- 17. Februar 2012

SAP Debug Berechtigung einschränken

Über das Berechtigungsobjekt S_DEVELOP kann man Debugging-Berechtigung im SAP erteilen. Diese Berechtigung erlaubt es über die Eingabe von „/h“ im OK-Feld der Gui den Debug-Modus zu aktivieren.

Während diese Funktion auf dem Entwicklungssystem ohne Frage zu den notwendigen Entwicklungsfunktionalitäten dazugehört ist es auf einem Produktions- oder Konsolidierungssystem höchst kritisch. Denn es erlaubt dem Anwender den normalen Programmablauf zu beeinflussen und Werte während des Programmlaufs zu ändern.

So kann ein Anwender ein Programm starten und z.B. einen AUTHORITY-CHECK überspringen. Damit erlangt er Zugang zu Daten oder kann Änderungen vornehmen, die im normalen Programmfluss nicht vorgesehen sind.

Ein prominentes Beispiel ist auch über den Debug-Modus das sapedit in der SE16 bzw. SE16N wieder zu aktivieren – dann kann man direkt in der Tabellenansicht Änderungen in der Datenbank durchgeführen. Diese Möglichkeit Felder zu ändern gefährdet den Grundsatz „Keine Änderung ohne Beleg“.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

 

Wie kann man nun S_DEVELOP einschränken?

Zuerst muss man die Rollen identifizieren, die S_DEVELOP mit DEBUG Aktivität 02 enthalten. Dies kann man über die SUIM -> Rollen nach komplexen Selektionskriterien durchgeführt werden. Wenn man den Debug-Modus komplett deaktiveren will, muss man auch nach Aktivität 03 suchen.

Im Rolleneditor in der PFCG kann man nun die entsprechende Rolle einschränken.

Im Hinweis 65968 – ABAP-Debugging-Berechtigungen werden die möglichen Werten für S_DEVELOP dokumentiert:

OBJTYPEACTVT
DEBUG03 – Anzeigen
DEBUG02 – Ändern von Feldinhalten und ‚Zu Anweisung springen‘
DEBUG01 – Kernel-Debugging (für Kunden nicht relevant, nur für  SAP-interne Zwecke)

Jetzt das kostenlose eBook zum Thema SAP Berechtigungen downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:


SHARE



7 Kommentare zu "SAP Debug Berechtigung einschränken"

schulbrezel - 21. Februar 2013 | 08:36

Hallo,

ist es möglich auf eine bzw. gewisse Tabellen einzuschränken?

Antworten
Tobias Harmes - 22. Februar 2013 | 15:17

Hallo.

Allgemein kann man mit dem Berechtigungsobjekt S_TABU_DIS oder S_TABU_NAM die Berechtigungen auf spezielle Tabellen einschränken. Da das Debugging aber an solchen Prüfungen vorbei läuft, gibt es keine mir bekannte Möglichkeit Debug Berechtigung in Abhängigkeit von den gerade verwendeten Tabellen zu steuern.

Mit freundlichen Grüßen
Tobias Harmes

Antworten
Kalle - 26. November 2013 | 18:35

Hallo!

Wie stehen Sie zu dem SAP-Hinweis 1420281 (CO-OM-Tools: SE16N: Abschalten von &SAP_EDIT)?

Ist damit dieses Thema überhaupt noch „aktuell“?

Antworten
Tobias Harmes - 27. November 2013 | 12:07

Hallo.
Das Abschalten von der Funktion &SAP_EDIT ist einer der Punkte die durch Debug-Änderungsberechtigungen umgangen bzw. manipuliert werden kann. Darum ist die Einschränkung dieser Berechtigungen vor allem im Produktivsystem absolut notwendig.
Mit freundlichen Grüßen
Tobias Harmes

Antworten
Schneider - 8. Dezember 2016 | 10:35

Hallo,
s_develop hat ja viele Einstellung. Kann man diese so beschränken, das man nur die Möglichkeit sperrt zu entwickeln im System.
MfG
J. Schneider

Antworten
Tobias Harmes - 9. Dezember 2016 | 09:14

Hallo Herr Schneider.

Ja, das können Sie. Z.B. können Sie einen Entwickler tracen (ST01 oder STAUTHTRACE) um genaue Ausprägungen für S_DEVELOP zu ermitteln. Die Änderungsberechtigung für DEBUG darf aber in produktionsnahen Systemen nicht vergeben werden.

Mit freundlichen Grüßen,
Tobias Harmes

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.