Die Erfahrung aus zahlreichen Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind h\u00e4ufig unzureichend gesch\u00fctzt. Ein hohes Risiko entsteht beispielsweise durch den Missbrauch von RFC-Schnittstellen.<\/p>\n\n\n\n
Die ideale Berechtigung besteht aus einem Minimum an Objekten und Auspr\u00e4gungen, die in einem konstanten Prozess gepr\u00fcft werden. In der Praxis gibt es jedoch dynamische Anwendungsf\u00e4lle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft erforderlich sind. Wir unterscheiden daher zwei Szenarien:<\/p>\n\n\n\n
- \n
- Statistische Objektnutzung<\/strong><\/li>\n<\/ul>\n\n\n\n
Hier l\u00e4sst sich der zuk\u00fcnftige Bedarf aus der Analyse der Nutzung in der Vergangenheit ableiten.<\/p>\n\n\n\n
- \n
- Dynamische Objektnutzung<\/strong><\/li>\n<\/ul>\n\n\n\n
Bei Benutzern mit dynamischer Objektverwendung ist unklar, welche zus\u00e4tzlichen Rechte der Benutzer in Zukunft noch erh\u00e4lt. Hier besteht die M\u00f6glichkeit, weitere Anwendungen \u00fcber die gleiche Schnittstelle anzubinden und damit eine Abfrage v\u00f6llig neuer Objekte zu starten.<\/p>\n\n\n\n
Die Probleml\u00f6sung in zwei einfachen Schritten \u2013 nicht nur f\u00fcr Kunden aus der Energiewirtschaft<\/strong><\/h2>\n\n\n\n
Im ersten Schritt erfolgte die Selektion der Benutzer mit statischer Objektnutzung. <\/strong>Dieser Benutzer f\u00fchrt auch in Zukunft die gleichen T\u00e4tigkeiten aus, die er bereits in der Vergangenheit erledigt hat.<\/p>\n\n\n\n
Mit Hilfe einer Auswertung der Berechtigungs-Tracedaten (Transaktion STAUTHTRACE, ST01) k\u00f6nnen wir feststellen, welche Berechtigungsobjekte der Benutzer ben\u00f6tigt und die nicht erforderlichen aus der Einzel-\/Sammelrolle entfernen:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik1_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nDas Protokoll der aufgezeichneten Tracedaten zeigt, welche Objekte der technische Benutzer im ausgew\u00e4hlten Zeitraum verwendet:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik2_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nDie neu angelegte Rolle sollte nur um die jeweils ben\u00f6tigten RFC-Berechtigungsobjekte und deren Werte erweitert werden, anstatt mit weitreichenden Berechtigungen oder gar einer Vollauspr\u00e4gung versehen zu werden:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik3_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nUnsere Empfehlung:<\/strong> F\u00fcr jedes Szenario (Batchverarbeitung\/RFC-Verbindung) sollten eigene technische Benutzer angelegt und Sammelbenutzer vermieden werden. Letztere haben umfassende Berechtigungen, die auch missbraucht werden k\u00f6nnen. Dennoch ist der Sammelbenutzer oft g\u00e4ngige Praxis.<\/p>\n\n\n\n
Im zweiten Schritt erfolgte die Einschr\u00e4nkung der Benutzer mit dynamischer Objektnutzung.<\/strong> Insbesondere durch die Verwendung von Business-Funktionen werden gerade im SAP Basis-Umfeld Berechtigungsobjekte und Transaktionen einfach und direkt zugewiesen.<\/p>\n\n\n\n
Folgende kritische Berechtigungsobjekte k\u00f6nnen bei der Verwendung von erweiterten Berechtigungen zu erheblichen Problemen f\u00fchren:<\/p>\n\n\n\n
– S_TABU_DIS \/ S_TABU_NAM (Zugriff auf Tabellen)
– S_DATASET (Zugriff auf Dateien in Verzeichnissen des Applikationsservers)
– S_USER_GRP (Pflege von Benutzerstamms\u00e4tzen)
– S_USER_AGR (Pflege der Berechtigungsrollen)
– S_DEVELOP (ABAP<\/a>-Entwicklung)
– S_RFC (Aufruf von Funktionsbausteinen)
– S_ADMI_FCD (Systemadministration)
Unser Kunde aus dem Energiesektor hatte klare Vorgaben, welche Objekte im Produktivsystem eingeschr\u00e4nkt werden sollten, um Risiken zu reduzieren. So musste darauf geachtet werden, dass die Objekte niemals eine volle Auspr\u00e4gung haben. Dazu sollte das jeweilige Objekt in den Produktivsystemen auf \u201einaktiv\u201c oder auf \u201eAnzeige eingeschr\u00e4nkt\u201c gesetzt werden.<\/p>\n\n\n\nAnlegen einer Rolle auf Basis des Profils \u201eSAP_ALL\u201c:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik4_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nEinschr\u00e4nken der betreffenden Objekte durch Deaktivierung des Berechtigungsobjekts S_DEVELOP:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik5_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nIn der Transaktion \u201ePFCG \u2013 Rollenpflege\u201c wird durch \u201eS_DATASET\u201c das L\u00f6schen und \u00c4ndern von Dateien in allen Verzeichnissen erlaubt, das Objekt wurde deshalb auf „inaktiv“ gesetzt:<\/p>\n\n\n\n
![\"\"](\"https:\/\/pathlock.com\/wp-content\/uploads\/2023\/10\/Graphik6_techn.SAP-Benutzer.jpg\")
<\/figure>\n\n\n\nMit der Pathlock Suite Massenauswertung und Rollenvergabe auf Knopfdruck<\/strong><\/h2>\n\n\n\n
In diesem Best Case-Projekt haben wir bei unserem Kunden die Umstellung der technischen Benutzer in der Hypercare Phase begleitet. Auftretende Fehler in der Batch-Verarbeitung oder den RFC-Schnittstellen wurden in den ersten Tagen der Umsetzung eng \u00fcberwacht und durch ein intelligentes Fallback-Verfahren schnell behoben.<\/p>\n\n\n\n
Durch den Einsatz unserer Software konnte der Prozess von der Analyse bis zum Go-Live erheblich vereinfacht werden. Dank der Pathlock Suite<\/strong><\/a> lie\u00dfen sich Benutzer in der Masse analysieren und Rollen auf Knopfdruck erstellen, ohne dass es zu St\u00f6rungen kam. Das Ergebnis ist neben einer enormen Zeitersparnis auch eine erhebliche Risikominimierung durch konfliktfreie Berechtigungsrollen.<\/p>\n\n\n\n
M\u00f6chten auch Sie den Prozess der Rollenanpassung f\u00fcr technische SAP-Benutzer optimieren? Schreiben Sie uns<\/a>,<\/strong> wir helfen Ihnen gerne.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Lesen Sie auch diesen Beitrag:<\/p>\n\n\n\n
- Dynamische Objektnutzung<\/strong><\/li>\n<\/ul>\n\n\n\n