SACF_COMPARE im SAP Upgrade: Überspringen oder durcharbeiten?

Autor: Tobias Harmes | 4. Juli 2019

2 | 1 | #leserfrage

Eine mögliche Meldung während des SAP Upgrades auf ein neues EHP ist "SUM-Phase: MAIN_POSTPROC/REQ_SACF_COMPARE". Es geht um die Aufforderung, die schaltbaren Berechtigungen, kurz SACF, zu kontrollieren.  Wie sollte man sich in diesem Fall verhalten: Überspringen oder genau durcharbeiten?

Die Meldung vom Software Update Manager (SUM) in der MAIN_POSTPROC-Phase des EHP Upgrades kann z.B. so aussehen

SUM Meldung REQ_SACF_COMPARE

SUM Meldung REQ_SACF_COMPARE

Der SAP-Hinweis 1922808 – SACF | FAQ | Ergänzende Informationen zur Anwendung liefert dazu einige nützliche Informationen. In dem Fall eines Kunden hatte dieser statt wie bisher in EHP7 2 schaltbare Szenarien nach dem Upgrade auf EHP8 nun 168 Szenarien zur Entscheidung in der Transaktion SACF_COMPARE. Nun war die Frage, ob sich daraus für die Fortsetzung des EHP-Upgrades ein Risiko ergibt und wie man damit umgeht.

Was ist SACF?

Mit dem Hinweis 1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien „schaltbaren“ Berechtigungsprüfungen eingeführt. Dadurch können neue Berechtigungsprüfungen in durch Updates angepassten Funktionen wahlweise erst später durch Kunden aktiv geschaltet werden. Eine Auswirkung auf das bestehende Berechtigungskonzept soll dadurch verringert werden.
Allerdings sind derart ausgestaltete Patches und Verbesserungen nach Implementierung der OSS standardmäßig inaktiv. Damit besteht das Risiko, dass eigentlich eingespielte Sicherheitsupdates überhaupt nicht wirken, weil die entsprechenden Berechtigungen nicht scharf geschaltet wurden.

Die Berechtigungsprüfungen sind in Szenarien abgebildet. Die Szenarien können auch für kundeneigene Programme mit Transaktion SUCC definiert werden. Durch Szenario-basierte Berechtigungsprüfungen können Entwickler ausgelieferte Software um alternative Berechtigungsprüfungen für Berechtigungsobjekte in unterschiedlichen Anwendungsfällen erweitern.
Mit Hilfe der Transaktion können die vordefinierten Berechtigungsprüfungen inklusive Berechtigungs-Trace und Security Audit Log Integration aktiviert werden. Um die Sicherheit zu gewährleisten, sollten alle definierten Szenarien außer „SACF_DEMO_SCENARIO“ auch als produktive Szenarien umgesetzt werden.

Die Menge der definierten Szenarien sollte von dem Prüfer gegen die Menge der Produktivszenarien abgeglichen und kritisch bewertet werden. Wurden die definierten Szenarien produktiv gesetzt, führt das System eine Berechtigungsprüfung aus und dann ist der erweiterte Schutz aktiv. Wichtig: Die kopf- und objektbasierten Prüfungen müssen auf „AKTIV“ stehen. Ansonsten kann es sein, dass keine Prüfung oder nur ein Logging ausgeführt wird.

SACF Transaktionen und Berechtigungen

Um Szenario-basierte Berechtigung verwenden zu können, müssen Sie Entwicklern und Administratoren die nötigen Transaktionen zuweisen. Entwickler und Administratoren erhalten die Transaktion SACF_COMPARE für das Anlegen aktiver Szenarien aus Szenariodefinitionen, die SUCC für aktive Szenarien, die SACF_INFO für eine Übersicht aller Szenarien sowie SACF_TRANSFER. Mit dieser Transaktion ist ein dateibasierter Transport der Szenariodefinitionen möglich. Zusätzlich haben Entwickler im Gegensatz zu Administratoren mit der Transaktion SACF die Möglichkeit, Szenariodefinitionen und aktive Szenarien zu entwickeln sowie die SUCD für Szenariodefinitionen (Design).

Wichtig: Die Aktivitäten „Ändern“ oder „Löschen“ nicht den Benutzern in Produktivsystemen zuweisen.

Überspringen oder genau durcharbeiten?

Sollten Sie nichts aktivieren, so verbleiben Sie berechtigungsmäßig auf einem veralteten Stand. Jedoch ist es nicht empfehlenswert, alle Szenarien außerhalb eines Projektes zu aktivieren. Die Änderungen müssen vorher auf dem K/Q vom Fachbereich geprüft werden – eine Simulation auf der Produktion funktioniert hier leider nicht. Die Empfehlung ist, die Szenarien nach genauem Lesen zu aktivieren, denn so werden dann an bestimmten Stellen Berechtigungsprüfungen eingeführt, wo vorher keine waren.

Wenn aktuell von der SAP Sicherheitshinweise ausgeliefert werden, sind viele Berechtigungsprüfungen erst einmal inaktiv bis sie in der SACF aktiviert werden. Wer also sowieso plant, ein Upgrade auf EH8 durchzuführen, sollte die meisten – wenn nicht sogar alle – Szenarien aktivieren. Damit greifen dann die neuesten Prüfungen und die Berechtigungen werden dann im Upgrade-Projekt sowieso getestet und in den Berechtigungs-Rollen entsprechend aktualisiert. Allerdings sollte der Fachbereich darauf vorbereitet werden, dass es an der einen oder anderen Stelle auch hinsichtlich Berechtigungsprüfungen Meldungen geben könnte.

1908870 – SACF | Workbench für schaltbare Berechtigungsszenarien  https://launchpad.support.sap.com/#/notes/1908870/D

1922808 – SACF | FAQ | Ergänzende Informationen zur Anwendung https://launchpad.support.sap.com/#/notes/1922808/D

Berechtigungsprüfungen auf Szenarien basierend durchführen https://help.sap.com/doc/erp2005_ehp_07/6.07/de-DE/aa/8c939fa0d6470a8d8da6aee5519c73/frameset.htm

SAP Berechtigungen: https://rz10.de/knowhow/sap-berechtigungen/


Artikel war hilfreichArtikel empfehlen

Beitrag als PDF-Dokument herunterladen

Laden Sie sich hier den Blogbeitrag kostenlos und unverbindlich als PDF-Dokument herunter.
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "SACF_COMPARE im SAP Upgrade: Überspringen oder durcharbeiten?"

Hallo Tobias, Wie kann ich sicherstellen, dass die Rollen der berechtigten Benutzer alle nötigen Berechtigungen enthalten bevor produktive Szenarien aktiviert werden?
Danke im Voraus!
Linus

Hallo Linus.
Wenn du bei deinem Szenario in der SACF nicht “Aktiv” sondern “Protokollierung” wählst, dann werden die Prüfungen nur protokolliert, aber führen nicht zu Berechtigungsfehlern. Den Trace kannst du dann auslesen und prüfen, ob noch etwas in deinen Rollen fehlt.
Siehe auch hier: Produktive Szenarien für Testzwecke anlegen SAP Help

Viele Grüße
Tobias

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support