Sicherheit im Systemverbund 

Das Entwicklungssystem

Bei der Erstinstallation des Entwicklungssystems umfaßt der Kreis der R/3-Benutzer hauptsächlich die Mitglieder des Projektteams, darunter Entwickler und Systemverwalter. Die meisten Benutzer eines neu installierten SAP-Systems haben zu Beginn das Berechtigungsprofil SAP_ALL in ihrem Benutzerstammsatz eingetragen, mit dem alle R/3-Aufgaben ausgeführt werden können. Mit dem Fortschreiten des R/3-Projekts wird es jedoch immer notwendiger, die Benutzerzugriffe einzuschränken. Generell haben die Benutzer des Entwicklungssystems weitergehende Zugriffsrechte als die Benutzer des Qualitätssicherungs- oder Produktivsystems.

In dieser Phase sollte sich der Berechtigungsverwalter mit dem SAP-Berechtigungskonzept vertraut machen. Es wird empfohlen, SAP_ALL als Vorlage zu nehmen und zuerst die Rolle bzw. das Profil <Unternehmen>_ALL ohne die Superuser-Berechtigungen zu definieren. Gehen Sie dazu folgendermaßen vor:

  1. Legen Sie über Werkzeuge ® Administration ® Benutzerpflege ® Rollen eine Rolle an.
  2. Tragen Sie keine Transaktionen ein, sondern wählen Sie das Register Berechtigungen und anschließend Berechtigungsdaten ändern.
  3. Übernehmen Sie keine Vorlagen, sondern wählen Sie den Menüpunkt Bearbeiten ® Einfügen Berecht. ® Gesamtberechtigung.
  4. Expandieren Sie die Objektklasse Basis-Administration.
    Dort finden Sie die Berechtigungen, die normalerweise als kritisch angesehen werden.
  5. Deaktivieren Sie alle, die mit Benutzerstammpflege beginnen oder S_USER_* im Objektnamen haben, und weitere, die Sie als kritisch empfinden.
  6. Generieren Sie mit dem Profilgenerator ein neues Profil, und sichern Sie es unter einem neuen Namen (siehe Vordefinierte Profile: Namenskonvention).

In der Benutzerpflege ordnen Sie die soeben erstellte Rolle den entsprechenden Benutzern zu. Weitere Einzelheiten finden Sie unter Rollen zuordnen.

Durch diese Kontrolle wird die Integrität und Stabilität des Systems gewährleistet.

Die Dokumentation zu den Berechtigungsobjekten der Basis finden Sie in der Transaktion AUTH_OBJECTS_DISPLAY. In der Objektklasse Basis - Administration sind die Berechtigungsobjekte S_USER_* verzeichnet. Positionieren Sie den Cursor auf ein Berechtigungsobjekt und wählen Sie Drucktaste Information..

Wenn Sie weitere Informationen zu den Berechtigungen des Basis-Systems und der SAP-Arbeitsgebiete suchen, finden Sie sie unter Werkzeuge ® AcceleratedSAP ® Customizing ® Projektbearbeitung und dort die Drucktaste SAP Refer.-IMG anz. Suchen Sie dann nach den Einträgen Benutzer oder Berechtigung, um die Abschnitte über Berechtigungen aufzurufen.

Im Umfang der Auslieferung enthalten sind u.a. folgende Standardrollen:

Basis: Berechtigungsdatenverwalter
Basis: Berechtigungsprofilverwalter
Basis: Benutzerverwalter
Basis: Systemadministrator
Basis: Batch-Administrator
Basis: Datenbank-Administrator
Basis: Customizing Project Member
Basis : ABAP Entwickler
Basis: Unkritische Basisberechtigungen für alle Benutzer

Der Berechtigungsverwalter erstellt im Entwicklungssystem Profile und Berechtigungen für Endbenutzer. Diese Berechtigungen und Profile werden zum abschließenden Test in das Qualitätssicherungssystem transportiert, bevor sie in das Produktivsystem übertragen werden. Die Benutzerstammsätze werden in der Regel im Produktivsystem kurz vor dem Produktivwerden angelegt. Zusammen mit den transportierten Berechtigungsdaten werden die Rollen je nach Bedarf den Endbenutzern im Produktivsystem zugeordnet.

Der Berechtigungsverwalter muß wissen, welche Mandanten in den Kundensystemen angelegt werden sollen. Beim Anlegen neuer Mandanten werden Rollen nicht automatisch mitkopiert. Da Benutzer, Rollen, Berechtigungsprofile und Berechtigungen mandantenabhängig sind, muß der Verwalter der Mandantenkopien auch wissen, welche Benutzerstammsätze kopiert werden müssen.

Werden Änderungen des SAP-Standards vorgenommen und Eigenentwicklungen produziert, sind auch hier einige Fragen zu klären:

etc.

Informationen zur Vorgehensweise bei Neuentwicklungen und Änderungen des SAP-Standards finden Sie unter Änderungen des SAP-Standards (BC).

Neuer kundeneigener Programmcode sollte im ABAP Editor (SE38) auf dem Bild Programmattribute des ABAP-Editors einer Berechtigungsgruppe zugeordnet werden. Um Benutzern eine Berechtigungsgruppe für Programme zuzuordnen, verwenden Sie das Berechtigungsobjekt ABAP Development Workbench (S_DEVELOP).

Das Qualitätssicherungssystem

Wenn das Qualitätssicherungssystem aufgebaut ist, kann der Berechtigungsverwalter damit beginnen, die Rollen vom Entwicklungssystem in das Qualitätssicherungssystem zu transportieren.

Beispielsweise kann ein Mitglied des FI-Projektteams mit einer Musterbenutzerkennung für die Kreditorenbuchhaltung überprüfen:

Um die Berechtigungen der Anwender zu testen, können sich die Endbenutzer in einer Testumgebung anmelden und den Produktivbetrieb simulieren.

Ein Schulungsmandant wird in der Regel im Qualitätssicherungssystem angelegt, da dieses System die neueste Konfiguration enthält. Für größere Installationen gibt es ein separates Schulungssystem. In beiden Fällen sollte sich der Berechtigungsverwalter mit den für die Schulung verantwortlichen Projektteammitgliedern in Verbindung setzen, um sich mit dem Anlegen von Benutzerkennungen und Rollen vertraut zu machen.

Das Produktivsystem

Nachdem die Rollen und Berechtigungsprofile im Qualitätssicherungssystem vollständig getestet wurden und die Zustimmung der Endbenutzer bzw. des Projektteams vorliegt, können die Rollen in das Produktivsystem transportiert werden. Jetzt können die eigentlichen Benutzerkennungen angelegt werden. Dafür wird an alle Abteilungen ein Formular verteilt. Wenn alle für die Erstellung der Benutzerkennungen wichtigen Informationen eingetragen wurden, wird es von allen relevanten Personen unterzeichnet.

In einem produktiven SAP-System sollten Sie niemals Änderungen vornehmen. Daher dürfen Sie auch die folgenden Berechtigungen nicht an Benutzer in einem Produktivsystem vergeben: