Willkommen im SAP Forum

Berechtigung zur Änderung von Rollen analysieren - Link zum Blogartikel
Harald Schürmann
# 1 - vor 10 Jahren
Problem: die SAP-Sicherheitsrevision bemängelt, dass wir im Produktivmandanten sowohl Rollen zuordnen als auch ändern können. Nun, Zuordnen von Rollen können, das müssen wir manchmal, z.B. zu Vertretungszeiten, Aktivierung einer Notfallrolle oder nach der Schaffung einer neuen Rolle. Mit diesen "Sicherheitsmangel" war allerdings auch verbunden, dass auch das Ändern einer Rolle im PRD wie die Zuordnung von Transaktionen oder die Änderung von Berechtigungsobjekten möglich war. Unsere Lösung (Zuordnen ja, Ändern nein): Das Berechtigungsobjekt S_USER_AGR muss die ACTVT „02“ haben, um Rollen zuweisen zu können (ist etwas unscharf von SAP dokumentiert). Das hat zur Folge, dass aber auch Transaktionen einer Rolle zugeordnet als auch Berechtigungsobjekte modifiziert werden können. Wenn man nun die Berechtigungsobjekte S_USER_TCD (zuständig für die Zuordnung von Transaktionen zu einer Rolle) und S_USER_VAL (Berechtigungswerte modifizieren) deaktiviert, kann man zwar noch die Rollen zuweisen, aber der Rolle weder Transaktionen zuordnen noch Ber.-Obj. ändern.

Kommentar verfassen


Kontaktieren Sie uns!
Renate Burg Kundenservice