote Function Call � RFCReport

ADBC_TEST_CONNECTION 90AGR_REGENERATE_SAP_ALL 278AGR_RESET_ORG_LEVELS 123BTC_MASS_JOB_CHANGE 261BTCAUX09 260CA_TAXLOG 286CHANGEDOCU_READ 223CLEANUP_PASSWORD_HASH_VALUES

399CRMD_UI_ROLE_PREPARE 304, 311PFCG_ORGFIELD_CREATE 207PFCG_ORGFIELD_DELETE 203, 209PFCG_ORGFIELD_ROLES 123, 209PFCG_ORGFIELD_ROLES_UPD 140PFCG_ORGFIELD_UPGRADE 180, 209PFCG_ORGLEVEL_DELETE 123PFCG_TIME_DEPENDENCY 66PRGN_COMPRESS_TIMES 73

Index

456

Report (Forts.)RDDPRCHK 436RDDTDDAT_BCE 234REGENERATE_SAP_APP 280REGENERATE_SAP_NEW 280RHAUTUPD_NEW 66, 76, 175RHWFINDEXRESET 48RSAU_SELECT_EVENTS 414RSAUDIT_SYSTEM_STATUS 388RSDELCUA 61RSECNOTE 422RSLIN_SEC_LICENSE_SETUP 424RSSCD100_PFCG 223RSUSR_DBMS_USERS 92RSUSR_LOAD_FROM_ARCH_PROF_AUTH

224RSUSR_LOAD_FROM_ARCHIVE 224RSUSR_LOCK_USERS 70RSUSR_SECPOL_USAGE 40RSUSR_SYSINFO_LICENSE 376RSUSR002 83, 371RSUSR003 391RSUSR008_009_NEW 222, 379RSUSR010 373RSUSR100N 223RSUSR101 223RSUSR102 223RSUSR200 371RSUSR406 278RSUSRCUA 57RUSH02RD 223RUSH04RD 223RUSH10RD 223RUSH12RD 223SU24_AUTO_REPAIR 162, 179, 189SU24_TRANSPORT_TABLES 192SU25_INITIALIZE_TSTMP 189SU2X_SHOW_HISTORY 162SUIM_CTRL_CHG_IDX 224SUSR_TABLES_WITH_AUTH 274, 319SUSR_ZBV_GET_RECEIVER_PROFILES 55TMS_UPDATE_PWD_OF_TMSADM 394Z_ROLE_SET_MASTERLANG 149

RESPAREA 288Return-Code 129Reverse Engineering 112Revisor 384RFC 111, 299, 400, 417

Hopping 111, 417Verbindung pflegen 240

Ringpuffer 50Risiko 380Risiko-ID 380Rolle

abgeleitete 136, 206Änderungsbeleg 222Definition 54Gültigkeit 45, 73Klassifizierung 376Mehrfachzuordnung 73Profil 75Template 222Transport 151, 221Zuordnung 73, 237

Rollenmenü 132, 168, 172, 304, 308Rollenpflege 151

Abmischfunktion 116eCATT 141Excel-basierte Tools 105Massepflege 141

Rollentransportfunktion 151Rollenverwendungsnachweis 182Rollenzuordnung

importieren 200indirekte 63

Roll-out 416

S

S/MIME-Standard 426SAL � Security Audit LogSAP Access Control 92, 136, 139, 380

Business Role Management 136Business-Rolle 92

SAP Active Global Support � AGSSAP Business Workflow 395SAP BW 416SAP Code Vulnerability Analyzer 423SAP CRM 311SAP CRM Web Client 304, 308, 311SAP Cryptographic Library 427SAP Easy Access 198SAP HANA

Analytic View 333Analytical Privilege 333Anwendungsszenario 332Application Privilege 334Benutzerverwaltung 90

Index

457

SAP HANA (Forts.)Calculation View 333Database User 332Datenbank 89, 332Delivery Unit 334, 336Design Time 334, 337Design Time Repository 336granted 335Grantor 335HALM 337Katalogobjekt 336Object Privilege 333Package Privilege 334Privileg 332Project Explorer 336Runtime-Version 336Schema Privilege 333Smart Data Access 333Source Privilege 333Studio 334System Privilege 333Technical User 332Transportwesen 337XS 89

SAP Identity Management 23, 92, 216, 337SAP Implementation Guide 246

Projekt 246Projektsicht 248Referenz-IMG 247Struktur anlegen 349

SAP NetWeaver AS ABAP, Anmeldungs- beschränkung 210

SAP NetWeaver Business Client 79, 296SAP Query 368SAP Solution Manager 154, 403, 415, 419SAP Unified Connectivity 115SAP_ALL � Berechtigungs-ProfilSAPconnect 426SAP-Easy-Access-Menü 79Schattendatenbank 224Secure Network Communication 222, 400Security Audit Log 393, 408

Auditklasse 408Ereignis 408Filter 408Filterprofil 409Konfiguration 408Profilparameter 409

Security Patch Day 418Self-Service 215

Server, Zugriff 33Service

externer 172, 304, 311nichttransaktionaler 161

Servicebenutzer 40, 42Session Manager 196Sicherheit 423

Anforderung 416Aspekte 403Funktion 402Lücke 418

Sicherheitshinweis 416, 423Sicherheitsrichtlinie 27, 35, 42, 210,

216, 391Attibut 36Vorschlagswert 36

Single Sign-on 28, 44, 216, 400SNC 222, 400SNC-Name 26Sperre

Administratorsperre 86Falschanmeldung 219Sperrgrund 88

Spoolauftrag 240, 259, 262Druckparameter 264Feld Berechtigung 262

SQL-Berechtigung 333SSO � Single Sign-onStandardbenutzer 391Standardberechtigung 116Startberechtigung 133Step-Benutzer 258Steuerprüfer, Musterrollen 283Steuerprüfung

elektronische 282Zugriffsarten 282

Support 49Support Package 416Switch Framework 352Systemänderbarkeit 238, 388Systembenutzer � Benutzertyp, SystemSystemempfehlungen 418Systemlandschaft 190Systemlandschaft, komplexe 227Systemprofil 241Systemtrace 128, 161, 165systemübergreifende Objektsperre 154

Index

458

T

TabelleAGR_1251 369AGR_1252 137AGR_NUM_2 228AGR_TEXTS 149AGR_USERS 369CRMC_UI_COMP_IP 309DBTABLOG 438DD02L 347DD02T 347ENLFDIR 114KBEROBJ 289POSTAB 359PRGN_CUST 27, 33, 60, 65, 79, 152, 154,

198, 222, 278RFCSRVR 113SMEN_BUFFC 81SMEN_BUFFI 81SPTH 250, 252SSF_PSE_D 401SSM_CID 196SSM_COL 198SSM_CUST 79, 197SUIM_CHG_IDX 224SWNCCOLLPARREO 112T000 390TBE11 285TCDCOUPLES 328TCODE_MOD 188TDDAT 234TPCDATEN 284TPCPROG 283TPCPROGS 285TPCUSERN 283, 284TSTC 374TSTCA 374US_EXIT 222USH02 222, 398USH04 222USH10 222USH12 222USKRIA 380USOB_AUTHVALTRC 160, 170, 173USOB_MOD 188USOBHASH 161, 173USOBT 156USOBT_C 163

Tabelle (Forts.)USOBT_CD 162, 222USOBT_TSTMP 189USOBX 156USOBX_C 163USOBX_CD 162, 222USOBX_TSTMP 189USORG 137, 202, 207USR_CUST 192, 200, 222, 228USR_DBMS_SYSTEM 90USR02 219, 398USR04 77USR40 27, 34, 38, 222USRBF2 47, 80USRPWDHISTORY 398

Tabellenberechtigung 316Tabellenberechtigungsgruppe 231, 317,

390, 401&NC& 318

Tabellen-Join 369Tabellenpflege 237Tabellenprotokollierung 222, 435

Archivierung 224deaktivieren 435

Tabellen-View, kundeneigener 269Tabellenzeile 266Testkonfiguration 145Testskript 142Textbaustein

übersetzen 147Variable 149

TLS 400Trace 241Transaktion

AL08 212AL11 253AUTH_SWITCH_OBJECTS 326COAT 351CRMC_UI_NBLINKS 309CRMC_UI_PROFILE 309DBCO 90FAGLL03 356FB03 356, 361FIBF 360GCX1 357GCX2 357GGB0 357KE30 363kundeneigene 110, 272LSMW 147, 149, 239

Index

459

Transaktion (Forts.)OB28 359OKKP 290OOAW 68PFCG 73, 116, 126, 149, 153, 199, 200,

248, 271, 433PFUD 76, 151RDDPRCHK_AUDIT 436RZ10 27RZ11 169, 409, 435S_IMG_EXTENSION 348SA38 257SAIS 384SAIS_SEARCH_APPL 243SARA 223SCC4 153, 388SCOT 427SCU3 223SCUA 57, 60SCUG 57, 61, 378SCUH 57SCUL 22SCUM 22, 57, 74, 377SE06 388SE09 290SE11 233, 269SE13 436SE16 111, 272, 289SE16N 111SE18 24, 360SE19 360SE37 113SE43 387SE54 232, 317SE63 147SE93 272, 329, 374SE97 328SECATT 142, 149SECPOL 36SIMGH 348SLG1 286, 377SLG2 287SM18 413SM19 408SM20 413, 414SM20N 414SM30 111, 197, 318SM36 257SM37 261SM51 212

Transaktion (Forts.)SNOTE 420SOBJ 349SOLMAN_WORKCENTER 415SPRO 248, 351SPRO_ADMIN 247SQVI 368ST01 128, 168, 252ST03N 107ST11 253STAUTHTRACE 129, 168, 213, 252,

307, 323STBRG 234STMS 436STRUST 427STUSOBTRACE 159, 174, 176SU01 23, 33, 78, 90, 111, 200, 376SU02 279SU10 33, 70, 83, 86, 111, 200, 376SU20 321, 343SU22 159, 180, 189SU24 156, 159, 165, 168, 177, 180,

271, 314SU24_S_TABU_NAM 273SU25 178, 184, 188, 190, 209SU53 49SU56 46SUIM 40, 223, 368, 373SUPC 185, 199, 342SWU3 395T77AW 68TPC2 283TPC4 283TPC6 284USMM 376, 377

Transaktionscode vergeben 340Transaktionsstartberechtigung 327Transport 240

Berechtigung 238Transport Layer Security 400Transportauftrag 151, 416Transportauftrag, Freigabe 152Transportprotokoll 152, 221

Trust Manager 427

Index

460

U

Übersetzung, automatisieren 147, 149UCON 115

Communication Assembly 115Phase Tool 115

Unicode 18Unternehmensstruktur 204Upgrade 178, 276Upgradenacharbeit 190User-Exit 343, 357

V

Verbuchungsadministration 238Verkaufsorganisation 136Verwendungsnachweis 323Vorschlagswert 116, 156, 159, 165, 168,

172, 304Änderungsbeleg 162, 222Transport 191

W

Wartungsarbeit 210Web Dynpro ABAP 301Webservice, Benutzer 42Wertrolle 100Whitelist 253, 406, 417Wide Space 18Workload-Monitor 107Workprozess beenden 240

X

XMI 414

Y

Y-Landschaft 190

Z

Zahlungslauf 354ZBV � Zentrale BenutzerverwaltungZeichenvorrat 18Zeitraumabgrenzung 283Zeitraumprüfung 283Zeitstempel 188Zeitstempeltabelle 189Zentrale Benutzerverwaltung 21, 54, 60,

74, 200, 216, 376, 399Änderungsbeleg 56manueller Textabgleich 54Verteilungsparameter 22

Zertifikat 427Zertifikat X.509 426Zielsprache 148Zielsystem 192Z-Transaktion 273Zugriffskontrolle 100Zwischenablage

PFCG 126SU10 83

Wir hoffen sehr, dass Ihnen diese Leseprobe gefallen hat. Gerne dürfen Sie diese Leseprobe empfehlen und weitergeben, allerdings nur vollständig mit allen Seiten. Die vorliegende Leseprobe ist in all ihren Teilen urheberrecht-lich geschützt. Alle Nutzungs- und Verwertungsrechte liegen beim Autor und beim Verlag.

Teilen Sie Ihre Leseerfahrung mit uns!

Anna Otto arbeitet seit 2007 als GRC-Beraterin für die SAP Deutschland AG und war zwischenzeitlich eben-falls als GRC-Beraterin für die SAP (Schweiz) AG tätig.

Katharina Stelzner arbeitet seit 2006 als Technologie-beraterin für die SAP Deutschland AG. Ihr Schwerpunkt liegt auf Berechtigungskonzepten im CRM-Umfeld.

Anna Otto, Katharina Stelzner

Berechtigungen in SAP − 100 Tipps & Tricks460 Seiten, broschiert, Juni 2014 49,90 €, ISBN 978-3-8362-2615-8

www.sap-press.de/3463

Wissen aus erster Hand.

http://www.sap-press.de/3463?GPP=lpn

https://www.facebook.com/GalileoPressVerlag

https://plus.google.com/118435207805510651040

http://twitter.com/Galileo_Press

Documents

Berechtigungen in SAP – 100 Tipps & Tricks