SACF_COMPARE im SAP Upgrade: Überspringen oder durcharbeiten?
Autor: Tobias Harmes | 4. Juli 2019
Eine mögliche Meldung während des SAP Upgrades auf ein neues EHP ist "SUM-Phase: MAIN_POSTPROC/REQ_SACF_COMPARE". Es geht um die Aufforderung, die schaltbaren Berechtigungen, kurz SACF, zu kontrollieren. Wie sollte man sich in diesem Fall verhalten: Überspringen oder genau durcharbeiten?
Die Meldung vom Software Update Manager (SUM) in der MAIN_POSTPROC-Phase des EHP Upgrades kann z.B. so aussehen
SUM Meldung REQ_SACF_COMPARE
Der SAP-Hinweis 1922808 – SACF | FAQ | Ergänzende Informationen zur Anwendung liefert dazu einige nützliche Informationen. In dem Fall eines Kunden hatte dieser statt wie bisher in EHP7 2 schaltbare Szenarien nach dem Upgrade auf EHP8 nun 168 Szenarien zur Entscheidung in der Transaktion SACF_COMPARE. Nun war die Frage, ob sich daraus für die Fortsetzung des EHP-Upgrades ein Risiko ergibt und wie man damit umgeht.
Was ist SACF?
Mit dem Hinweis 1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien „schaltbaren“ Berechtigungsprüfungen eingeführt. Dadurch können neue Berechtigungsprüfungen in durch Updates angepassten Funktionen wahlweise erst später durch Kunden aktiv geschaltet werden. Eine Auswirkung auf das bestehende Berechtigungskonzept soll dadurch verringert werden.
Allerdings sind derart ausgestaltete Patches und Verbesserungen nach Implementierung der OSS standardmäßig inaktiv. Damit besteht das Risiko, dass eigentlich eingespielte Sicherheitsupdates überhaupt nicht wirken, weil die entsprechenden Berechtigungen nicht scharf geschaltet wurden.
Die Berechtigungsprüfungen sind in Szenarien abgebildet. Die Szenarien können auch für kundeneigene Programme mit Transaktion SUCC definiert werden. Durch Szenario-basierte Berechtigungsprüfungen können Entwickler ausgelieferte Software um alternative Berechtigungsprüfungen für Berechtigungsobjekte in unterschiedlichen Anwendungsfällen erweitern.
Mit Hilfe der Transaktion können die vordefinierten Berechtigungsprüfungen inklusive Berechtigungs-Trace und Security Audit Log Integration aktiviert werden. Um die Sicherheit zu gewährleisten, sollten alle definierten Szenarien außer „SACF_DEMO_SCENARIO“ auch als produktive Szenarien umgesetzt werden.
Die Menge der definierten Szenarien sollte von dem Prüfer gegen die Menge der Produktivszenarien abgeglichen und kritisch bewertet werden. Wurden die definierten Szenarien produktiv gesetzt, führt das System eine Berechtigungsprüfung aus und dann ist der erweiterte Schutz aktiv. Wichtig: Die kopf- und objektbasierten Prüfungen müssen auf „AKTIV“ stehen. Ansonsten kann es sein, dass keine Prüfung oder nur ein Logging ausgeführt wird.
SACF Transaktionen und Berechtigungen
Um Szenario-basierte Berechtigung verwenden zu können, müssen Sie Entwicklern und Administratoren die nötigen Transaktionen zuweisen. Entwickler und Administratoren erhalten die Transaktion SACF_COMPARE für das Anlegen aktiver Szenarien aus Szenariodefinitionen, die SUCC für aktive Szenarien, die SACF_INFO für eine Übersicht aller Szenarien sowie SACF_TRANSFER. Mit dieser Transaktion ist ein dateibasierter Transport der Szenariodefinitionen möglich. Zusätzlich haben Entwickler im Gegensatz zu Administratoren mit der Transaktion SACF die Möglichkeit, Szenariodefinitionen und aktive Szenarien zu entwickeln sowie die SUCD für Szenariodefinitionen (Design).
Wichtig: Die Aktivitäten „Ändern“ oder „Löschen“ nicht den Benutzern in Produktivsystemen zuweisen.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Überspringen oder genau durcharbeiten?
Sollten Sie nichts aktivieren, so verbleiben Sie berechtigungsmäßig auf einem veralteten Stand. Jedoch ist es nicht empfehlenswert, alle Szenarien außerhalb eines Projektes zu aktivieren. Die Änderungen müssen vorher auf dem K/Q vom Fachbereich geprüft werden – eine Simulation auf der Produktion funktioniert hier leider nicht. Die Empfehlung ist, die Szenarien nach genauem Lesen zu aktivieren, denn so werden dann an bestimmten Stellen Berechtigungsprüfungen eingeführt, wo vorher keine waren.
Wenn aktuell von der SAP Sicherheitshinweise ausgeliefert werden, sind viele Berechtigungsprüfungen erst einmal inaktiv bis sie in der SACF aktiviert werden. Wer also sowieso plant, ein Upgrade auf EH8 durchzuführen, sollte die meisten – wenn nicht sogar alle – Szenarien aktivieren. Damit greifen dann die neuesten Prüfungen und die Berechtigungen werden dann im Upgrade-Projekt sowieso getestet und in den Berechtigungs-Rollen entsprechend aktualisiert. Allerdings sollte der Fachbereich darauf vorbereitet werden, dass es an der einen oder anderen Stelle auch hinsichtlich Berechtigungsprüfungen Meldungen geben könnte.
Weiterführende Links
1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien https://launchpad.support.sap.com/#/notes/1908870/D
1922808 – SACF | FAQ | Ergänzende Informationen zur Anwendung https://launchpad.support.sap.com/#/notes/1922808/D
Berechtigungsprüfungen auf Szenarien basierend durchführen https://help.sap.com/doc/erp2005_ehp_07/6.07/de-DE/aa/8c939fa0d6470a8d8da6aee5519c73/frameset.htm
SAP Berechtigungen: https://rz10.de/knowhow/sap-berechtigungen/
2 Kommentare zu "SACF_COMPARE im SAP Upgrade: Überspringen oder durcharbeiten?"
Hallo Tobias, Wie kann ich sicherstellen, dass die Rollen der berechtigten Benutzer alle nötigen Berechtigungen enthalten bevor produktive Szenarien aktiviert werden?
Danke im Voraus!
Linus
Hallo Linus.
Wenn du bei deinem Szenario in der SACF nicht “Aktiv” sondern “Protokollierung” wählst, dann werden die Prüfungen nur protokolliert, aber führen nicht zu Berechtigungsfehlern. Den Trace kannst du dann auslesen und prüfen, ob noch etwas in deinen Rollen fehlt.
Siehe auch hier: Produktive Szenarien für Testzwecke anlegen SAP Help
Viele Grüße
Tobias