SAP DEVTOBERFEST, Cloud Platform Berechtigungen, SAP Berechtigungen FAQ | RZ10 Live vom 26.08.2020
Autor: Tobias Harmes | 25. August 2020
Die SAP Basis & Security Themen der Woche vom 26.08.2020: SAP DEVTOBERFEST, Cloud Platform Berechtigungen, SAP Berechtigungen FAQ - natürlich inkl. eurer Fragen an RZ10 :)
Live-Stream auf YouTube
Oder als Podcast:
Themen der Woche
SAP DEVTOBERFEST
Da aufgrund der momentanen Situation mit Corona keine Messen stattfinden können, hat sich die SAP das DEVTOBERFEST ausgedacht. Für Entwickler soll dieses „Fest“ ein Stück der Startschuss für TechEd 2020 sein, die jedoch vermutlich auch online durchgeführt werden muss. Der Start für das DEVTOBERFEST war der 24.06.2020. Teilnehmer erhalten acht Wochen lang kostenlose Online-Sessions. Zu den geplanten Themen gehören: SAP Cloud Platform Extension Factory, SAP Cloud Application Programming Model, SAP Fiori, ABAP, SAP Cloud Platform APIs und Workflows und das Erzeugen von Visual Studio Code Extensions.
Beim DEVTOBERFEST geht es aber nicht nur darum schlauer zu werden, sondern es gibt auch eine Challenge. Die Herausforderung ist es, ein Entwicklerproblem evtl. zunächst darzustellen und es dann auch zu lösen. Diese Lösung soll dann über github den anderen Entwicklern zur Verfügung gestellt werden. Dadurch soll den künftigen Entwicklern das Leben erleichtert werden. Hier findet ihr alle weiteren Infos dazu.
Wer github nicht nutzen möchte, kann auch eine andere Seite verwenden. SAP hat jetzt auch noch eine neue Community Live-Seite gestartet. Die Community Live-Seite bietet die Möglichkeit, alle digitalen Inhalte, die von Experten erstellt werden, von einem zentralen Ort aus zu verfolgen und zu nutzen. Unter diesem Link gelangt ihr zur Startseite: https://community.sap.com/.
Cloud Applicationen schützen mit dem XSUAA in SAP Cloud Foundry
Auch auf der SAP Cloud Platform müssen Berechtigungen gepflegt werden. Auf der SAP Cloud Platform funktioniert dies über XSUAA. SAP Cloud Platform Foundry ist von der SAP der Cloud Foundry-kompatible Cloud Stack. Mit diesem können Applikationen bei SAP in der Cloud betrieben werden. Wenn jemand also mit SAP Oberflächen arbeiten will, sollte er in die SAP Cloud Platform (Cloud Foundry) gehen und dort dann seine Apps ablegen. Da die SAP dem Cloud Foundry Standard folgt, müssen für User und Autorisierungen das UAA Modul genutzt werden.
UAA beschreibt den CloudFoundry User Account and Authentication (UAA) Server. Von diesem Server hat die SAP nun auch eine eigene Version erstellt, die zusätzliche Erweiterungen hat. Der Name XSUAA steht für eXtended Services for UAA. Diese Services helfen dabei, die SAP Cloud Platform Applikationen korrekt zu berechtigen.
Wie genau das abläuft und welche Dinge beachtet werden müssen, wird in einem Beitrag von Jeffrey Groneberg erläutert (https://blogs.sap.com/2020/08/20/demystifying-xsuaa-in-sap-cloud-foundry/). In diesem widmet er sich unter anderem den folgenden Themen:
- Unterscheidung Platformuser vs. Business User
- Was ist der XSUAA (vs. UAA)?
- Wie hängen Scopes, Roles, Role collections und User zusammen?
- Wie werden Berechtigungen gebaut?
- Wichtige Infos für Admins (IDP, JWT, Approuter)
Zwischendurch mal etwas zum Gruseln: https://www.saptechnicalguru.com/sap-logon-user-exit-hack/. In dieser Story wird berichtet wie der User-Exit zum Login in SAP genutzt werden kann. Wenn sich jemand im ABAP anmeldet, gibt es die Möglichkeit, einen User Exit aufzurufen. Diese Funktion kann bspw. für eine Protokollierung genutzt werden, aber auch zum Hacken! Der User-Exit eröffnet die Möglichkeit, die User-Passwörter abzugreifen, indem man sich in den Login-Vorgang einklinkt. Dort wird jedes Passwort akzeptiert und im Anschluss erscheint erneut ein Pop-Up, in welches das Passwort eingegeben werden soll. Deswegen empfehle ich euch, nachzuschauen, wie bei euch die Konfiguration aussieht und diese ggf. zu ändern.
SAP Berechtigungen FAQ
In dem Webinar aus der vergangenen Woche sind viele Fragen zusammengekommen. Einige davon würden mir auch schon davor häufiger gestellt. Daher gibt es hier einmal die Antworten zu den wichtigsten und meist gestellten Fragen.
Was soll ich tun, wenn mir niemand sagen kann, welche Transaktionen zu irgendeiner Funktion oder Rolle gehören sollen, da das SAP KnowHow fehlt?
An dieser Stelle wird häufig auch noch hinzugefügt, dass mir dann ja auch die ST03N nicht weiterhelfen würde. Das stimmt so nicht ganz und zwar aus folgendem Grund: Wenn ich eine neue Berechtigung mit dem Fachbereich erstellen möchte, möchte ich eine Transaktion oder App berechtigen. Dafür muss ich mit dem Fachbereich sprechen, da dieser dafür verantwortlich ist, was in die Rolle reinkommt. Und genau dann die ST03n von Vorteil sein, da ich im Gespräch mit den einzelnen Anwendern sehen kann, welche Transaktionen sie aufgerufen haben. Es macht keinen Sinn, sie im Vorhinein zu fragen: „Welche willst du davon alles haben?“, sondern möglicherweise erklärt der Anwender dann, dass er diese Transaktion nur früher genutzt hat. Diese Informationen können auch schon hilfreich sein. Möglicherweise kann es auch helfen, die Favoriten auszuwerten.
Wie lange sollte man das Security Audit Log aufheben? Gibt es da ein Problem mit der Datenspeicherung?
Wenn der Speicherplatz für ein Security Audit Log zu knapp wird, sollte eine Festplatte nachgelegt werden. Ich würde empfehlen, Security Audit immer mindestens drei Monate aufzubewahren. Wenn man aber auch langfristig in die Vergangenheit schauen möchte, um weiter zurückliegende Angriffe feststellen zu können, sollte man es länger aufheben. Am besten ist es daher Security Audit Log ein Jahr lang aufzuheben. Optimalerweise ziehe ich das Security Audit Log auch in ein externes SIEM, da es von einem Angreifer auch gelöscht werden könnte.
Ist ein neues Berechtigungskonzept Voraussetzung für eine HANA Einführung? Würde es eine S/4HANA Einführung vereinfachen?
Es kommt wie immer drauf an. Ein gutes Berechtigungskonzept hilft bei der S/4HANA Migration. Bei einem Brownfield-Ansatz helfen gute Berechtigungen dabei, dass man in der Migrationsphase von alten Berechtigungen neue Berechtigungen ableiten kann. Wenn ich also jetzt schon meine Hausaufgaben machen möchte für eine anstehende S/4HANA Migration, dann macht es Sinn, jetzt die SAP Berechtigungen zu erneuern.
Meiner Ansicht nach sollte ein Unternehmen kein neues System ohne neues Berechtigungskonzept einführen, da ich das vorherige Konzept nicht kenne und das vielleicht nicht optimal ist. Gerade dann tut man sich mit einem SAP Berechtigungskonzept etwas Gutes, da viele Fragen zu den neuen Dingen, wie z.B. Fiori Katalogen, entstehen können. Da es eher komplizierter als einfacher geworden ist, brauche ich also ein Berechtigungskonzept. Ebenso können durch ein Berechtigungskonzept die neuen Angriffsstellen minimiert werden.
Fragen an RZ10
Was beinhaltet ein neuer Support Package Stack von S/4HANA? Lohnt sich ein Upgrade?
Wenn ihr im Detail wissen möchtet, was genau Teil des neues Support Package Stacks ist, könnt ihr dies über die Produktverfügbarkeitsmatrix herausfinden. Dort sind alle Informationen verlinkt und es bieten einen guten ersten Einstieg. Man erhält alle Vor- und Nachteile diese neuen Support Package Stacks. Hier kommt ihr zu dem entsprechenden Hinweis von der SAP.
Ist es möglich Downloads von Listen zu protokollieren? (Zu Read Access Logging)
Im Read Access Logging wird getrackt, was angezeigt wird, wenn das Feld entsprechend konfiguriert wurde. Die Weiterverwendung der angezeigten Daten ist gar nicht mehr so leicht zu monitoren und zu tracken. Die Protokollierung des Downloads von Listen ist eher ein Thema für das Security Audit Log.
Ihr habt auch eine Frage? Gerne in die Kommentare, via RZ10 Fragen oder live im Chat bei YouTube.
Alle Videos und alle Streams auch auf unserem YouTube-Kanal.