1 Benutzerstammdaten und Voraussetzungen für die Anmeldung

19

1.1 Zeichenvorrat für Benutzer-IDs

19

1.2 Benutzergruppe als Pflichtfeld im Benutzerstamm

21

1.3 Automatische Vorbelegung von Benutzerstammdaten

22

1.4 Passwortregeln konfigurieren

26

1.4.1 Profilparameter zur Definition von Passwortregeln

26

1.4.2 Customizing-Schalter zur Konfiguration des Passwortgenerators

33

1.5 Sicherheitsrichtlinien für Benutzer einsetzen

34

1.6 Auswirkung der Benutzertypen auf Passwortregeln

40

1.7 Passwort- und Anmeldesperren

41

1.8 Berechtigungsfehler prüfen

42

1.8.1 Benutzerpuffer auffrischen

42

1.8.2 Fehlgeschlagene Berechtigungsprüfungen zentral einsehen

46

1.9 Zusammenfassung

48

2 Benutzerverwaltung

49

2.1 Zentrale Benutzerverwaltung

49

2.1.1 Automatische Synchronisation

49

2.1.2 Änderungsbelege verwenden

50

2.1.3 Zentrale Benutzerverwaltung temporär abschalten

53

2.2 Rollenzuordnung

56

2.2.1 Rollen über das Organisationsmanagement zuordnen

56

2.2.2 Auswertungswege in SAP CRM anpassen

60

2.2.3 Rollenzuordnung auf Ebene der Benutzer konsolidieren

62

2.3 Inaktive Benutzer sperren

64

2.4 Benutzerabgleich mit Transaktion PFUD

66

2.5 Berechtigungen über Referenzbenutzer vergeben

68

2.6 Favoriten der Benutzer zentral einsehen

71

2.7 Massenpflege von Benutzern

72

2.7.1 Benutzer aus der Zwischenablage kopieren

72

2.7.2 Nach Anmeldedaten von Benutzern filtern

75

2.8 Zusammenfassung

78

3 Rollenverwaltung

79

3.1 Ein Berechtigungskonzept einfach gestalten

79

3.2 Nutzungsdaten für die Rollendefinition verwenden

82

3.3 Best Practices für die Namenskonventionen von Berechtigungsrollen

86

3.4 Berechtigungen für Schnittstellen- und Hintergrundbenutzer

89

3.4.1 Schnittstellen absichern

89

3.4.2 Berechtigungen von Schnittstellenbenutzern mittels Referenzbenutzer bereinigen

91

3.5 Massenpflege von abgeleiteten Rollen

94

3.5.1 Rollenmassenpflege mit einer kundeneigenen Entwicklung

96

3.5.2 Rollenmassenpflege mit SAP Access Control

97

3.5.3 Rollenmassenpflege mit der Transaktion PFCGMASSVAL

98

3.5.4 Rollenmassenpflege mithilfe von eCATT

102

3.6 Fallstricke beim Excel-basierten Berechtigungswesen umgehen

107

3.7 Verbesserungen der Rollentransportfunktion

109

3.8 Rollenmenü für den SAP Business Client einrichten

112

3.9 Pflegestatus von Berechtigungen in Rollen beachten

116

3.10 Manuell gepflegte Organisationsebenen zurücksetzen

120

3.11 Texte in Berechtigungsrollen übersetzen

123

3.11.1 Übersetzung mit Transaktion SE63

124

3.11.2 Automatisierte Übersetzung

126

3.12 Werte aus der Zwischenablage in Berechtigungsfelder kopieren

127

3.13 Zusammenfassung

128

4 Berechtigungsvorschlagswerte

129

4.1 Pflege von Vorschlagswerten

129

4.1.1 Die Transaktionen SU22 und SU24

132

4.1.2 Varianten für Vorschlagswerte

137

4.1.3 Vorschlagswerte für externe Services

140

4.1.4 Vorschlagswerte für Hintergrundjobs

143

4.2 Berechtigungen nach einem Upgrade anpassen

145

4.2.1 Vorschlagswertänderungen abgleichen

146

4.2.2 Berechtigungswerte beim Rollen-Upgrade vergleichen

151

4.2.3 Den Zeitstempel in der Transaktion SU25 verwenden

154

4.2.4 Berechtigungsvorschlagswerte und Rollen in Y-Landschaften abgleichen

156

4.3 Zusammenfassung

158

5 Berechtigungstraces

161

5.1 Tracefunktionen im Überblick

161

5.2 Systemtrace für Berechtigungen verwenden

163

5.3 Berechtigungsvorschlagswerte für Neuentwicklungen ergänzen

166

5.4 Verwendung des Benutzertraces als Langzeittrace

169

5.5 Berechtigungsprüfungen für RFC-Aufrufe identifizieren

171

5.6 Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen

175

5.7 Berechtigungstrace anwendungsserverübergreifend auswerten

177

5.8 Vereinfachtes Testen eines neuen Berechtigungskonzepts

179

5.9 Zusammenfassung

181

6 Systemeinstellungen

183

6.1 Customizing der Benutzer- und Berechtigungsverwaltung

183

6.2 Organisationsfelder verwalten

187

6.2.1 Organisationsfelder und ihre Abhängigkeiten

188

6.2.2 Neue Organisationsfelder hinzufügen

191

6.3 Anmeldung am Anwendungsserver einschränken

196

6.4 Passwörter mittels Self-Service zurücksetzen

197

6.5 Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung

202

6.6 Generierte Profilnamen in komplexen Systemlandschaften verwalten

208

6.7 Tabellenberechtigungsgruppen pflegen

211

6.8 Schaltbare Berechtigungsprüfungen konfigurieren

214

6.8.1 Szenariodefinitionen erstellen und pflegen

215

6.8.2 Szenariodefinitionen transportieren

220

6.8.3 Szenariobezogene Prüfungen abgleichen

222

6.9 Zusammenfassung

223

7 Basisberechtigungen

225

7.1 Kritische Basisberechtigungen

225

7.2 Berechtigungen für das Customizing

230

7.3 Berechtigungen für den Zugriff auf Dateien

235

7.4 Berechtigungen für die SAP-Hintergrundverarbeitung

241

7.5 Berechtigungen für den Zugriff auf Spool-Aufträge

246

7.6 Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen

250

7.7 Generischer Zugriff auf Programme und Tabellen

252

7.7.1 Berechtigungsprüfung beim generischen Programmstart

252

7.7.2 Berechtigungsprüfung beim generischen Tabellenzugriff

255

7.7.3 Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken

258

7.7.4 Parametertransaktionen für den Tabellenzugriff

262

7.7.5 Reports zur Auswertung von Tabellenberechtigungen

265

7.8 Zusammenfassung

268

8 Anwendungsberechtigungen

269

8.1 Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden

269

8.2 Fehlende Berechtigungen nach einem Release-Upgrade ergänzen

271

8.3 Besonderheiten der Berechtigungen in Rechnungswesen und Controlling

276

8.3.1 Leseberechtigungen für Steuerprüfungen geschäftsjahresabhängig steuern

276

8.3.2 Den Verantwortungsbereich RESPAREA zur Organisationsebene machen

281

8.4 Besonderheiten der Berechtigungen im Personalwesen

283

8.4.1 HR-Berechtigungs-Workbench

284

8.4.2 Zu umfangreiche Berechtigungen beim HR-Reporting verhindern

288

8.5 Besonderheiten der Berechtigungen in SAP CRM

290

8.5.1 Berechtigungen für externe Services

290

8.5.2 Dem Benutzermenü externe Services hinzufügen

294

8.5.3 CRM-Rollenkonzept im Zusammenhang mit externen Services

296

8.6 Zusammenfassung

299

9 Benutzer und Berechtigungen in SAP HANA und SAP S/4HANA

301

9.1 Berechtigungen auf Applikations- und Datenbankebene

301

9.2 Benutzer und Berechtigungen in der SAP-HANA-Datenbank

306

9.2.1 Berechtigungen in der SAP-HANA-Datenbank

307

9.2.2 Benutzerverwaltung für die SAP-HANA-Datenbank

311

9.3 Szenarien zur Erstellung eines SAP-S/4HANA-Berechtigungskonzepts

316

9.4 Benutzer und Berechtigungen in SAP S/4HANA

320

9.4.1 Berechtigungskonzept für SAP Fiori

321

9.4.2 Werkzeuge für die Berechtigungspflege in SAP S/4HANA

326

9.4.3 Richtlinien für die Implementierung der neuen Berechtigungsfunktionen in SAP S/4HANA

331

9.4.4 Berechtigungen für CDS-Views

334

9.4.5 Benutzerverwaltung in SAP S/4HANA

338

9.4.6 Behandlung von Berechtigungsfehlern in SAP S/4HANA

340

9.5 Zusammenfassung

345

10 Kundeneigene Berechtigungen

347

10.1 Berechtigungsverwaltung in kundeneigenen Programmen

347

10.2 Sicherer Aufruf kundeneigener Reports

349

10.3 Berechtigungsobjekte pflegen

350

10.3.1 Kundeneigene Berechtigungsobjekte erstellen

351

10.3.2 Berechtigungsobjekte einfacher pflegen

353

10.4 Kundeneigene Customizing-Tabellen in den SAP-Einführungsleitfaden einbinden

355

10.5 Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen

359

10.6 Berechtigungsprüfungen im Debugger analysieren

363

10.7 Berechtigunsprüfungen für Finanzwesen und Controlling erweitern

365

10.7.1 Profit-Center-Berechtigungen in FI aktivieren

366

10.7.2 Berechtigungsprüfungen für Belege in FI erweitern

368

10.7.3 Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten

373

10.8 Zusammenfassung

377

11 Auswertungen von Berechtigungen und Benutzerstammsätzen

379

11.1 Auswertung von Benutzerdaten

379

11.1.1 Neue Funktionen in Report RSUSR002

379

11.1.2 Nach Benutzer- und Passwortsperren suchen

381

11.2 Ausführbare Anwendungen und Transaktionen ermitteln

383

11.2.1 Ausführbare Transaktionscodes

383

11.2.2 Startbare Anwendungen

385

11.3 Lizenzdaten über die Zentrale Benutzerverwaltung auswerten

389

11.4 Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen

391

11.5 Berechtigungen mit SAP Query analysieren

397

11.6 Audits mit dem Audit Information System durchführen

399

11.6.1 Audit Information System Cockpit nutzen

400

11.6.2 Generische Auditauswertung

404

11.6.3 Auditprotokolle reorganisieren

406

11.7 Einstellungen zur Systemänderbarkeit einsehen

407

11.8 Zusammenfassung

409

12 Systemsicherheit

411

12.1 Mit Standardbenutzern und deren Initialpasswörtern umgehen

411

12.2 Absichern des Applikationsservers

415

12.2.1 RFC-Gateway und Message Server absichern

415

12.2.2 Sicherer Umgang mit Passwörtern

419

12.2.3 EMails verschlüsseln

423

12.2.4 Inhalte des Profils SAP_ALL anpassen

428

12.2.5 Sicheren Speicher richtig verwenden

430

12.2.6 RFC-Callbacks absichern

432

12.3 Tabellenprotokollierung

434

12.3.1 Konfiguration der generischen Tabellenprotokollierung

434

12.3.2 Auswertung der Tabellenänderungsbelege

437

12.4 Security Audit Log

439

12.4.1 Security Audit Log für Systeme ab SAP-Basisrelease 7.50 konfigurieren

439

12.4.2 Security Audit Log für Systeme bis SAP-Basisrelease 7.50 konfigurieren

446

12.5 Funktionen des SAP Solution Managers einsetzen

452

12.5.1 Security Services des SAP-Supports nutzen

453

12.5.2 Konfigurationsvalidierung einsetzen

457

12.5.3 Sicherheitshinweise mithilfe der Systemempfehlungen einspielen

459

12.6 SAP Code Vulnerability Analyzer verwenden

464

12.7 Zusammenfassung

467

Anhang

469

A Tabellen der SAP-Berechtigungsverwaltung

471

B SAP-Hinweise

475

C Die Autoren

483