rz10.de - die SAP Basis und Security Experten https://rz10.de Das Team vom Fachbereich SAP Basis und Security bietet KnowHow und Erfahrungen rund um SAP Basis und Sicherheit. Mon, 22 Oct 2018 14:54:56 +0000 de-DE hourly 1 http://wordpress.org/?v=4.2.6 Internes Kontrollsystem für SAP IT Security – mit Hendrik Heyn https://rz10.de/sap-grc/internes-kontrollsystem-fuer-sap-it-security/ https://rz10.de/sap-grc/internes-kontrollsystem-fuer-sap-it-security/#comments Fri, 19 Oct 2018 13:06:04 +0000 https://rz10.de/?p=14876 In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die Frage, wie man eigentlich die verschiedensten Prüf-Anforderungen systematisch und nachhaltig unter einen Hut bringen kann. Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support! Für […]

The post Internes Kontrollsystem für SAP IT Security – mit Hendrik Heyn appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die Frage, wie man eigentlich die verschiedensten Prüf-Anforderungen systematisch und nachhaltig unter einen Hut bringen kann.

Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!



Für unterwegs – den Podcast abonnieren: https://rz10.de/podcast

——————————-

Noch Fragen? Online Beratung mit mir buchen:

https://rz10.de/online-beratung-tobias-harmes/

——————————-

Vortrag auf dem DSAG-Jahreskongress
Der Vortragstitel lautet: „V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit“. Die Folien gibt es im Download-Bereich der DSAG: https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018

Use-Case Konzeptgenerierung und IKS mit dem Xiting Security Architect

201810_Use_case_Konzeptgenerierung_XAMS_SA_IKS_SAP_Security

(PDF-Download, 6 Folien, ca. 10 Minute Lesezeit)

Xiting Service SAP Sicherheitsüberwachung / IKS
https://www.xiting.ch/services/xams-services/sap-sicherheitsuberwachung-iks/

Software XAMS Security Architect
https://www.xiting.ch/produkte/security-architect/

——————————-

Kapitelmarken

00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?

06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security Konzept?

09:45 Was war die größte Herausforderung in dem Projekt?

10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?

12:56 Wie funktioniert nun das Monitoring in dem IKS?

16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?

18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?

——————————-

Auf dem Laufenden bleiben:

PODCAST: https://rz10.de/podcast

YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms

FACEBOOK: https://www.facebook.com/rz10.de/

TWITTER: https://twitter.com/rz10_de

WEB: https://rz10.de

XING: https://www.xing.com/profile/Tobias_Harmes/

LINKEDIN: https://www.linkedin.com/in/tobias-harmes

RSS: https://rz10.de/feed/

The post Internes Kontrollsystem für SAP IT Security – mit Hendrik Heyn appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-grc/internes-kontrollsystem-fuer-sap-it-security/feed/ 0
DSAG Jahreskongress 2018 – meine SAP Basis & Security Nachlese https://rz10.de/blog/dsag-jahreskongress-2018-nachlese/ https://rz10.de/blog/dsag-jahreskongress-2018-nachlese/#comments Thu, 18 Oct 2018 18:04:26 +0000 https://rz10.de/?p=14857 Ich sitze in der DB Lounge im Hauptbahnhof in Leipzig und überlege: was nehme ich mit vom DSAG Jahreskongress 2018? Wieder mal gab es viel zu sehen – zumindest wenn man denn in den Raum hinein gekommen ist. Ich hielt die Ankündigung kurz vor Beginn bezüglich Anmeldestopp für ein Marketing-Gag. Doch tatsächlich: ich habe den […]

The post DSAG Jahreskongress 2018 – meine SAP Basis & Security Nachlese appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ich sitze in der DB Lounge im Hauptbahnhof in Leipzig und überlege: was nehme ich mit vom DSAG Jahreskongress 2018? Wieder mal gab es viel zu sehen – zumindest wenn man denn in den Raum hinein gekommen ist.

Ich hielt die Ankündigung kurz vor Beginn bezüglich Anmeldestopp für ein Marketing-Gag. Doch tatsächlich: ich habe den DSAG Jahreskongress noch nie so voll empfunden. Dienstag und Mittwoch fand ich zumindest aus Security-Sicht sehr dünn, allerdings habe ich die Partner-Vorträge abends auch verpasst. Ok, ich war auf unserer Warm-up-Party mit fast 100 Teilnehmern :-). Umso mehr hat mich der Donnerstag erfreut – mehr Vorträge als verfügbare Zeit.

Dienstag, 16. Oktober 2018

V050: User Experience im Bereich Identity & Access Management – nichts ist unmöglich – Vorstellung eines flexiblen Self-Service-Portals nach Fiori-Konzept für SAP Identity Management

Kristin Beyer von der REHAU AG berichtete von der Einführung von SAP IDM 8.0 als Upgrade von IDM 7.2 inklusive Self-Service-Konzept. Wobei der Upgrade in diesem Vortrag nur eine Randnotiz war. Oberstes Ziel sollte sein: Benutzer sollen sich ohne die IT selbst helfen können. Und das Problem dabei war, dass die Benutzeroberflächen von SAP IDM 8.0 alles andere als selbsterklärend sind.
Also hat man mit der SAP durch Design Thinking Workshops und dem Implementierungs-Partner IBSolutions in weniger als einem Jahr einem Upgrade inklusive einem, wie ich finde, ansprechenden und klaren Frontend entwickelt. In SAP UI5 und im Style von SAP Fiori. Schön war, dass auch einige pfiffige Ideen gezeigt wurden. Ursprünglich sollte die Funktion gar nicht kommen – aber dann doch realisiert: „Die gleichen Berechtigungen wie Herr Müller“. Gelöst wurde es, in dem ich einen User als Vorschlag auswähle, ich aber alle seine Rollen zur Prüfung in den Warenkorb gelegt bekomme. Ich muss also die Positionen noch mal anschauen, bevor ich auf „bestellen“ klicke.
Die Frage aus dem Publikum insgesamt am Ende des Vortrags „Warum ist das so eigentlich nicht im Standard?“ erzeugte gequältes Schmunzeln. „Wir haben uns in der Planung auch gefragt: Sind wir das einzige Unternehmen mit diesen Problemen?“. Nein, definitiv nicht.

Mittwoch, 17. Oktober 2018

V119: S/4HANA Adoption Starter Programm (Erfahrungsbericht) | Kategorien: S/4HANA, Technologie, E – Erfahrungsbericht, Sprecher: M. Zetzmann, T. Westphal

Hier hat Herr Zetzmann von der Otto GmbH & Co. KG einen interessanten Erfahrungsbericht zur Teilnahme am S/4HANA Adoption Starter Programm vorgestellt. Die Idee: die SAP führt die Kunden in der richtigen Reihenfolge zu den schon von der SAP bereitgestellten Tools hin. Zum Beispiel den S/4HANA Readiness Check (Hinweis 2310438), der als sehr hilfreich beschrieben wurde – zugleich aber immer noch schwierig zu implementieren ist. Immerhin 60 Hinweisen war notwendig, um den Check ans Laufen zu bringen. Ein anderes Tool war z.B. der SAP Transformation Navigator um zu schauen, welche Produkte stehen für meine Systeme zu Verfügung. Hier kann ich auf jeden Fall einen Blick in die Folien empfehlen (siehe link unten).

Donnerstag, 18. Oktober 2018

V142: Berechtigungskonzept S/4HANA Value Assurance – der Schlüssel zur Sicherung von Qualität, Sprecher: A. Oesterle, R. Baudisch

In diesem Roadmap-Vortrag ging es darum, wie die SAP vorhat, einer großen Anzahl von Unternehmen den Wechsel auf S/4HANA zu ermöglichen. Und zwar ohne, dass jeder Schritt von SAP Consulting umgesetzt werden muss. Es wurden Varianten für den Greenfield und Brownfield-Ansatz vorgestellt. Im Prinzip arbeitet der Ansatz mit Nutzungs-Statistikdaten (ST03N Workload) als Input und einer Übersetzung der genutzten Transaktionen auf eventuell vorhandene neue Transaktionen und Fiori-Apps. Technisch steht da wohl die Simplification List und die Fiori App Library hinter. Die Ermittlung und Ausprägung von Organisationsebenen und Werten liegt vor allem beim Kunden. Der um S/4HANA Transaktionen angereicherte Workload wird dann gegen das fertige Rollenset von SAP gefahren, um Vorschläge für Berechtigungszuweisungen zu generieren. Ich war insgesamt überrascht so viel Excel-Vorlagen auf den Folien zu sehen. Auch Themen wie Zuordnung und Entwicklung von Frontend- und Backend-Rollen sind mit Eigenentwicklungen gelöst, die nur im Rahmen der Nutzung dieses SAP Services zur Verfügung stehen. Und ein Test und Trace-Abarbeitung bleibt natürlich trotzdem Pflicht. Wer übrigens „die neuen Sachen jenseits von ADM940″ wissen möchte: im Vortrag wurde der ADM945 SAP S/4HANA Authorization Concept empfohlen.

V143: Identity & Access Management für Sicherheit und Integration in gemischten Cloud- und On-Premise-Landschaften

Hier hat Herr Dr. Mäder einen interessanten Vortrag zur Roadmap der SAP Richtung Integration von Cloud- und On-Premise-IDM und GRC-Szenarien gehalten. Nachdem ich mich zuerst schon gefreut habe „endlich wächst zusammen, was zusammengehört“ gab es doch die kalte Dusche. SAP IDM und SAP GRC Access Control wachsen auch in der Cloud nicht zu einem gemeinsamen Produkt zusammen. Für die Provisionierung on-premise muss weiterhin SAP IDM oder SAP GRC Access Control on Premise verwendet werden. Man entwickelt zwar die Cloud-Variante stetig weiter, aber es gibt noch keine Aussagen dazu, wann ein Cloud-Identity-Management auch z.B. einen vollständigen Ersatz für On-Premise-Lösungen sein könnte. Der Use-Case aus Sicht der SAP ist eher, neue Kunden die sich für die S/4HANA Public Cloud und andere SAP Cloud Services entscheiden, nicht zu einem On-Premise-IDM zu zwingen. Immerhin unterstützt die SAP mit SCIM offene Standards, mit der on-premise Non-SAP IDM Systeme auch die SAP Cloud IDM fernsteuern kann.

V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit, Sprecher: H. Heyn

Hendrik Heyn von Xiting ist kurzfristig für den eigentlichen Redner der Allianz eingesprungen. Es ging in dem Vortrag darum, wie die Allianz es geschafft hatte, ein zentrales Internes Kontroll System für die SAP-IT-Sicherheit aufzubauen unter Verwendung der Xiting XAMS Suite. Die Herausforderungen lagen wie so oft in einer heterogenen Systemlandschaft, unterschiedlichen Sicherheitsanforderungen und unterschiedlicher Ausgangskonfiguration. Letztendlich hatte man es mit Hilfe der Nutzung des Moduls Security Architect in einer Zentral-Installation auf dem Solution Manager geschafft, für mehr als 80 Systeme Sicherheitsstandards zu definieren und zentral abzuprüfen und zu monitoren.
Ich kenne Hendrik persönlich und ich habe ihn zu diesem Vortrag auch noch interviewt. Die Episode gibt es dann in den nächsten Tagen als Podcast bzw. auf Youtube.

Download der Folien

Die Folien der Vorträge kann man sich auf der DSAG-Seite herunterladen: https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018.

Gerne gesehen hätte ich noch…

  • V049: Upgrade auf SAP Identity Management 8.0 – ein Erfahrungsbericht
  • V057: Trends und Entwicklungen im digitalen Marketing
  • V109: Workflow in SAP S/4HANA – von ECC zu S/4
  • VS033: Seien Sie Ihren Mitbewerbern durch den Einsatz von intelligenter Technologie einen Schritt voraus
  • V173: Ab in die Wolke: Ihr Reiseführer mit Tools und Informationen um den Cloudbetrieb
  • V185: SAP Compliance und Sicherheit dringt auf Vorstandsebene
  • VS040: SAP Cloud Platform ABAP Environment
  • V144: Fines in Five Minutes – ein schneller Datenschutzcheck

 
dsag_kongress3Meine Kollegen Ingo Biermann und Jeremia Girke (v.l.) waren ebenfalls mit dabei. Nach drei Tagen war dann auch gut und Zeit für einen allerletzten RZ-Bereitschaftshabener-würdigen schwarzen Kaffee™. Tschüss bis zum nächsten Jahr (bzw. bis zu den DSAG-Technologietagen)!
Wenn ich etwas Wichtiges übersehen habe: ich freue mich über Tipps, welche Vorträge ebenfalls interessant waren (und warum).
 

The post DSAG Jahreskongress 2018 – meine SAP Basis & Security Nachlese appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/blog/dsag-jahreskongress-2018-nachlese/feed/ 2
RFC-Callback Positivliste generieren https://rz10.de/sap-rfc-sicherheit/rfc-callback-positivliste-generieren/ https://rz10.de/sap-rfc-sicherheit/rfc-callback-positivliste-generieren/#comments Mon, 08 Oct 2018 06:00:48 +0000 https://rz10.de/?p=14726 Die RFC-Callback Funktion kann in einigen Fällen sehr nützlich sein, bietet jedoch auch ein großes Risikopotential, wenn es ohne Einschränkung zur Verfügung steht. Um das Risiko eines Angriffs zu minimieren, bietet SAP die Erstellung von Whitelists, bzw. im „SAP-Sprech“ die Positivlisten an. Im folgenden erkläre ich Ihnen, wie Sie diese konfigurieren und aktivieren können. RFC-Callback […]

The post RFC-Callback Positivliste generieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Die RFC-Callback Funktion kann in einigen Fällen sehr nützlich sein, bietet jedoch auch ein großes Risikopotential, wenn es ohne Einschränkung zur Verfügung steht. Um das Risiko eines Angriffs zu minimieren, bietet SAP die Erstellung von Whitelists, bzw. im „SAP-Sprech“ die Positivlisten an. Im folgenden erkläre ich Ihnen, wie Sie diese konfigurieren und aktivieren können.

RFC-Callback – Was ist das überhaupt?

Mittels dem Funktionsaufruf „CALL FUNCTION <function> DESTINATION „BACK“> ist es möglich, aus einem System A eine Funktion auf dem via RFC rufendem System B auszuführen. Das Problem bei dieser Methodik ist, dass dabei die Rechte des aufrufenden Users aus dem System B verwendet werden und somit weitgehende Rechte misbraucht werden können.

Das lässt sich am besten an einem gern genommenen Beispiel erklären: Aus dem Produktionssystem P wird mittels RFC ein Funktionsbaustein im Entwicklungssystem E aufgerufen.
Ein Angreifer ergänzt den Code der Standardfunktion RFC_PING auf dem E-System um einen „BACK“-Aufruf, der auf dem rufenden System einen User mit kritischen Rechten anlegt. Wenn er nun einen priviligierten Administrator darum bittet, vom P-System einen Verbindungstest per SM59 auszuführen, um einen Funktionsbaustein zu testen, wird automatisch die manipulierte BACK-Funktion aufgerufen. Auf dem P-System steht nun dem Angreifer ein eigener User mit kritischen Berechtigungen zur Verfügung. Der Administrator hat davon jedoch nichts mitbekommen.

Callback Aufrufe mittels rfc/callback_security_method kontrollieren

Um dieses Risiko zu minimieren, bietet SAP mittels des Systemparameters rfc/callback_security_method die Möglichkeit, die Callback-Aufrufe zu protokollieren und einzuschränken. Dazu gibt es 4 verschiedene Einstellungsmöglichkeiten:

  • rfc/callback_security_method = 0 -> Es sind sämtliche Callback-Aufrufe erlaubt
  • rfc/callback_security_method = 1 (Default) -> Es sind sämtliche Callback-Aufrufe erlaubt, außer diese, die aktiv in einer Whitelist blockiert werden
  • rfc/callback_security_method = 2 -> Simulationsmodus. Im Security Audit Log (SAL) wird protokolliert, ob die Aufrufe bei aktivierten Whitelists aktzeptiert oder abgelehnt worden wären
  • rfc/callback_security_method = 3 -> Es sind nur noch die Callback-Aufrufe erlaubt, die in der Whitelist erlaubt werden

Damit die Protokollierung im Simulationsmodus auch stattfinden kann, muss das Security Audit Log auch aktiviert sein. Wie Sie das erledigen, können Sie aus diesem Beitrag entnehmen.
Der derzeitige Status des Parameters lässt sich auch in der SM59 bildlich anzeigen. Ist oberhalb der RFC-Verbindungen die Ampel auf rot, dann ist der Parameter auf dem Wert 0 oder 1. Bei gelben Anzeiger befindet sich das System in der Simulationsphase (2) und bei grünem Anzeiger befindet sich der Parameter auf 3 und die Callbacks werden blockiert.

 

Callback Ampel mit rotem Status

Die Ampel zeigt einen roten Status, wenn sich der Parameter auf dem Wert 1 oder 0 befindet.

Protokollierte Aufrufe ansehen

Es empfiehlt sich vor dem Blockieren aller Nicht-Whitelist einträge (Parameterwert 3) die eigentlichen Aufrufe zu protokollieren. Wenn Sie den rfc/callback_security_method Parameter auf 2 gestellt und damit den Simulationsmodus gewählt haben, können Sie alle Callback Aufrufe in der SM20 nachvollziehen. Dazu müssen Sie über Detailauswahl unter der Auditklasse „RFC Funktionsaufruf“ die folgenden 3 Optionen anhaken:

  • RFC-Callback ausgeführt (Destination &A, Gerufen &B, Callback &C)
  • RFC-Callback abgewiesen  (Destination &A, Gerufen &B, Callback &C)
  • RFC-Callback im Simulations-Modus (Destination &A, Gerufen &B, Callback &C)

Abschließend sehen Sie eine Übersicht zu allen aufgerufenen Callbacks.

Positivliste generieren und aktivieren

Nach einer gewissen Laufzeit im Simulationsmodus bietet SAP die Möglichkeit, über die SM59 eine Whitelist / Positivliste zu generieren. Dazu die SM59 öffnen und den Button „RFC-Callback-Positilisten generieren“ auswählen. Im nächsten Dialog den gewünschten Zeitraum einstellen. Falls Sie das Feld leer lassen, werden sämtliche Einträge ohne zeitliche Beschränkung durchsucht. Im nächsten Dialog bietet SAP eine Übersicht über alle gefundenen Aufrufe. Unerwünschte Callback-Aufrufe können hier aussortiert werden. Die Positivliste kann anschließend über “Positivlisten-Generierung und Aktivieren” generiert und aktiviert werden.

Um sich die aktuellen Einträge der Positivliste einzusehen, rufen Sie in der SE16 die Tabelle RFCCBWHITELIST auf. Dort sind alle Einträge gelistet. Um zu sehen, welche Verbindungen auch aktiv sind, reicht ein Blick in die Tabelle RFCCBWHITELIST_A.

Parameter scharf schalten

Ist die globale Positivliste zu Ihrer Zufriedenheit gepflegt, können Sie den Parameter auf 3 setzen.
Es können dabei auch separate Callback-Positivlisten pro Verbindung gepflegt werden. Dazu die Verbindung auswählen und im Tab Anmeldung und Sicherheit die Positivliste pflegen.

Tobias Harmes
Wir helfen Ihnen, die IT-Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Entwicklung Ihrer IT-Sicherheitsstrategie bieten wir Ihnen unsere kompetenten Berater an: Security-Berater von RZ10 buchen.
Unsere Referenzen finden Sie hier.
Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.
In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.


 

The post RFC-Callback Positivliste generieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-rfc-sicherheit/rfc-callback-positivliste-generieren/feed/ 0
SAP Identity Management FAQ https://rz10.de/sap-identity-management/sap-identity-management-faq/ https://rz10.de/sap-identity-management/sap-identity-management-faq/#comments Wed, 03 Oct 2018 15:39:11 +0000 https://rz10.de/?p=14781 SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management. Zeit mal wieder einen „neuesten Stand“ zu ziehen: ein SAP Identity Management FAQ mit den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und Berechtigungsmanagement im SAP. Hinweis: Hier sind häufig […]

The post SAP Identity Management FAQ appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management. Zeit mal wieder einen „neuesten Stand“ zu ziehen: ein SAP Identity Management FAQ mit den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und Berechtigungsmanagement im SAP.

Hinweis: Hier sind häufig gestellte Fragen zusammengefasst, über die ich im Rahmen meiner Beratungstätigkeit gesprochen habe. Wer zu SAP Identity Management selbst Grundlagen wissen will, dem empfehle ich diesen Artikel.

Was kostet SAP IDM?

SAP Identity Management ist für das Management von SAP Produkten in den Wartungsgebühren enthalten. Es kann also jeder mit SAP Lizenz auch SAP Identity Management einsetzen. Erst wenn ich Non-SAP Produkte managen will (z.B. Microsoft Active Directory oder die Benutzerverwaltung meiner Zutrittskontrolle) müssen Lizenzen gekauft werden.

Ist SAP IDM geeignet als zentrales IDM?

Ja, SAP IDM zielt eindeutig auch auf das Management von Non-SAP Systemen ab. Bei einer Entscheidung kann z.B. eine Rolle spielen, ob ein größerer Anteil von Servern und Applikationen SAP oder Non-SAP ist. Bei einem überwiegenden SAP Anteil ist SAP IDM ein ernsthafter Kandidat. Es ist aber auch denkbar SAP IDM nur als Identity Management System für die SAP Welt zu verwenden.

Ist für uns SAP IDM oder SAP GRC Access Control besser geeignet?

Das ist ohne Analyse der Umgebung nicht leicht zu sagen. Generell gilt: wenn die Anforderung für eine Identity Management stärker aus den Reihen der IT und des Managements kommt, dann ist eher SAP IDM der geeignete Kandidat. Hier spielen Funktionen wie Multi-User – Multi-System-Management, Skalierbarkeit über viele Systeme und Unterstützung von Mobile und Cloud-Szenarien eine gewichtige Rolle. Wenn dagegen die Anforderungen eher aus dem Bereich der Compliance kommt, dann spielen Themen wie Mehr-Wege-Zugriff, Funktionstrennung (Segregation of Duties, SoD) und Data-Loss-Prevention eine größere Rolle. Und da spielt SAP GRC Access Control seine Stärken aus. Dieses Produkt ist wie IDM auch in der Lage, Benutzeranforderungsprozesse abzubilden. Nur das diese dann auch zusätzliche Compliance-Prüfungen durchlaufen. Wer diesbezüglich mehr wissen will, siehe den Beitrag Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen. SAP betont, dass diese beiden Produkte komplementär sind, das heißt sie ergänzen sich gegenseitig. Einen parallelen Betrieb beider Lösungen kommt aus meiner Erfahrung nur für große Umgebungen bzw. sehr hohen Compliance-Anforderungen in Frage.

Kann ich die Berechtigungsvergabe und das Berechtigungsmanagement zentral aus dem SAP IDM durchführen?

Ja, das geht. Mit SAP IDM kann ich zentral bestimmen, was ein Anwender für Berechtigungen in den angeschlossenen Systemen hat. Allerdings ist es wichtig zu wissen: genauso wie die zentrale Benutzerverwaltung kann ich mit dem SAP IDM nicht die Berechtigungen selbst zentral verwalten. Ich kann also nicht z.B. eine SAP PFCG-Rolle auf mehrere Systeme übertragen. Sowohl die zentrale Benutzerverwaltung als auch SAP IDM können nur das auf dem Satellitensystem vergeben, was auch dort an Berechtigungen zur Verfügung steht.

Kann ich mit dem SAP IDM einen User zentral stilllegen?

Ja, das ist eines der wichtigen Kern-Features. Und hier bietet SAP IDM auch einen Mehrwert gegenüber der zentralen Benutzerverwaltung: es werden neben JAVA-Applikationsservern auch Cloud-Applikationen unterstützt. So kann sichergestellt werden, dass ein Benutzer schnell und effektiv deaktiviert wird. Viele Unternehmen verlassen sich dort noch zu sehr auf den Grundsatz: wer keinen Zugang von außen mehr hat (VPN, Citrix, …) der kommt erst mal nicht mehr rein. Das stimmt aber nicht mehr für Cloud Applikationen, die im Internet weiterhin erreichbar sein.

Kann ich mit SAP IDM Genehmigungsworkflows realisieren?

Ja, das geht. Entsprechend berechtigte Benutzer können Benutzer- und Berechtigungsänderungen anfordern. Dies kann relativ frei konfigurierbare Genehmigungsworkflows auslösen, die dann von den Genehmigern per Mail bzw. Web Frontend abgearbeitet werden können.

Kann ich SAP HCM / HR als Auslöser verwenden?

Ja, auch das ist möglich. Typische Join, Move, Leave Szenarien können mit dem SAP IDM gekoppelt werden, so dass die HR-Abteilung grundlegende Benutzer-Änderungen sogar unabhängig von der IT auslösen kann.

Welche Adapter stehen zur Verfügung bzw. mit was kann sich SAP IDM alles verbinden?

SAP stellt dafür einen SAP IDM Connector Overview bereit (Link auf sap.com, bei der letzten Prüfung war das Seite 9). An Betriebssystemen, Verzeichnisdiensten und Datenbanken sind alle großen Namen dabei. Generell kann man sagen: alles was Text (ASCII) versteht kann gekoppelt werden. Wenn es möglich ist, z.B. über Textdateien Steuerbefehle an das Zielsystem zu übermitteln, dann ist auch eine Anbindung an das SAP IDM möglich.

Kann ich die Rechte-Hierarchie eines Benutzer reporten (z.B. für Rezertifizierungen und für Wirtschaftsprüfer)?

SAP IDM unterstützt verschiedenste Report-Funktionalitäten. Neben den eingebauten Reports ist es auch möglich via Chrystal Reports und SAP Lumira / SAP BW eigene Abfragen und Analysereports zu erstellen.

Erst zentrale Benutzerverwaltung und dann SAP IDM oder gleich SAP IDM?

Für viele wirkt es so, als ob die zentrale Benutzerverwaltung (ZBV, englisch: CUA) nicht mehr funktioniert und nicht mehr installiert werden sollte. Das ist nicht der Fall. Es ist ohne Probleme möglich, zunächst die zentrale Benutzerverwaltung einzuführen, damit überhaupt ein zentrales Management von Benutzern ermöglicht wird. Das hat auch den Charme, dass dafür nicht gleich zusätzliche Server notwendig werden. Aber die zentrale Benutzerverwaltung bietet keine Unterstützung bei Workflows. Und sie wird durch die Einführung von SAP IDM auch vollständig abgelöst. Weitere Infos dazu gibt es auch in einem FAQ der SAP.

Bietet SAP IDM Self-Service-Funktionalitäten?

Ja, ich kann z.B. über SAP IDM Passwort-Reset als Self-Service realisieren.

Fehlt Ihre Frage?

Ich freue mich über einen Kommentar. :)

Haben Sie Unterstützungsbedarf in diesem Thema?

Schicken Sie mir eine email an harmes@rz10.de. Wenn Sie schon ein Schritt weiter sind, und über Ihre Ausgangssituation sprechen wollen (ohne gleich einen Workshop machen zu müssen) – fordern Sie eine Expert Session an. Ich freue mich von Ihnen zu hören.

The post SAP Identity Management FAQ appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-identity-management/sap-identity-management-faq/feed/ 0
Kontrolle über die Import-Reihenfolge von Transporten https://rz10.de/sap-basis/kontrolle-ueber-die-import-reihenfolge-von-transporten/ https://rz10.de/sap-basis/kontrolle-ueber-die-import-reihenfolge-von-transporten/#comments Mon, 01 Oct 2018 06:00:21 +0000 https://rz10.de/?p=14718 In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Gewissheit und Kontrolle über die Import-Reihenfolge von Transporten in Ihrer SAP-Systemlandschaft erhalten. In den meisten Systemlandschaften muss eine Vielzahl von Transporten durch die Systemlinie oder sogar über verschiedene Systemlinien hinweg transportiert und importiert werden. Hierbei ist es absolut notwendig, dass die Transporte in korrekter Reihenfolge importiert werden. […]

The post Kontrolle über die Import-Reihenfolge von Transporten appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Gewissheit und Kontrolle über die Import-Reihenfolge von Transporten in Ihrer SAP-Systemlandschaft erhalten.

In den meisten Systemlandschaften muss eine Vielzahl von Transporten durch die Systemlinie oder sogar über verschiedene Systemlinien hinweg transportiert und importiert werden. Hierbei ist es absolut notwendig, dass die Transporte in korrekter Reihenfolge importiert werden. Dies zu verwalten stellt eine große und wichtige Anforderung an Basis-Administratoren dar.

Das Problem: Überholer-Aufträge

Sollte die korrekte Reihenfolge einmal nicht eingehalten werden, kann es schnell zu ungewollten Überholer-Aufträgen kommen. Hierdurch werden Objekte mit falschen Versionen überschrieben und es entsteht ein inkonsistenter Stand. Dieser kann zur Folge haben, dass verschiedene Funktionalitäten nicht mehr gegeben sind und dadurch das Tagesgeschäft gestört wird.

Warum nicht die STMS nutzen?

Wir haben des Öfteren die Erfahrung machen müssen, dass bei der Nutzung der STMS die Import-Reihenfolge von Transporten nicht immer so eingehalten wurde, wie wir es erwartet hätten.

In einem Fall sind zum Beispiel mehrere Systemlinien und auch andere externe Transportaufträge im Spiel gewesen, die eingespielt werden mussten. Diese hatten Abhängigkeiten zu bereits vorhandenen Objekten, wodurch eine korrekte Import-Reihenfolge essentiell gewesen ist. In diesem Fall ist die Import-Reihenfolge nicht korrekt gewesen, was zu inkonsistenten Objektständen geführt hat. Diese wurden erst im Nachhinein entdeckt, waren schwer nachzuvollziehen und haben sich auch nur schwer beheben lassen. Um dieses Problem dauerhaft zu vermeiden, haben wir eine geeignete Lösung gesucht.

Tobias Harmes
Wir übernehmen Basisaufgaben und führen SAP Basis Projekte für Sie durch
Fachbereichsleiter Tobias Harmes

Ob Sie ein Systemupgrade durchführen wollen oder einfach nur Unterstützung bei der Konfiguration Ihrer SAP Systemlandschaft benötigen, wir bieten Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Unsere Lösung: Report zur Import-Steuerung

Wir haben einen Report entwickelt und umfangreich getestet, der sicherstellt, dass die Reihenfolge der Transporte beim Import-Vorgang eingehalten wird.


Report


Die eingefügte Liste von Transporten wird schrittweise mit den gewählten Optionen abgearbeitet und ein Log geschrieben. Im Log werden Informationen über den Erfolg oder Misserfolg beim Import-Vorgang festgehalten. Der Report selbst arbeitet auf Betriebssystem-Ebene und nutzt den tp-Befehl, wie es auch im Transport-Management-System gemacht wird – nur mit dem Unterschied, dass stets die Reihenfolge beibehalten wird und somit Kontrolle über die Import-Reihenfolge von Transporten gegeben ist.


Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?

Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich freue mich auf Ihre Anfragen!

The post Kontrolle über die Import-Reihenfolge von Transporten appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/kontrolle-ueber-die-import-reihenfolge-von-transporten/feed/ 0
SAP S/4HANA FAQ: Ist das noch ABAP? – mit Ingo Biermann https://rz10.de/sap-basis/sap-s4hana-faq-ist-das-noch-abap/ https://rz10.de/sap-basis/sap-s4hana-faq-ist-das-noch-abap/#comments Fri, 28 Sep 2018 14:29:20 +0000 https://rz10.de/?p=14764 Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Ist das noch ABAP? Wir gehen auf den Technologiestack ein, den SAP in der neuen ERP-Version S/4HANA im Standard verwendet. Und inwiefern das sowohl Nutzer, Entwickler als auch die SAP Basis betrifft. Inhalt Video Kapitelmarken Links & Downloads Video Tobias Harmes im Gespräch […]

The post SAP S/4HANA FAQ: Ist das noch ABAP? – mit Ingo Biermann appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Ist das noch ABAP? Wir gehen auf den Technologiestack ein, den SAP in der neuen ERP-Version S/4HANA im Standard verwendet. Und inwiefern das sowohl Nutzer, Entwickler als auch die SAP Basis betrifft.

Inhalt

Video

Kapitelmarken

Links & Downloads

Video

Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Ist das noch ABAP? Spoiler: ja, es ist noch ABAP. Aber die Tage der SE80 sind wohl gezählt. Und auch das SAP Basis & Security Team muss sich auf neue Anforderungen einstellen.

Noch Fragen? Online Beratung mit mir buchen:
https://rz10.de/online-beratung-tobias-harmes/

Kapitelmarken

04:56 Datenbank: SAP HANA DB, in memory Technologie

05:20 Datenmodellierung: Core Data Services (CDS) – Layer mit Meta-Daten

07:24 Transaction Services: Business Object Process Framework (BOPF) Kapselung von Geschäftsobjekten – Standard Design-Patterns dem Framework überlassen

09:42 Geschäftslogik: moderne ABAP Software-Entwicklung, SE80 vs. ABAP in Eclipse, ABAP OO

13:43 Daten-Bereitstellung: SAP Gateway, ODATA Services, Unterschiede zu SOAP-Webservices, Zusammenarbeit mit UI-Services

14:30 User Interface: Fiori Style, SAPUI5

18:50 Alte Welt vs. neue Welt, Know-How Aufbau und Schulung: was kann, was sollte man sich jetzt ansehen?

201809_Ingo_S4HANA_FAQ_Ist das noch ABAP_Technologiestack

Links & Downloads

SAP S/4HANA Schulungen:
https://erlebe-software.de/angebote/schulungen/

SAP HANA Infografik:
https://erlebe-software.de/download/infografik-sap-hana/

Checkliste Voraussetzungen S/4HANA:
https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/

Alle aktuellen Infos zu SAP HANA:
https://erlebe-software.de/sap-hana/

Auf dem Laufenden bleiben:

YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/

Wenn das hilfreich war, freue ich mich wie immer über Feedback – ob per Mail oder hier unter dem Beitrag.

The post SAP S/4HANA FAQ: Ist das noch ABAP? – mit Ingo Biermann appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/sap-s4hana-faq-ist-das-noch-abap/feed/ 0
Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen https://rz10.de/sap-basis/managen-der-lastverteilung-in-bw-systemen-bei-wartungsmassnahmen/ https://rz10.de/sap-basis/managen-der-lastverteilung-in-bw-systemen-bei-wartungsmassnahmen/#comments Mon, 24 Sep 2018 05:00:20 +0000 https://rz10.de/?p=14627 Die Lastverteilung in Business Warehouse-Systemen ist sehr wichtig und in den meisten Fällen passgenau konfiguriert. Da es sich meistens um Systeme handelt, welche rund um die Uhr laufen – vor allem zu nicht-Betriebszeiten –  sollten BW-Systeme in Fällen von Wartungsmaßnahmen gesondert behandelt werden. Die BW-Systeme, die ich bei meinen bisherigen Kunden kennengelernt habe, waren häufig […]

The post Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Die Lastverteilung in Business Warehouse-Systemen ist sehr wichtig und in den meisten Fällen passgenau konfiguriert. Da es sich meistens um Systeme handelt, welche rund um die Uhr laufen – vor allem zu nicht-Betriebszeiten –  sollten BW-Systeme in Fällen von Wartungsmaßnahmen gesondert behandelt werden.

Die BW-Systeme, die ich bei meinen bisherigen Kunden kennengelernt habe, waren häufig auf mehrere Applikationsserver verteilt, welche wiederum auch auf verschiedenen Hosts verteilt waren. So kann sichergestellt werden, dass das System bei der Wartung einzelner Hosts weiterlaufen konnte und die wichtigsten Jobs, wie bspw. Monatsabschlüsse, trotz Wartungsmaßnahmen weiterlaufen konnten.

Aber auch bei dieser Lösung reicht es nicht, dass die Applikationsserver nur heruntergefahren werden, sie müssen auch sauber aus der Lastverteilung genommen werden, damit weitere anstehende Jobs nicht auf die heruntergefahrenen Applikationsserver verteilt werden und dadurch möglicherweise abbrechen. Was alles von technischer Seite zu beachten ist, habe ich Ihnen hier einmal aufgelistet:

Lastverteilungsgruppen der Hintergrundverarbeitung:

Für Jobs, welche durch Hintergrundverarbeitung auf die Batch-Workprozesse der einzelnen Applikationsserver aufgeteilt werden, werden sogenannte Servergruppen genutzt. Diese können in der SM61 unter dem Button „Job-Servergruppen“ verwaltet werden:

Screenshot: SM61

Hier gibt es bei eingerichteter Lastverteilung eine Gruppe namens SAP_DEFAULT_BTC, welche alle Applikationsserver aufführt, auf welche die Jobs verteilt werden.

Soll nun ein Applikationsserver abgeschaltet werden, ist es sinnvoll, diesen vorher aus dieser Servergruppe (und eventuellen weiteren) herauszunehmen, damit keine neuen Jobs mehr zugeordnet werden.

Entfernen des Applikationsservers aus den Logon-Gruppen:

Um zu verhindern, dass Anwender, oder auch automatische Abfragen, nicht mehr durch eine Anmeldung über Logon-Gruppen auf den herauszunehmenden Applikationsserver geleitet werden, muss dieser Server auch aus den Logon-Gruppen entfernt werden.

Hierzu wird die Transaktion SMLG aufgerufen, in der die Logon-Gruppen verwaltet werden. Auch hier gilt es, die Einträge für den betroffenen Applikationsserver herauszunehmen, sodass keine Zuordnung mehr stattfinden kann.

Allerdings ist Vorsicht geboten, falls es Logon-Gruppen gibt, wo es keine Alternativ-Server gibt. Sobald hier der letzte Applikationsserver herausgenommen wird, schlägt jeder Logon-Versuch über die Logon-Gruppe fehl.

RFC-Server-Gruppen-Pflege:

Nun haben wir die weitere Verteilung über Hintergrundprozesse und über Logon-Gruppen eingeschränkt, allerdings gibt es noch die RFC-Server-Gruppen, welche noch beachtet werden müssen. Die Konfiguration hierfür können wir in der Transaktion RZ12 vornehmen.

Auch hier gilt es, den Applikationsserver zu entfernen, sodass nun auch keine Verteilung mehr über RFC-Gruppen mehr stattfindet.

Tobias Harmes
Sie benötigen Unterstützung in Ihrer SAP-Basis-Abteilung?
Fachbereichsleiter Tobias Harmes

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Herunterfahren per Soft-Shutdown:

Sobald wir diese Konfigurationen vorgenommen haben, kann der Applikationsserver heruntergefahren werden. Hierfür empfehle ich den Soft-shutdown über die Transaktion SM51. Durch den Soft-Shutdown können die aktuell noch laufenden Hintergrundprozesse und Jobs noch in Ruhe beendet werden, es starten aber durch unsere Vorkonfigurationen keine weiteren mehr auf dem Server. Sobald kein Job mehr läuft, fährt sich der Applikationsserver herunter und die Wartungsarbeiten können durchgeführt werden.

Es ist empfehlenswert, vor jeder dieser Änderungen eine Dokumentation darüber anzufertigen, wie der Stand vorher war. Nach der jeweiligen Wartung kann der Applikationsserver ganz normal mit dem Befehl „startsap r3″ auf der Konsole des Applikationsservers neugestartet werden. Nach erfolgreichem Neustart kann dann anhand der Dokumentation der Server wieder normal in die Lastverteilung mit aufgenommen werden und das System kann wieder mit vollen Ressourcen arbeiten.

Hat Ihnen diese Anleitung geholfen oder haben Sie eine andere Vorgehensweise in solchen Situationen?

Schreiben Sie mir gerne von Ihren Erfahrungen!

The post Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/managen-der-lastverteilung-in-bw-systemen-bei-wartungsmassnahmen/feed/ 0
Tür zu – es zieht! – SAP Web Dispatcher URL Filter konfigurieren https://rz10.de/sap-grc/sap-web-dispatcher-url-filter-konfigurieren/ https://rz10.de/sap-grc/sap-web-dispatcher-url-filter-konfigurieren/#comments Fri, 21 Sep 2018 10:25:48 +0000 https://rz10.de/?p=14701 Alle Welt setzt den SAP Web Dispatcher ein, um Web-Apps und Webservices aus dem SAP für das Internet erreichbar zu machen. Allerdings gibt der Web Dispatcher im Standard alles frei, was das SAP System zu bieten hat. Ein URL Filter für den SAP Web Dispatcher hilft, die Tür nur so weit aufzumachen, wie wirklich nötig. […]

The post Tür zu – es zieht! – SAP Web Dispatcher URL Filter konfigurieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Alle Welt setzt den SAP Web Dispatcher ein, um Web-Apps und Webservices aus dem SAP für das Internet erreichbar zu machen. Allerdings gibt der Web Dispatcher im Standard alles frei, was das SAP System zu bieten hat. Ein URL Filter für den SAP Web Dispatcher hilft, die Tür nur so weit aufzumachen, wie wirklich nötig.

Der Bedarf für die Anbindung von SAP Systemen an das Internet ist in den letzten Jahren sprunghaft gestiegen. Apps und Webservices entwickelt und veröffentlicht auf dem SAP System werden zum Internet hin freigegeben. Eine praktische Methode das zu tun ist der SAP Web Dispatcher – er fungiert als Reverse Proxy und kann Anfragen aus dem Internet an das interne SAP System durchreichen. So muss das interne ERP System nicht direkt mit dem Internet verbunden werden.

Inhalt

Warum eigentlich URLs filtern?

Das Dilemma ist, dass zwar viele Unternehmen den Rat beherzigen, einen SAP Web Dispatcher vor ihr SAP System zu schalten. Aber es erfolgt keine Einschränkung des Zugriffs hinsichtlich der freigegebenen Zugriffspfade bzw. URLs. So kann ich nicht nur die gewünschten Apps und Webservices aus dem Internet erreichen, sondern auch viele Testwebservices, Webdynpros und auch System-Programme. Und natürlich auch die SAP WebGUI mit voller Anmeldung. Alles nützlich um mehr von Ihrem Unternehmen zu erfahren und im schlimmsten Fall diese Informationen zu stehlen und/oder gegen Sie zu verwenden.

Einfacher Selbsttest: Googlen Sie nach site:meinefirma.de inurl:/sap/bc/bsp (Testlink)

Unter Umständen muss man einmal bestätigen, dass man kein Roboter ist – diese Art von Anfragen wird halt tatsächlich von Bots durchgeführt, die das Internet durchforsten nach leichter Beute. Und jetzt kann man überlegen, ob die Ergebnisse nicht angepasst werden können. Man könnte URL-Bingo spielen und neue URLs formen. Z.B. den seit mehr als 10 Jahren bekannten Klassiker – aus /sap/bc/bsp ein /sap/public/info machen (siehe Bild).

Nur weil bei Ihnen da nichts angezeigt wird, muss es natürlich nicht heißen, das nicht doch etwas da ist. Vielleicht kennen Sie nur die richtige URL noch nicht. Das liegt daran, dass im Standard der Web Dispatcher erst einmal alles freigibt, was auch im internen SAP System freigegeben ist. Während das Risiko dafür im internen Netz vielleicht noch überschaubar ist, ist es im Internet ungleich höher. Denn dort gibt es keine Client-Richtlinien oder Firewalls die irgendwelche Roboter-Angriff erkennen und unterbinden.

Grund genug also für die alte Wahrheit: nur das an Diensten freigeben, was man auch wirklich benötigt.

Glücklicherweise geht das im Web Dispatcher relativ einfach.

Die Schritte um den URL Filter zu konfigurieren

1. Logging aktivieren

Es macht Sinn das Zugriffslogging zu aktivieren, um eine Liste von gerade genutzten Diensten und URLs zu erhalten. Falls noch nicht vorhanden, muss in das Web Dispatcher Profil folgender Parameter aufgenommen werden:

icm/HTTP/logging_0 = PREFIX=/, LOGFILE=access_log-%y-%m, MAXSIZEKB=10000, SWITCHTF=day, LOGFORMAT=SAP

Logformat „SAP“ ist eine Abkürzung für den String %t %h %u – „%r2″ %s %b %L “

%b sind die Bytes der Anfrage, %L ist die Verarbeitungszeit in Millisekunden.

Wenn mehrere Systeme über verschiedene Ports abgewickelt werden, empfiehlt sich noch %v %S. Diese stehen für den Zielserver und den Ziel-Port. Z.B. webdispatcher.example.com 8443

Also:

icm/HTTP/logging_0 = PREFIX=/, LOGFILE=access_log-%y-%m, MAXSIZEKB=10000, SWITCHTF=day, LOGFORMAT=%t %h %u - "%r2" %s %b %L %v %S

Dies würde dann im work-Verzeichnis ein access_log-File anlegen. Beispiel-Log-Eintrag

[21/Sep/2018:15:41:35 +0100] 10.10.10.10 - - "GET /dummy HTTP/1.1" 200 86 10 webdispatcher.example.com 8443

Packungsbeilage: bei einer großen Anzahl von Zugriff kann das Logging Performance-Einfluß haben. Auch muss der Platz auf dem Filesystem (automatisch) überwacht werden, um dort Probleme zu vermeiden. Das wird ja auch primär für den Moment benötigt, wo der URL Filter aufgebaut wird.

2. Aus dem Log eine URL-Filter-Access-Liste machen

Das Access-Log kann dann ausgewertet werden um alle relevanten URLs zu ermitteln. Ich verwende sehr gerne Excel. Aber unter Linux geht es wohl mit cut bzw. sed schneller. Die URLs müssen in eine bestimmte Form als Permission File aufbereitet werden. Im Wesentlichen muss man vor jede gewünschte URL ein „P“ für Permitted, also erlaubt bzw. eher „S“ für HTTPS erlaubt eintragen. Siehe Beispiel weiter unten. Die Datei kann z.B. unter /usr/sap/<SID>/SYS/profile/perm_filter.txt abgelegt werden. Achtung: keine Leerzeilen verwenden. Diese haben in einem bekannten Fall im Web Dispatcher den Start verhindert.

Ich würde die Liste am besten auch vom Fachbereich/Applikationsbetreuern verifizieren lassen.

Beispiel für perm_filter.txt:

# This is the "permission file" used by the Web Dispatcher Authentication handler
# Each line has to start with either "P" (for "Permit"), "D" (for "Deny") or "S" (for "Secure", meaning that the access is permitted only if HTTPS is used).
# The next field on the line is the URI pattern, or URL path / prefix. For example, "/sap/bc/*".
# The next fields define a user ID, group, client IP address (IP address from the end user) and server IP address (IP address of the Web Dispatcher server).
# Admin
# webadmin und ping nur von Admin-Stationen 10.10.10.0/24 erlauben
P /sap/bc/ping           * * 10.10.10.0/24 *
P /sap/wdisp/admin/*           * * 10.10.10.0/24 *
# Webapps and WebGUI (https only)from internal IPs
S /sap/bc/webdynpro/*        * * 10.0.0.0/8 *
S /sap/bc/gui/sap/its/webgui * * 10.0.0.0/8 *
# Webapps and WebGUI (https only)from Internet
S /sap/bc/srt/rfc/meinwebservice * * * * *
# Everything not listed above will be denied because of the final implicit rule "D * * * * *"

3. AUTH-Handler für URL Filtering aktivieren

Wenn die Datei gespeichert ist (Achtung, auf die Rechte achten), dann kann die Datei im Instanzprofil des Webdispatchers referenziert werden. Der Pfad muss dem Parameter PERMFILE mitgegeben werden.

icm/HTTP/auth_0 = PREFIX=/, PERMFILE=/usr/sap/<SID>/SYS/profile/perm_filter.txt

Der Web Dispatcher muss für die Aktivierung gestoppt und gestartet werden.

4. Testen

Nach dem Neustart des Web Dispatchers ist der Filter aktiv. Sollte der Web Dispatcher nicht starten, sollten Sie kontrollieren, ob sich nicht doch eine Leerzeile in das Permission-File eingeschlichen hat. Wenn ich nun über den Web Dispatcher auf nicht freigegebene Ressourcen zugreife, erhalte ich ein HTTP 403 – Access Denied.

Ich kann den aktuellen Status der Access List auch über das Web Admin Interface abrufen (HTTP Handler -> Access Handler). Dort kann ich übrigens auch die Filter-Liste nach Veränderung ohne Neustart neu laden (danke für diesen Kundentipp!).

Fazit

Eine Einschränkung auf gewünschte URLs lässt sich schnell auf dem Web Dispatcher realisieren. Allerdings muss wie bei Firewall-Regeln genau geprüft werden, ob die Liste wirklich vollständig ist. Ansonsten gibt es lange Gesichter bei legitimen Benutzern. Es gibt grundsätzlich auch noch andere Ansätze, diesen URL Filter zu realisieren. Wenn die Regeln z.B. komplizierter werden müssen, dann kann auch mit regulären Ausdrücken gearbeitet werden. Weitere Infos dazu gibt es z.B. hier.

Übrigens: Das Vorgehen mit dem Web Dispatcher kann natürlich auch noch eine Ebene früher verwendet werden. So eine Einschränkung macht auch für interne ERP-Systeme Sinn. Denn wenn etwas schon im LAN nicht erreichbar ist, dann muss es auch nicht zum Internet hin abgeschottet werden. Entsprechende Filterregeln gibt es auch für den ICM im ABAP Stack.

War das hilfreich oder ist noch etwas unklar? In jedem Fall freue ich mich über einen Kommentar. Und wer es lieber direkt klären möchte: ich biete auch eine Online Sprechstunde an.

The post Tür zu – es zieht! – SAP Web Dispatcher URL Filter konfigurieren appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-grc/sap-web-dispatcher-url-filter-konfigurieren/feed/ 0
SAP S/4HANA FAQ – Wann muss ich auf S/4HANA gehen? – mit Ingo Biermann https://rz10.de/sap-basis/sap-s4hana-faq-wann-muss-ich-auf-s4hana-gehen/ https://rz10.de/sap-basis/sap-s4hana-faq-wann-muss-ich-auf-s4hana-gehen/#comments Tue, 18 Sep 2018 21:29:28 +0000 https://rz10.de/?p=14688 Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Wann muss ich auf S/4HANA gehen? Wir gehen dabei auch darauf ein, was das Ende für ERP 6.0 im Jahr 2025 für die Projektplanung heute bedeutet. Inhalt Video Kapitelmarken Links & Downloads Video Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: […]

The post SAP S/4HANA FAQ – Wann muss ich auf S/4HANA gehen? – mit Ingo Biermann appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Wann muss ich auf S/4HANA gehen? Wir gehen dabei auch darauf ein, was das Ende für ERP 6.0 im Jahr 2025 für die Projektplanung heute bedeutet.

Inhalt

Video

Kapitelmarken

Links & Downloads

Video

Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Wann muss ich auf S/4HANA gehen?

Noch Fragen? Online Beratung mit mir buchen:
https://rz10.de/online-beratung-tobias-harmes/

Kapitelmarken

00:50 Ich habe da was gehört mit 2025…

01:06 Auf S/4HANA gehen – was bedeutet das?

03:10 Was bedeutet „bis Ende 2025″?

05:08 Ab wann sollte ich starten?

09:10 Wann und womit starten andere?

Links & Downloads

SAP HANA Infografik:

https://erlebe-software.de/download/infografik-sap-hana/

Checkliste Voraussetzungen S/4HANA:

https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/

Alle aktuellen Infos zu SAP HANA:

https://erlebe-software.de/sap-hana/

Auf dem Laufenden bleiben:

YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/

Wenn das hilfreich war, freue ich mich wie immer über Feedback – ob per Mail oder hier unter dem Beitrag.

The post SAP S/4HANA FAQ – Wann muss ich auf S/4HANA gehen? – mit Ingo Biermann appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/sap-s4hana-faq-wann-muss-ich-auf-s4hana-gehen/feed/ 0
Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP – mit Jeremia Girke https://rz10.de/sap-basis/top-3-basis-fragen-zur-einfuehrung-von-adobe-forms-in-sap/ https://rz10.de/sap-basis/top-3-basis-fragen-zur-einfuehrung-von-adobe-forms-in-sap/#comments Mon, 17 Sep 2018 14:42:26 +0000 https://rz10.de/?p=14680 Ich spreche mit SAP Spezialisten Jeremia Girke über die Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP. Es geht um die Infrastruktur, das Sizing für die Systemlandschaft und auch um die benötigte Software und die Lizenzen. Inhalt Video Kapitelmarken Downloads & Links Video Kapitelmarken 00:39 Frage 1: Was brauche ich für eine Infrastruktur […]

The post Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP – mit Jeremia Girke appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
Ich spreche mit SAP Spezialisten Jeremia Girke über die Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP. Es geht um die Infrastruktur, das Sizing für die Systemlandschaft und auch um die benötigte Software und die Lizenzen.

Inhalt

Video

Kapitelmarken

Downloads & Links

Video

Kapitelmarken

00:39 Frage 1: Was brauche ich für eine Infrastruktur für Adobe Forms?

04:01 Frage 2: Wie kann ich eine robuste Systemlandschaft für Form Processing aufbauen? Wie muss das Sizing aussehen?

10:30 Frage 3: Woher bekomme ich die Software und die Lizenzen?

12:48 Zusatzfrage: Was kosten Adobe Forms eigentlich?

Links und Downloads

Fact Sheet: Sizing ADS und Massendruck:
https://mind-forms.de/download/fact-sheet-sizing-ads-und-massendruck/

Configuring Adobe Document Services for Form Processing (ABAP):
https://help.sap.com/viewer/d2e18615eb27460d9c0b6533aa01d8a0/7.5.6/en-US/3a62c0dbf6da426790ecf3186b37f512.html

Checking ADS Configuration in an ABAP Environment:
https://help.sap.com/viewer/d2e18615eb27460d9c0b6533aa01d8a0/7.5.7/en-US/4b94e945ea576e82e10000000a421937.html

ADS Configuration in Netweaver 7.5:
https://blogs.sap.com/2016/11/02/ads-configuration-in-netweaver-7.5/

Anleitung Download Adobe LifeCycle Designer:
https://mind-forms.de/sap-formulartechnologien/adobe-forms/adobe-livecycle-designer-downloaden/

Kostenloses Ebook zum Download:
https://mind-forms.de/download/e-book-sap-adobe-forms/

 

Auf dem Laufenden bleiben:
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/

Wenn das hilfreich war, freue ich mich wie immer über Feedback – ob per Mail oder hier unter dem Beitrag.

 

 

The post Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP – mit Jeremia Girke appeared first on rz10.de - die SAP Basis und Security Experten.

]]>
https://rz10.de/sap-basis/top-3-basis-fragen-zur-einfuehrung-von-adobe-forms-in-sap/feed/ 0