SAP Jobsuche bei DV-Treff
SAP_Azubi
vor 12 Jahre
Hallo zusammen,

die Wirtschaftsprüfer haben uns vor einer neuen Herausforderung gestellt.

Meiner Meinung nach ist es Ok, RFC-Usern SAP_ALL zu vergeben, die WP sind da anderer Meinung 😠

Im CRM System haben wir knapp 40 System-User (RFC, Batch...), allesamt mit SAP_ALL.

Eine Berechtigungsrolle zu bauen, bzw. zu erweitern würde meiner Meinung nach sehr viel Zeit beanspruchen.

Ich würde für jeden User einen Berechtigungs-Trace starten um zu sehen, welche Berechtigungen wirklich benötigt werden.

(Wird zB S_DEVELOP in einer kritischen Ausprägung benötigt, macht das ganze Konzept aus meiner Sicht dann auch schon keinen Sinn mehr.)

Vergebt Ihr SAP_ALL an System-Benutzer oder wie macht Ihr das bei euch?

Gruß

Philipp

lzq464
vor 12 Jahre
Hallo,

ja und nein.

I.d.R. ja, für Jobs etc, die wir selber einrichten. Der Benutzer hat dann aber auch vom Typ: System (ohne Anmeldemöglichkeit).

Nein, ich habe auch einen Dienstleister, wo ich lieber die Berechtigungen kontrolliere. Das zielt aber eher in die Richtung: Unbeabsichtigte Schreibaktionen, da die Jungs noch recht "grün" auf dem Gebiet sind.

Grüsse

blausieben
vor 12 Jahre
Zitat von: SAP_Azubi 

Meiner Meinung nach ist es Ok, RFC-Usern SAP_ALL zu vergeben, die WP sind da anderer Meinung 😠

Ich gebe den Wirtschaftsprüfern da schon recht - RFC-User mit SAP_ALL sind ein Risiko. Häufig sind diese in RFC-Verbindungen hinterlegt, die dann von jedem für seine Zwecke genutzt werden können. So kommt man zu Berechtigungen auf einem SAP-System, die man eigentlich mit dem eigenen User nicht hätte.

Heute bin ich zufällig über diesen Link im SCN gestolpert, der hier vielleicht weiterhilft:

http://scn.sap.com/community/security/blog/2010/12/05/how-to-get-rfc-call-traces-to-build-authorizations-for-srfc-for-free 

Im übrigen wird von SAP ein kostenpflichtiger Service angeboten, der dieser RFC Security Optimization dient:

Hinweis 1682316 - SAP Consulting: Optimierung von RFC-Benutzerberechtigungen

Grüsse

blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
waltersen
vor 12 Jahre
Hallo,

ich kann Blausieben unterstützen. Ich war mal auf einem Sicherheitskurs für SAP. Wenn man folgende Fubas aufrufen kann, werden

Prüfer oder Revisoren in der Regel rebellisch 🤬 :

SXPG_COMMAND_EXECUTE Aufruf eines Betriebssystemkommandos

RFC_READ_TABLE remote auslesen von Tabellen

TH_CREATE_FOREIGN_MODE Macht Modus für einen angemeldeten Benutzer auf (auf dessen Rechner)

RFC_ABAP_INSTALL_AND_RUN

Du kannst ja mal schauen, ob Du diese Fubas mit der entsprechenden rfc Verbindung (also mit dem SAP_ALL User drin) gestartet bekommst.

Schönes Wochenende