SAP Rolle mit DEBUG/REPLACE Berechtigung erstellen
Autor: Tobias Harmes | 13. September 2019
Meistens möchte ich Debugging-Berechtigungen einschränken oder ganz aus dem System verbannen. Allerdings gibt es Fälle, wo eine Debugging-Berechtigung explizit angefordert wird – sei es von SAP selbst oder von einem Dienstleister. Hierfür kann ich eine spezielle Rolle vorbereiten.
Das Risiko
Das Berechtigungsobjekt S_DEVELOP erlaubt es, einem Entwickler während der Laufzeit des ABAP-Programms die vollständige Kontrolle über den Programmcode und den Variablen zu übernehmen. Dazu gehört das Ändern von Laufzeitvariablen und das Springen im Code. Der SAP Hinweis 65968 – ABAP-Debugging-Berechtigungen beschreibt die verschiedenen ABAP-Debugging-Berechtigungen. Normalerweise will man so eine Berechtigung auf keinen Fall im System – die Ordnungsmäßigkeit und Nachvollziehbarkeit des Systems wird dadurch gefährdet. Siehe dazu auch den Beitrag SAP Debug Berechtigung S_DEVELOP einschränken.
Trotz DEBUG/REPLACE das Risiko gering halten
Wenn Sie sich trotz des Beitrags nicht sicher sein sollten, ob das Sicherheitsrisiko zu hoch sein könnte, helfen wir Ihnen dabei helfen die Rolle zu erstellen. Für mehr Informationen melden Sie sich bei uns.
Anlegen der Rolle
Wenn es aber unbedingt eine DEBUG/REPLACE-Berechtigung sein soll, dann lege ich dafür am Besten eine extra Rolle an. Dort muss ich das Objekt S_DEVELOP manuell einfügen mit der ACTVT=02 und dem OBJTYPE=DEBUG.
Dabei spielen die Inhalte der Berechtigungsfelder DEVCLASS, OBJNAME und P_GROUP keine Rolle. Die Berechtigung kann also nicht auf bestimmte Programme eingeschränkt werden.
Zum Abschluss die Rolle generieren und nach Bedarf transportieren und zuordnen.
Das Berechtigungsobjekt S_DEVELOP gilt auch für das Debugging mit „/h“ bzw. „/hs“ im OK-Feld. Bereits beim Start des Debuggers werden einige Berechtigungsprüfungen durchgeführt. Deshalb zeigt unter Umständen ein späterer Aufruf der Transaktion SU53 keine fehlenden Berechtigungen an, da keine erneute Prüfung erfolgte.
Hinweis: 2817976 – How-to create a role with DEBUG/REPLACE authorization https://launchpad.support.sap.com/#/notes/2817976
Ein Kommentar zu "SAP Rolle mit DEBUG/REPLACE Berechtigung erstellen"
Die replace Berechtigung im debugging hat bei uns nur der Notfall-User. Und für dessen Einsatz benötigt man die Unterschriften vom CFO und CIO…