Eine Aufgabe, die immer wieder anfällt, ist die Auswertung über SAP Rollen. In diesem Blogbeitrag wird gezeigt, wie Sie SAP Rollen mit gelben Objekten finden.

Warum gibt es gelbe Objekte?

Ein Objekt wird in der Transaktion PFCG dann gelb angezeigt, wenn der Berechtigungswert leer ist. Diese Objekte anhand der PFCG ausfindig zu machen bedeutet, viel überflüssige Arbeit zu leisten.

Vorgehensweise

Ein Blick in die Tabelle AGR_1251 bringt den Erfolg. Hier können die Ausprägungen der Objekte pro Rolle angezeigt werden.

Transaktion SE16 aufrufen und Tabelle AGR_1251 öffnen.

Die inaktiven Objekte werden erst dann nicht angezeigt, wenn im Feld DELETED in der Mehrfachselektion Einzelwerte ausschließen ein X steht.

Nach dem Ausführen werden nur die aktiven Objekte angezeigt. Wir möchten uns aber zusätzlich nur diejenigen Einträge anzeigen lassen, die im Feld LOW leer sind. Deshalb gehen wir ein Schritt zurück zum Selektionsbild und passen die Selektionsoptionen an, indem wir in der Mehrfachselektion Einzelwerte selektieren den Einzelwert mit der Option = wählen und das Wertefeld leer lassen.

So sieht schließlich das Selektionsbild aus:

Konnten Sie diesen Trick zu SAP Rollen hilfreich einsetzen? Ich freue mich auf Ihre Kommentare.

The post SAP Rollen mit gelben Objekten finden appeared first on rz10.de - die SAP Basis und Security Experten.

Ein kurzes Update zum Status der Marktvergleichsstudie zu 3rd Party SAP Berechtigungstools.

Auswertung der Daten

Die Datengewinnungs-Phase wurde am 31.07.2015 beendet. Es haben insgesamt 285 Teilnehmer an der Studie teilgenommen. Nur 63 Fragebögen sind ungültig oder nicht korrekt ausgefüllt worden.

Es wurden die unterschiedlichsten Tools bewertet:

Die Auswertung der Fragebögen startet ab sofort. Mit einem Ergebnis kann Anfang Q4 gerechnet werden.
Sollten Sie noch nicht an unserer Umfrage teilgenommen haben können Sie sich die Ergebnisse der Marktstudie trotzdem jetzt schon reservieren:
studie-sap-berechtigungs-tools.de

Wir stellen die Ergebnisse auf einem Presseevent Mitte Q4 vor. Hier laden wir Sie und auch ca. 8 Toolhersteller und 3 namhafte Teilnehmer herzlich ein.
In einer Podiumsdiskussion stellen wir den Toolherstellern kritischen Fragen und anschließend haben Sie die Möglichkeit, selbst Fragen zu stellen.
Weitere Informationen folgen in Kürze.

Ihre Meinung zu 3rd Party Tools

Sind Sie zufrieden mit dem Einsatz Ihres 3rd Party Tools? Lassen Sie es mich in den Kommentaren wissen.

The post Update – Marktstudie: 3rd Party Tools zur Überprüfung von Berechtigungen innerhalb von SAP appeared first on rz10.de - die SAP Basis und Security Experten.

Um die Performanz und die Übersichtlichkeit Ihrer Systeme zu verbessern, erkläre ich Ihnen in dem folgenden Tutorial, wie Sie abgelaufene Rollenzuordnungen löschen können.

Abgelaufene Rollenzuordnungen mit einem Report löschen

Die SAP hat uns mit dem Report  PRGN_COMPRESS_TIMES einen einfachen Report zur Verfügung gestellt, welcher genau dieses Aufgabe erfüllt. Zusätzlich entfernt der Report Mehrfachzuweisungen eines Benutzers zu der gleichen Rolle.  Der Report kann aus der Transaktion SA38 oder SE38 gestartet werden.

Nachdem Sie den Report ausgeführt haben gelangen Sie zur Eingabemaske in welcher Sie die Benutzer, Benutzergruppen und Rollen eingrenzen können. Hier können Sie auch die Einstellung zur Löschung abgelaufener Zuordnungen vornehmen.

Es empfiehlt sich, zunächst einen Simulationslauf durchzuführen. Dies führt sie zu einer Übersicht, welche die zu löschenden Rollenzuordnungen anzeigt.

Nachdem Sie nun die Möglichkeit hatten, die zu löschenden Rollenzuordnungen zu überprüfen und evtl. Anpassungen vorgenommen haben, können Sie nun den Haken bei Simulationslauf entfernen.

Nach dem nicht simulierten Durchlauf erhalten Sie einen Report über das Ergebnis des Durchlaufes.

Ich hoffe ich konnte Ihnen die SAP Welt wieder einmal etwas verbessern und freue mich über Ihr Feedback zum Thema ‚Abgelaufene Rollenzuordnungen löschen‘.

The post Abgelaufene Rollenzuordnungen löschen appeared first on rz10.de - die SAP Basis und Security Experten.

Die 3. Phase zur Erstellung der Marktstudie zum Thema 3rd Party Tools wurde jetzt abgeschlossen (Ursprünglicher Blogpost, Update 1).

In der 3. Phase ging es um die Auswertung der gesammelten Daten und die Erstellung der Marktstudie. Es wurden 288 Teilnehmer ausgewertet, Aussagen kategorisiert und Statistiken erstellt.

Das Ergebnis kann sich sehen lassen. Auf über 150 Seiten werden Fragen zu folgenden Themen ausgewertet:

• Analyse kritischer Berechtigungen/Zugriffsrechte
• Regelbasis
• Lifecycle- & Workflow-Funktionen
• Role-Modeling-Funktionen
• Integration von SAP und Nicht-SAP-Anwendungen
• Zertifizierung und Bescheinigungs Funktionen
• Privilege-Management-Funktionen
• Systemsicherheits Funktionen

Beispielhafte Auswertungen

Ein Berechtigungskonzept kann nur mit der nötigen Disziplin dem Unternehmen einen Vorteil bringen. Es nützt keinem Unternehmen etwas, wenn nach der Einführung eines neuen Berechtigungskonzeptes trotzdem kritische Transaktionen (sei es nur durch Unwissenheit), wie z.B. die SE16 oder PFCG, vergeben werden. Diese Vergabe verwässert das Konzept und führt in häufigen Fällen zu einem baldigen Redesign. Diese Gefahr kann mit Hilfe von Tools stark reduziert werden.

Der manuelle Rollenbau ist Zeit- und somit kostspielig. Viele Unternehmen haben mit dem manuellen Rollenbau schlechte Erfahrungen gemacht und setzen aus diesem Grund ein 3rd Party Tool ein, das ihnen diese Aufgabe erleichtert.

Im Schnitt werden 9800€ pro Jahr für eingesetzte 3rd Party Tools ausgegeben. Nicht immer ist das teuerste SAP Berechtigungstool auch das Beste, denn viele Tools bieten zu viel Funktionalität, die im späteren produktiven Einsatz nicht verwendet wird.

Das Ergebnis wird, wie erwartet, Anfang Q4 zur Verfügung stehen. Sie können sich hier die Marktstudie zum Thema 3rd Party Tools reservieren:
http://studie-sap-berechtigungs-tools.de/

Kontaktieren Sie mich: Telefon 0175 1983262 oder per E-Mail funk@mindsquare.de Wünschen Sie schon jetzt Einsicht in die Ergebnisse? Melden Sie sich bei mir und ich werde Ihnen gerne eine Vorabversion zur Verfügung stellen. Lukas Funk Business Development Manager

The post Update 2 – Marktstudie: 3rd Party Tools zur Überprüfung von Berechtigungen innerhalb von SAP appeared first on rz10.de - die SAP Basis und Security Experten.

Mithilfe diesen Beitrags möchte ich Ihnen zeigen, wie Sie SAP Reports ohne Transaktionscode in ihrem SAP-System identifizieren können. Ein Grund für diese Suche kann das Entziehen der Berechtigungen zum Aufruf der Transaktionen SE38 und SA38 im Rahmen eines Berechtigungsprojekts sein. Dadurch können die Reports nur noch über die ihnen zugewiesenen Transaktionen aufgerufen werden. Deshalb möchten wir wissen, wie wir die Reports finden, die keinen Transaktionscode besitzen und somit ohne die Transaktion SE38 oder SA38 nicht mehr aufgerufen werden können.

Schritt für Schritt: Report finden und verwenden

Zunächst einmal rufen wir die Transaktion SE16 auf und lassen uns die Tabelle TRDIR anzeigen. In dieser Tabelle sind alle Reports und Transaktionen hinterlegt. Wir grenzen die Ergebnismenge ein und lassen uns die eigenentwickelten Reports anzeigen.

Die Ergebnisliste exportieren wir anschließend als Excel-Datei, um später einen Abgleich mit den Reports zu machen, die einen Transaktionscode zugewiesen haben und somit Reports ohne Transaktionscode finden.

Dazu rufen wir die Tabelle TSTC auf und lassen uns aus den soeben extrahierten Reports diejenigen anzeigen, die einen Transaktionscode zugewiesen haben, indem wir die Einträge aus der Excel-Datei in die Einzelwertselektion einfügen.

Wenn man sich nun die „Anzahl Einträge“ anzeigen lässt, erhält man folgendes:

Das bedeutet, dass (8879 Reports – 544 Reports mit Transaktionscode =) 8335 Reports ohne Transaktionscode vorhanden sind.

Nun macht es Sinn, diese Liste ebenfalls als Excel-Datei zu exportieren um anschließend die Einträge mit der Liste aller Reports zu vergleichen und Duplikate zu entfernen. Dann erhalten wir die Reports, die keinen Transaktionscode zugewiesen haben.

Wie bereits aufgrund der „Anzahl Einträge“ vermutet, gibt es 544 doppelte Werte. Das heißt, es gibt 544 Reports, die einen Transaktionscode zugewiesen bekommen haben. Für die restlichen Reports müssen, sofern diese genutzt werden und aufrufbar sein sollen, Transaktionen gepflegt werden.

Ihre Meinung zum Beitrag: Reports ohne Transaktionscode

War der Beitrag für Sie hilfreich? Ich freue mich auf Ihre Kommentare.

The post SAP Reports ohne Transaktionscode finden [Tutorial] appeared first on rz10.de - die SAP Basis und Security Experten.

In diesem Blogbeitrag sind die häufig verwendeten SAP-Standardtabellen der Benutzer- und Berechtigungsverwaltung übersichtlich zusammengefasst.

SAP-Standardtabellen für Benutzer- und Berechtigungsverwaltung.

Auch im Umfeld der Benutzer und Berechtigungen gibt es häufig verwendete SAP-Standardtabellen bzw. die Tabellen, auf denen die beiden Themenbereiche (technisch) aufgebaut sind. Die im Folgenden aufgeführten Tabellen sind beispielsweise elementare Grundlage für alle Auswertungen der Transaktion SUIM (Benutzerinformationssystem). Für uns Berechtigungsadministratoren sind diese Standardtabellen praktisch, um schnell und massenhaft Informationen über die bestehenden SAP Berechtigungen aus den verschiedenen Tabellen zu ziehen. So lassen sich einzelne Tabellen mit der Transaktion SE16 (sofern berechtigt!) oder mehrere Tabellen gleichzeitig mithilfe der Transaktion SQVI auswerten.

Tabellen als PDF herunterladen

Um sich einen ersten Überblick über die Standardtabellen zu verschaffen, lohnt sich ein Blick auf den Tabellennamen:

• Tabellen, die mit AGR beginnen, enthalten Daten über Rollen.
• Tabellen, die mit USH beginnen, enthalten Daten der Änderungsbelege (change document information).
• Tabellen, die mit USR beginnen, enthalten Daten über Benutzer (user master information).
• Tabellen, die mit UST beginnen, enthalten die Daten, die in der SUIM aufbereitet werden. Zu diesem Zweck synchronisieren sich UST*-Tabellen mit den USR*-Tabellen. Sie sind weniger präzise und dienen der SUIM als „voraufbereitete“ Datengrundlage.

SAP-Standardtabellen der Berechtigungsverwaltung

Die folgenden SAP-Standardtabellen sind elementar für die Verwaltung von Berechtigungen:

SAP-Standardtabellen der Benutzerverwaltung

Die folgenden SAP-Standardtabellen sind elementar für die Verwaltung von Benutzern:

SAP-Standardtabellen zur Steuerung der Benutzer- und Berechtigungsverwaltung

Die folgenden SAP-Standardtabellen sind im Gegensatz zu den zuvor genannten Standardtabellen keine Datentabellen, sondern Steuertabellen, welche zentral für die Benutzer- und Berechtigungsverwaltung stehen:

Standardtabellen der Benutzer- und Berechtigungsverwaltung als PDF herunterladen:

Ich hoffe sehr, dass dieser Blogbeitrag Ihnen geholfen hat, einen Überblick über die Standardtabellen der Benutzer- und Berechtigungsverwaltung zu erhalten. Wenn Sie noch weitere SAP-Standardtabellen aus den Bereichen Benutzerverwaltung und Berechtigungen kennen, die noch nicht oben aufgeführt sind, freue ich mich über Ihre Kommentare und Anregungen. Ich werde die oben stehende Übersicht dann gerne um Ihren Vorschlag erweitern.

The post Standardtabellen der Benutzer- und Berechtigungsverwaltung appeared first on rz10.de - die SAP Basis und Security Experten.

Ein Berichtigungsfeld wurde zur Orgebene erhoben und war bereits erfüllt. Nach dem Erheben muss das Berechtigungsfeld erneut befüllt werden. Dabei hilft der Report PFCG_ORGFIELD_ROLES. Dieser Report gleicht alle Rollen mit den Orgebenenfeldern bzw. mit den in den Orgebenenfeldern gepflegten Berechtigungsfelder ab.

 Alle kundeneigenen Orgebenen anzeigen

Als Tipp vorweg: Mithilfe des Reports PFCG_ORGLEVEL_DELETE können Sie sich eine Liste aller kundeneigenen Orgebenen anzeigen lassen. Hierfür führen Sie den Report in der SE38 aus und nutzen anschließend im Eingabefeld  „Orgebene“ die F4-Hilfe. Da nur kundeneigene Orgebenen gelöscht werden können, zeigt die F4-Hilfe auch nur kundeneigene Orgebenen an und keine Standardorgebenen.

Report PFCG_ORGFIELD_ROLES nutzen

Führen Sie den Report PFCG_ORGFIELD_ROLES in der SE38 aus. Es erscheint der Einstiegsbildschirm:

Im Eingabefeld „Berechtigungsfeld“ geben Sie nun das Berechtigungsfeld ein, welches Sie zur Orgebene erhoben haben, und führen den Report aus. Daraufhin erhalten Sie eine Liste mit allen Rollen, die das ausgewählte Berechtigungsfeld, das als Orgebene definiert ist, beinhalten.

Orgebenen in Rollen

Die Spalte „Status: Orgebene in Rolle“ gibt anhand von Ampel-Icons eine Information über den Status der Rolle. Folgende Zustände sind möglich:

• GRÜN = „Rolle ist konsistent zur Orgebene“.
• ROT = „Umsetzen erforderlich“ – Das Orgebenenfeld ist in der Rolle noch nicht umgesetzt.
• GELB = „Manuelle gepflegte Werte zur Orgebene“ – Weil die Orgebene andere Werte beinhaltet als die im Berechtigungsfeld angegebenen Werte, beinhaltet die Rolle manuell gepflegte Orgebenen.

Die Spalte „Status: Orgebenenwerte in Rolle“ zeigt anhand von Rot-, Gelb- und Grün-Icons den Zustand der Orgebene:

• GRÜN = „identische Feldwerte in Berechtigungen“ – Die Orgebene und der Berechtigungswert sind identisch.
• ROT = „$ORGEBENE ist in der Rolle ungepflegt“ – Die Orgebene beinhaltet keinen Wert.
• GELB = „ungleiche Feldwerte in Berechtigungen“ – Hierbei handelt es sich um manuell gepflegte Orgebenen, weil die Orgebene andere Werte enhält als die im Berechtigungsfeld eingetragenen Werte.

Mithilfe des Reports können nun alle manuell gepflegten Werte des Berechtigungsfeldes als Werte für die jeweilige Orgebene gesetzt werden. Hierfür gehen Sie die Rollen durch, bei denen eine rote Ampel angezeigt wird. Sie markieren die Rollen, in denen die Werte der Orgebenen nicht vollständig umgesetzt wurden, und klicken auf den Button „Orgebenenfeld in Rollen umsetzen“. Hinterher können Sie den Button „Transportaufzeichnung aktivieren“ klicken, um die Änderungen an den Rollen auch in einem Transportauftrag zu speichern.

Ich hoffe, ich konnte Ihnen mit meinem Blogbeitrag weiterhelfen und freue mich über Ihre Kommentare, Fragen und Anregungen gleich unterhalb dieses Blogs!

The post Gefüllte Berechtigungsfelder zu Orgebenen erheben appeared first on rz10.de - die SAP Basis und Security Experten.

Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen.

Wie funktioniert das SAP Berechtigungsvererbung?

Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalss Änderungen am Masterobjekt  direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfacherere Wartung ermöglicht und die Fehlerquote drastisch minimiert.
Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen.

Vererbung für SAP Berechtigungen anlegen

Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen.

Schritt 1: Masterrolle anlegen

Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button „Einzelrolle“ legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle „findepartment_r“.

Anlegen der Masterrolle

Pflegen Sie nun die Berechtigungen, die für alle betroffenen Mitarbeiter gleich sind. In dem gezeigten Beispiel ordne ich der Rolle „findepartment_r“ exemplarisch die Berechtigung zur Transaktion „F-02″(Sachkontenbuchung erfassen) zu. Möchten Sie jetzt die Berechtigungsdaten ändern, werden Sie nach Werten für die entsprechenden Organisationsebenen gefragt. Tragen Sie zunächst eine Tilde (~) ein und definieren Sie den Wert erst später in den abgeleiteten Rollen. Pflegen Sie die Berechtigungen, wie von Ihnen gewünscht, und generieren Sie abschließend die Masterrolle.

Einpflegen der Organisationsebene in die Masterrolle

Schritt 2: Abgeleitete Rollen definieren

Anlegen von abgeleiteten Rollen

Zuordnung der Masterrolle

Nachdem Sie nun die Masterrolle angelegt haben, stehen die abgeleiteten Rollen an der Reihe. Geben Sie dafür wieder über die PFCG eine passende Rollenbezeichnung ein. In unserem Beispiel bezeichne ist diese als „findepartment_d01″. Für eine bessere Übersicht bietet es sich in der Regel an die Ableitungen nach den Masterrollen zu benennen und zu nummerieren. Sie können die Rollen aber auch selbstverständlich nach einem anderen Schema bezeichnen. Nachdem Sie die Rolle erstellt haben, müssen Sie anschließend im Tab Beschreibung die Masterrolle im Feld Ableiten aus Rolle eintragen. Bestätigen Sie daraufhin die automatischen Nachfragen.

Anpassen der Organisationsebenen

Wechseln Sie nun in den Reiter „Menü“. Dort sehen Sie, dass die Daten aus der Masterrolle automatisch übernommen wurden. Da die Rolle noch nicht generiert wurde, ist der Reiter „Berechtigungen“ aktuell rot gekennzeichnet. Rufen Sie deshalb „Berechtigunsdaten ändern“ auf. Beim ersten Aufruf sollte automatisch ein Dialogfenster zum Pflegen der Organisationsebenen auftauchen, da diese bisher noch leer sind. Ist dies nicht der Fall oder möchten Sie zu einem späteren Fall die Organisationsebenen nochmals anpassen, können Sie diese auch über den Button Orgebenen… (siehe Screenshot) aufrufen.

Hat alles reibungslos funktioniert, können Sie jetzt sehen, dass die Berechtigungen ebenfalls automatisch aus der Masterrolle übernommen wurden. Wenn Sie nun die Rolle generieren, wird der Berechtigungsreiter ebenfalls grün erscheinen. Herzlichen Glückwunsch, Sie haben erfolgreich eine abgeleitete Rolle erstellt!

Wiederholen Sie diesen Schritt 2 mit den weiteren Ableitungen, um die Organisationsebenen entsprechend anzupassen.

Vererbungshierarchie aufrufen

Vererbungshierarchie mit Masterrolle und zugeordneten Rollen

Haben Sie mehrere abgeleitete Rollen erstellt, dann kann eine einfache Übersicht über alle „verwandten“ Rollen praktisch sein. Rufen Sie dazu eine beliebige abgeleitete oder auch die Masterrolle auf und klicken Sie dann anschließend auf den Button „Vererbungshierarchie“. Sie erhalten nun eine genaue Übersicht darüber, welche Rollen welcher Masterrolle zugeordnet sind.

The post So vererben Sie SAP Berechtigungen mit verschiedenen Organisationsebenen appeared first on rz10.de - die SAP Basis und Security Experten.

Im Sommer 2015 haben wir von RZ10 eine erste umfassende Marktstudie zu Tools für Berechtigungen in SAP veröffentlicht, die einen Überblick über den Funktionsumfang und die Leistungsstärke der verschiedenen Tools gab. Die Studie erfreute sich großer Beliebtheit und die Ergebnisse erwiesen sich für viele Unternehmen als hilfreich. Jetzt arbeiten wir an einer Neuauflage der Studie, die die Weiterentwicklung bewährter Tools und neue Software berücksichtigt.

Im Rahmen meiner Bachelorarbeit in Zusammenarbeit mit einer deutschen Universität werde ich die Marktstudie zu SAP Berechtigungstools neu auflegen. Welche Tools im SAP Berechtigungsumfeld sind bei Unternehmen besonders beliebt und welche Funktionalitäten werden genutzt? Die Studie wird hier einen Einblick geben.

Ein besonderer Fokus wird auf der Frage liegen, wie stark und unter welchen Umständen sich der Einsatz eines Tools im Sinne einer spürbaren Aufwandsersparnis für die Unternehmen lohnt.

Wir möchten Sie herzlich einladen, an unserer Befragung für die Studie teilzunehmen! Durch Ihre Antworten können Sie entscheidend dazu beitragen, dass unsere Marktstudie auf einem umfassenden Einblick basiert. Jede Antwort trägt zu genaueren Ergebnissen bei.

Als Dankeschön für Ihre Teilnahme stellen wir Ihnen nach Abschluss der Auswertung unsere aufbereiteten Ergebnisse bereit. Zusätzlich können Sie an einem Event teilnehmen, bei dem wir die Ergebnisse präsentieren und ausführlich diskutieren können.

Hier können Sie an der Befragung teilnehmen oder die Ergebnisse reservieren: https://rz10.de/marktstudie-sap-berechtigungs-tools/

Die Teilnahme dauert nur etwa 5-10 Minuten. Natürlich werden Ihre Antworten nur in anonymisierter Form in die Marktstudie einfließen.

Danke für Ihre Unterstützung!

Haben Sie Fragen oder Anmerkungen? Zögern Sie nicht und fragen Sie mich persönlich. Sie erreichen mich per E-Mail an krueger@mindsquare.de
Gerne können Sie mir im Kommentarbereich auch einen Kommentar hinterlassen.

The post Neuauflage: Marktstudie SAP Berechtigungstools appeared first on rz10.de - die SAP Basis und Security Experten.

Das SAP Identity Management System (IdM) ermöglicht eine zentrale Benutzer- und Berechtigungsverwaltung in einer heterogenen Systemlandschaft. Durch die Verwendung eines IdM-Systems können manuelle Prozesse durch automatisierte Workflows ersetzt werden, die zentral abgebildet und administriert werden.

Beispielhafte Szenarien:

1. Benutzer- und Berechtigungsverwaltung
2. ESS/MSS zur Verwaltung von Personaldaten
3. Audit und Monitoring zur Überprüfbarkeit auf die Einhaltung gesetzlicher Vorschriften

Was ist jedoch zu beachten, wenn sie ein Identity Management System einführen möchten? In diesem Beitrag möchte ich auf grundlegende Punkte eingehen, die vor der Einführung geklärt sein müssen.

Aufgaben und Systeme definieren

Vor Projektbeginn muss geklärt sein, welche Systeme an das IdM angebunden werden und welche Dienste das System erbringen soll. Dies erfordert eine enge Zusammenarbeit zwischen der Fachabteilung und der IT, da spätere Anpassungen oder zusätzliche Systeme die Einführung verlängern und das Budget übersteigen.

Vorhandene Daten analysieren

Zur erfolgreichen Einführung eines Identity Management Systems ist eine hohe Qualität der Daten unverzichtbar. Die Stammdaten der Benutzer müssen überprüft, aktualisiert oder auch nachgepflegt werden. Eine Automatisierung mit lückenhaften oder gar falschen Daten ist ansonsten nicht denkbar.

Berechtigungskonzept überdenken

Mit der Einführung eines Identity Management Systems und eines Workflows zur Berechtigungsvergabe sollten die vorhandenen Rollen noch einmal genau unter die Lupe genommen werden. Sie sollten sich fragen, ob der Anwender weiß, welche Rolle er aus dem vorliegenden Katalog auswählt und ob diese ausreichend für seine Aufgabe ist.

Rollen-Owner festlegen

Nicht nur der Anwender muss wissen, welche Rolle er auswählt. Es muss auch einen Verantwortlichen für die Rolle geben, der die Rolle bei Bedarf anpasst bzw. anpassen lässt oder bei Bedarf als Ansprechpartner fungiert.

Verwenden Sie bereits ein Identity Management System oder stehen Sie vor der Einführung? Lassen Sie mir gerne Ihre Erfahrungen oder Fragen in Form eines Kommentars unter dem Artikel zukommen.

The post Identity Management System: Tipps zur Einführung appeared first on rz10.de - die SAP Basis und Security Experten.

Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag.

Altlasten des SAP Systems

Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann.

Tabellenabzug USR02

Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH.

Risiken durch schwache Passwort-Hashes

Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich.

Prüfen Sie, ob auch Ihr System angreifbar ist

Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt.

Profilparameter login/password_downwards_compatibility

Der Standardwert des Profilparameters ist 1, sodass die schwachen Hashes für jeden Benutzer generiert werden.

Erzeugung schwacher Passwort-Hashes verhindern

Die Generierung der unsicheren Hashwerte kann unterbunden werden, indem der Profilparameter login/password_downwards_compatibility auf den Wert 0 gesetzt wird.
Beachten Sie, dass eine Änderung erst durch einen Neustart der Instanz wirksam wird!

Schwache Passwort-Hashes aus dem System entfernen

Lediglich den Profilparameter zu aktualisieren bringt Ihnen noch nicht die nötige Sicherheit. In Ihrer Datenbank befinden sich immer noch zahlreiche schwache Hashwerte, die zum Angriff auf Ihr System verwendet werden können. Diese müssen vollständig aus der Datenbank entfernt werden. Dazu verwenden Sie den Report CLEANUP_PASSWORD_HASH_VALUES.

Rufen Sie dazu die Transaktion SA38 auf und geben den Namen des Reports in das Eingabefeld ein. Durch den Ausführen-Button oder F8 wird das Programm ausgeführt und Ihre Datenbank bereinigt

Report CLEANUP_PASSWORD_HASH_VALUES

Dieses Programm entfernt Mandanten-übergreifend die veralteten Hashwerte.

Haben Sie bereits Erfahrungen mit dieser Angriffsmethode gemacht oder weitere Anmerkungen zu diesem Thema? Teilen Sie uns Ihre Erfahrungen in Form eines Kommentars unter diesem Artikel mit.

The post SAP Passwort in weniger als 24 Stunden entschlüsseln appeared first on rz10.de - die SAP Basis und Security Experten.

Damit Fiori Applikationen den aufrufenden Usern entsprechend angezeigt werden, müssen entsprechende Fiori Berechtigungen in der PFCG gepflegt werden. Hierbei gibt es einige Punkte zu beachten. In diesem Artikel wird auf die notwendigen Berechtigungen zum Starten einer Fiori Applikation eingegangen. Zusätzlich wird kurz erklärt, wie die angezeigten Kacheln im Fiori-Launchpad über Rollen konfiguriert werden können.

Zum Ausführen von Fiori Applikationen aus dem Launchpad und der in den OData-Services definierten Berechtigungsabfragen müssen auch die entsprechenden Fiori Berechtigungsobjekte in der PFCG gepflegt werden. Hier sind die Startberechtigungen für den OData-Service der Applikation im Backend-System sowie Berechtigungsobjekte für die Geschäftslogik der in der Applikation genutzten OData-Services relevant.

Generell ist wichtig zu wissen, dass bei einer richtigen Implementierung von Fiori Berechtigungen sowohl Berechtigungen im Frontend-Server (Aufruf Launchpad, Starten der Kachel, usw.), als auch entsprechende Berechtigungen im Backend-Server (Aufrufen der OData-Services aus dem Backend) gepflegt werden müssen. Dies wird in diesem Artikel noch genauer erläutert.

Um benutzerspezifische Kacheln basierend auf Katalogen und Gruppen beim Starten des Launchpads anzuzeigen, werden Berechtigungen in dem Menü der zugrunde liegenden Rolle abgelegt. Dadurch kann sichergestellt werden, dass jeder Benutzer auf dem Launchpad nur seine benötigten Applikationen sehen und öffnen darf.

Berechtigungen zum Öffnen des Launchpads

SAP liefert zum initialen Öffnen des Fiori Launchpads Standardrollen mit. Dabei wird zwischen den Fiori Berechtigungen zum normalen Starten des Launchpads sowie zum Administrieren der Benutzeroberfläche unterschieden. Die Standardberechtigung zum Öffnen und Nutzen eines Launchpads ist die  SAP_UI2_USER_700. Die Rolle für die Administration lautet  SAP_UI2_ADMIN_700. In der Administrationsoberfläche kann das Launchpad angepasst werden, deshalb sollte diese Berechtigung auch nur an wenige Nutzer zur Administration freigegeben werden.

Rollen basierend auf Katalogen und Gruppen

SAP empfiehlt ein Rollendesign für Fiori Berechtigungen basierend auf den definierten Katalogen und Gruppen im Launchpad. In einem solchen Katalog steht üblicherweise ein Set von Apps und Services welches für eine spezifische Benutzergruppe relevant ist. Wenn eine Rolle für einen oder mehrere Kataloge im Launchpad berechtigt wurde, werden beim Starten des Launchpads die entsprechenden Kataloge und Gruppen im App-Finder nur für die berechtigten User angezeigt. So kann sichergestellt werden, dass jeder Anwender nur das sieht womit er im Endeffekt auch arbeitet.

Wichtig: Diese Fiori Berechtigungen werden auf dem Frontend-Server gepflegt!

Katalogberechtigungen in der PFCG pflegen

Um eine Fiori Berechtigung zum Öffnen eines Katalogs für eine Rolle hinzuzufügen, öffnen Sie diese Rolle wieder in der PFCG im Änderungsmodus und befolgen Sie die nächsten Schritte:

1. Menü-Reiter auswählen
2. Klicken Sie auf den kleinen Pfeil zum Hinzufügen eines Elements
3. Wählen Sie „SAP Fiori Kachelkatalog“ aus

Anschließend wählen Sie die entsprechende Katalog-ID aus, für die die gewählte Rolle berechtigt werden soll. Jetzt muss die Rolle nur noch den zugehörigen Benutzern im System zugeordnet werden. Wenn Sie diese Schritte durchgeführt haben, sind die nötigen Fiori Berechtigungen zur individuellen Anzeige von Kachelkatalogen auf dem Launchpad vorhanden.

Fiori Berechtigungen für Kachelgruppen in der PFCG pflegen

Um zusätzliche Berechtigungen für definierte Gruppen im Launchpad zu PFCG-Rollen hinzuzufügen befolgen Sie die Schritte wie oben bereits beschrieben. Dieses Mal wählen Sie nur anstatt einem „SAP Fiori Kachelkatalog“ eine „SAP Fiori Kachelgrupe“. Hier unterscheiden sich die Vergaben von Berechtigungen nur sehr gering.

Fiori Berechtigung für OData-Services

Die Startberechtigung für den im Backend hinterlegten OData-Service von einer Fiori App wird sowohl auf dem Frontend-, als auch auf dem Backend-Server beim Aufrufen der Applikation abgefragt. Deshalb muss diese Berechtigung auf beiden Servern zu der entsprechenden Rolle hinzugefügt werden.

Die typische Abfolge beim Anklicken einer Fiori App im Launchpad löst die folgenden Schritte aus:

1. Beim Auswählen der Kachel wird die App-Fiori-Implementierung aufgerufen
2. Die App ruft dynamische Daten aus dem HTTP-Endpunkt des OData-Services auf dem Frontend-Server ab
3. Es folgt ein RFC-Aufruf an die Gateway-Aktivierung des Backend Systems, dabei wird die relevante Geschäftslogik abgerufen
4. Nun wird die Fiori Berechtigung für den entsprechenden OData-Service auf dem Backend abgefragt
5. Wenn dies erfolgreich war werden die entsprechenden Berechtigungen für die Geschäftslogik im OData-Service abgefragt

OData-Service Fiori Berechtigung auf dem Frontend-Server

Um die Fiori Berechtigung zur Ausführung eines OData-Services für eine App zu einer Rolle hinzuzufügen führen Sie bitte die folgenden Schritte durch:

• In der PFCG die entsprechende Rolle im Änderungsmodus öffnen
• Schritte auf dem folgenden Screenshot durchführen:

1. Menü-Reiter auswählen
2. Pfeil neben dem „Transaktion“ Button klicken
3. Berechtigungsvorschlag auswählen

In dem folgenden Dialog wählen Sie einen TADIR-Service aus sowie die Programm-ID „R3TR“ und den Objekttyp „IWSG“. Jetzt können Sie den auf dem Frontend-Gateway hinterlegten OData-Service auswählen. Anschließend wechseln Sie zu dem Reiter „Berechtigungen“ um das aktuelle Profil der Berechtigungsobjekte mit der neuen Fiori Berechtigung zu generieren.

Wenn Sie diese Schritte durchgeführt haben, besitzt die behandelte Rolle Frontend-Seitig die nötigen Berechtigungen.

Fiori Berechtigung zum Aufruf des OData-Services auf dem Backend-Server

Wechseln Sie nun zu der Rollenpflege in der PFCG auf dem Backend-Server. Öffnen Sie die entsprechende Rolle im Änderungsmodus. Nun können Sie die Schritte wie oben bereits für das Frontend erläutert wiederholen. Bei der Auswahl des TADIR-Services als Berechtigungsvorschlag wählen Sie nun jedoch den Objekttyp „IWSV“. Hier können Sie den im Backend hinterlegten OData-Service der spezifischen Fiori-Applikation auswählen.

Wechseln Sie anschließend wieder zu dem Reiter „Berechtigungen“ um das aktuelle Profil der Berechtigungsobjekte zu generieren.

Wenn Sie diese Schritte durchgeführt und die Rolle gesichert haben, besitzt sie die notwendigen Fiori Berechtigung um die auf den OData-Service bezogene Applikation zu starten.

Berechtigungen für die Geschäftslogik einer App

Damit die hinterlegte Geschäftslogik einer Applikation richtig ausgeführt werden kann, muss der ausführende Benutzer zusätzlich die notwendigen Berechtigungsobjekte in der Ablauflogik der OData-Services in seiner Rolle ausgeprägt haben. Werden hier Authority-Checks ausgeführt, um z.B. Daten auf dem Backend-Server abzufragen oder zu ändern, muss die entsprechende Rolle hierfür berechtigt werden.

Diese Berechtigungen werden durch Berechtigungsobjekte, wie in jedem ABAP-Report auch, in einer Rolle ausgeprägt.

Wenn Sie diese Schritte beachten, sollten Ihre Launchpad-Nutzer die notwendigen Fiori-Berechtigungen besitzen um das Launchpad zu starten, alle relevanten Kacheln zu sehen und die spezifischen Apps mit ihrer Geschäftslogik ausführen zu können.

The post Fiori Berechtigungen für Apps und Kataloge im Launchpad appeared first on rz10.de - die SAP Basis und Security Experten.