RFC-/System-User SAP_ALL? · SAP FORUM

SAP Jobsuche bei DV-Treff

SAP_Azubi
SAP Forum - User Thema Starter

vor 12 Jahre

Hallo zusammen,

die Wirtschaftsprüfer haben uns vor einer neuen Herausforderung gestellt.

Meiner Meinung nach ist es Ok, RFC-Usern SAP_ALL zu vergeben, die WP sind da anderer Meinung 😠

Im CRM System haben wir knapp 40 System-User (RFC, Batch...), allesamt mit SAP_ALL.

Eine Berechtigungsrolle zu bauen, bzw. zu erweitern würde meiner Meinung nach sehr viel Zeit beanspruchen.

Ich würde für jeden User einen Berechtigungs-Trace starten um zu sehen, welche Berechtigungen wirklich benötigt werden.

(Wird zB S_DEVELOP in einer kritischen Ausprägung benötigt, macht das ganze Konzept aus meiner Sicht dann auch schon keinen Sinn mehr.)

Vergebt Ihr SAP_ALL an System-Benutzer oder wie macht Ihr das bei euch?

Gruß

Philipp

Förderer

Wollen Sie mitdiskutieren?!Melden Sie sich bei Ihrem SAP FORUM - SAP Community Forumskonto an oder Registrieren Sie ein neues Forumskonto

lzq464
SAP Forum - Profi

vor 12 Jahre

Hallo,

ja und nein.

I.d.R. ja, für Jobs etc, die wir selber einrichten. Der Benutzer hat dann aber auch vom Typ: System (ohne Anmeldemöglichkeit).

Nein, ich habe auch einen Dienstleister, wo ich lieber die Berechtigungen kontrolliere. Das zielt aber eher in die Richtung: Unbeabsichtigte Schreibaktionen, da die Jungs noch recht "grün" auf dem Gebiet sind.

Grüsse

blausieben
SAP Forum - Guru

vor 12 Jahre

Zitat von: SAP_Azubi

Meiner Meinung nach ist es Ok, RFC-Usern SAP_ALL zu vergeben, die WP sind da anderer Meinung 😠

Ich gebe den Wirtschaftsprüfern da schon recht - RFC-User mit SAP_ALL sind ein Risiko. Häufig sind diese in RFC-Verbindungen hinterlegt, die dann von jedem für seine Zwecke genutzt werden können. So kommt man zu Berechtigungen auf einem SAP-System, die man eigentlich mit dem eigenen User nicht hätte.

Heute bin ich zufällig über diesen Link im SCN gestolpert, der hier vielleicht weiterhilft:

http://scn.sap.com/community/security/blog/2010/12/05/how-to-get-rfc-call-traces-to-build-authorizations-for-srfc-for-free

Im übrigen wird von SAP ein kostenpflichtiger Service angeboten, der dieser RFC Security Optimization dient:

Hinweis 1682316 - SAP Consulting: Optimierung von RFC-Benutzerberechtigungen

Grüsse

blausieben

Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen

waltersen
Profi

vor 12 Jahre

Hallo,

ich kann Blausieben unterstützen. Ich war mal auf einem Sicherheitskurs für SAP. Wenn man folgende Fubas aufrufen kann, werden

Prüfer oder Revisoren in der Regel rebellisch 🤬 :

SXPG_COMMAND_EXECUTE Aufruf eines Betriebssystemkommandos

RFC_READ_TABLE remote auslesen von Tabellen

TH_CREATE_FOREIGN_MODE Macht Modus für einen angemeldeten Benutzer auf (auf dessen Rechner)

RFC_ABAP_INSTALL_AND_RUN

Du kannst ja mal schauen, ob Du diese Fubas mit der entsprechenden rfc Verbindung (also mit dem SAP_ALL User drin) gestartet bekommst.

Schönes Wochenende

Ähnliche Themen

SAP_ALL Rolle ersetzen (SAP Basis) von waltersen vor 10 Jahre
Berechtigungsrolle aus SAP_ALL generiert (SAP Sicherheit) von CSDSAP vor 3 Jahre
Profilempfehlung nicht SAP_ALL (SAP Sicherheit) von TS vor 13 Jahre
Auswertung: Wer hatte bisher sap_all ? (SAP Basis) von Vincent_Spread vor 15 Jahre
RFC User Ungereimtheiten (SAP Basis) von dweigelt vor 20 Jahre

Benutzer, die gerade dieses Thema lesen

Guest (2)

Wichtige Informationen:

Die SAP FORUM - SAP Community verwendet Cookies. Wenn Sie auf dieser Seite weitersurfen, erklären Sie sich mit der Verwendung von Cookies einverstanden. Mehr Details Schließen Sie