SAP Rolle mit DEBUG/REPLACE Berechtigung erstellen

Autor: Tobias Harmes | 13. September 2019

Meistens möchte ich Debugging-Berechtigungen einschränken oder ganz aus dem System verbannen. Allerdings gibt es Fälle, wo eine Debugging-Berechtigung explizit angefordert wird – sei es von SAP selbst oder von einem Dienstleister. Hierfür kann ich eine spezielle Rolle vorbereiten.

Das Risiko

Das Berechtigungsobjekt S_DEVELOP erlaubt es, einem Entwickler während der Laufzeit des ABAP-Programms die vollständige Kontrolle über den Programmcode und den Variablen zu übernehmen. Dazu gehört das Ändern von Laufzeitvariablen und das Springen im Code. Der SAP Hinweis 65968 – ABAP-Debugging-Berechtigungen beschreibt die verschiedenen ABAP-Debugging-Berechtigungen. Normalerweise will man so eine Berechtigung auf keinen Fall im System – die Ordnungsmäßigkeit und Nachvollziehbarkeit des Systems wird dadurch gefährdet. Siehe dazu auch den Beitrag SAP Debug Berechtigung S_DEVELOP einschränken.

Trotz DEBUG/REPLACE das Risiko gering halten

Wenn Sie sich trotz des Beitrags nicht sicher sein sollten, ob das Sicherheitsrisiko zu hoch sein könnte, helfen wir Ihnen dabei helfen die Rolle zu erstellen. Für mehr Informationen melden Sie sich bei uns.

Anlegen der Rolle

Wenn es aber unbedingt eine DEBUG/REPLACE-Berechtigung sein soll, dann lege ich dafür am Besten eine extra Rolle an. Dort muss ich das Objekt S_DEVELOP manuell einfügen mit der ACTVT=02 und dem OBJTYPE=DEBUG.

In der leeren Rolle in der PFCG in den Berechtigungseditor wechseln…

Keine Vorlage auswählen

Berechtigungsobjekt S_DEVELOP manuell einfügen

Die Werte ACTVT=02 und dem OBJTYPE=DEBUG ausprägen

Dabei spielen die Inhalte der Berechtigungsfelder DEVCLASS, OBJNAME und P_GROUP keine Rolle. Die Berechtigung kann also nicht auf bestimmte Programme eingeschränkt werden.

Zum Abschluss die Rolle generieren und nach Bedarf transportieren und zuordnen.

Das Berechtigungsobjekt S_DEVELOP gilt auch für das Debugging mit “/h” bzw. “/hs” im OK-Feld. Bereits beim Start des Debuggers werden einige Berechtigungsprüfungen durchgeführt. Deshalb zeigt unter Umständen ein späterer Aufruf der Transaktion SU53 keine fehlenden Berechtigungen an, da keine erneute Prüfung erfolgte.

Hinweis: 2817976 – How-to create a role with DEBUG/REPLACE authorization https://launchpad.support.sap.com/#/notes/2817976

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

Artikel war hilfreich Artikel empfehlen

Dieser Beitrag ist auch als Download verfügbar: