Show TOC Anfang des Inhaltsbereichs

Hintergrunddokumentation Sicherheit im Systemverbund  Dokument im Navigationsbaum lokalisieren

Das Entwicklungssystem

Bei der Erstinstallation des Entwicklungssystems umfasst der Kreis der Benutzer hauptsächlich die Mitglieder des Projektteams, darunter Entwickler und Systemverwalter. Die meisten Benutzer eines neu installierten SAP-Systems haben zu Beginn das Berechtigungsprofil SAP_ALL in ihrem Benutzerstammsatz eingetragen, mit dem alle Aufgaben im System ausgeführt werden können. Mit dem Fortschreiten des Projekts wird es jedoch immer notwendiger, die Benutzerzugriffe einzuschränken. Generell haben die Benutzer des Entwicklungssystems weitergehende Zugriffsrechte als die Benutzer des Qualitätssicherungs- oder Produktivsystems.

In dieser Phase sollte sich der Berechtigungsverwalter mit dem SAP-Berechtigungskonzept vertraut machen. Wir empfehlen, SAP_ALL als Vorlage zu nehmen und zuerst die Rolle bzw. das Profil <Unternehmen>_ALL ohne die Superuser-Berechtigungen zu definieren. Gehen Sie dazu folgendermaßen vor:

...

       1.      Legen Sie über Werkzeuge ® Administration ®  Benutzerpflege ® Rollen eine Rolle an.

       2.      Tragen Sie keine Transaktionen ein, sondern wählen Sie die Registerkarte Berechtigungen und anschließend Berechtigungsdaten ändern.

       3.      Übernehmen Sie keine Vorlagen, sondern wählen Sie Bearbeiten  ® Einfügen Berecht. ® Gesamtberechtigung.

       4.      Expandieren Sie die Objektklasse Basis-Administration.

Dort finden Sie die Berechtigungen, die normalerweise als kritisch angesehen werden.

       5.      Deaktivieren Sie alle, die mit Benutzerstammpflege beginnen oder S_USER_* im Objektnamen haben, und weitere, die Sie als kritisch empfinden.

       6.      Generieren Sie mit dem Werkzeug der Rollenverwaltung ein neues Profil, und sichern Sie es unter einem neuen Namen.

In der Benutzerpflege ordnen Sie die soeben erstellte Rolle den entsprechenden Benutzern zu. Weitere Einzelheiten finden Sie unter Rollen zuordnen.

Durch diese Kontrolle wird die Integrität und Stabilität des Systems gewährleistet.

Die Dokumentation zu den Berechtigungsobjekten der Basis finden Sie in der Transaktion AUTH_DISPLAY_OBJECTS. In der Objektklasse Basis - Administration sind die Berechtigungsobjekte S_USER_* verzeichnet. Positionieren Sie den Cursor auf ein Berechtigungsobjekt, und wählen Sie die Drucktaste Information.

Hinweis

Weitere Informationen zu den Berechtigungen des Basis-Systems und der SAP-Arbeitsgebiete finden Sie unter Werkzeuge ® AcceleratedSAP ® Customizing ® Projektbearbeitung  ®  Drucktaste SAP Refer.-IMG anz. Suchen Sie dann nach den Einträgen Benutzer oder Berechtigung, um die Abschnitte über Berechtigungen aufzurufen.

Der Berechtigungsverwalter erstellt im Entwicklungssystem die Rollen für die Endbenutzer. Diese Rollen werden zum abschließenden Test in das Qualitätssicherungssystem transportiert, bevor sie in das Produktivsystem übertragen werden. Die Benutzerstammsätze werden in der Regel im Produktivsystem kurz vor dem Produktivwerden angelegt. Zusammen mit den transportierten Berechtigungsdaten werden die Rollen je nach Bedarf den Endbenutzern im Produktivsystem zugeordnet.

Der Berechtigungsverwalter muss wissen, welche Mandanten in den Kundensystemen angelegt werden sollen. Beim Anlegen neuer Mandanten werden Rollen nicht automatisch mitkopiert. Da Benutzer, Rollen, Berechtigungsprofile und Berechtigungen mandantenabhängig sind, muss der Verwalter der Mandantenkopien auch wissen, welche Benutzerstammsätze kopiert werden müssen.

Das Qualitätssicherungssystem

Wenn das Qualitätssicherungssystem aufgebaut ist, kann der Berechtigungsverwalter damit beginnen, die Rollen vom Entwicklungssystem in das Qualitätssicherungssystem zu transportieren.

Beispielsweise kann ein Mitglied des FI-Projektteams mit einer Musterbenutzerkennung für die Kreditorenbuchhaltung überprüfen:

      ob der Benutzer Zugriff auf die Transaktionen hat, die von den ihm zugeordneten Rollen abgedeckt sind

      ob diese Transaktionen der vom Unternehmen definierten Rolle für die Kreditorenbuchhaltung entsprechen

      ob die Musterbenutzerkennung unerlaubte Zugriffsberechtigungen für bestimmte Transaktionen hat

Um die Berechtigungen der Anwender zu testen, können sich die Endbenutzer in einer Testumgebung anmelden und den Produktivbetrieb simulieren.

Ein Schulungsmandant wird in der Regel im Qualitätssicherungssystem angelegt, da dieses System die neueste Konfiguration enthält. Für größere Installationen gibt es ein separates Schulungssystem.

Das Produktivsystem

Nachdem die Rollen und Berechtigungsprofile im Qualitätssicherungssystem vollständig getestet wurden und die Zustimmung der Endbenutzer bzw. des Projektteams vorliegt, können die Rollen in das Produktivsystem transportiert werden. Jetzt können die eigentlichen Benutzerkennungen angelegt werden.

In einem produktiven SAP-System sollten Sie niemals Änderungen vornehmen. Daher dürfen Sie auch die folgenden Berechtigungen nicht an Benutzer in einem Produktivsystem vergeben:

      Berechtigungen für die ABAP Workbench (Berechtigungsobjekte ABAP Workbench (S_DEVELOP) und Transport Organizer (S_TRANSPRT))

      Berechtigungen zum Ausführen von Betriebssystembefehlen im SAP-System (Transaktion SM52) (Wert UNIX des Berechtigungsobjekts Systemberechtigungen (S_ADMI_FCD))

      Berechtigungen zum Ausschalten von Berechtigungsprüfungen (Transaktion AUTH_SWITCH_OBJECTS) mit dem Berechtigungsobjekt S_USER_OBJ.

Ende des Inhaltsbereichs