SAP Rolle mit DEBUG/REPLACE Berechtigung erstellen

Autor: Tobias Harmes | 13. September 2019

1

Meistens möchte ich Debugging-Berechtigungen einschränken oder ganz aus dem System verbannen. Allerdings gibt es Fälle, wo eine Debugging-Berechtigung explizit angefordert wird – sei es von SAP selbst oder von einem Dienstleister. Hierfür kann ich eine spezielle Rolle vorbereiten.

Das Risiko

Das Berechtigungsobjekt S_DEVELOP erlaubt es, einem Entwickler während der Laufzeit des ABAP-Programms die vollständige Kontrolle über den Programmcode und den Variablen zu übernehmen. Dazu gehört das Ändern von Laufzeitvariablen und das Springen im Code. Der SAP Hinweis 65968 – ABAP-Debugging-Berechtigungen beschreibt die verschiedenen ABAP-Debugging-Berechtigungen. Normalerweise will man so eine Berechtigung auf keinen Fall im System – die Ordnungsmäßigkeit und Nachvollziehbarkeit des Systems wird dadurch gefährdet. Siehe dazu auch den Beitrag SAP Debug Berechtigung S_DEVELOP einschränken.

Trotz DEBUG/REPLACE das Risiko gering halten

Wenn Sie sich trotz des Beitrags nicht sicher sein sollten, ob das Sicherheitsrisiko zu hoch sein könnte, helfen wir Ihnen dabei helfen die Rolle zu erstellen. Für mehr Informationen melden Sie sich bei uns.

Anlegen der Rolle

Wenn es aber unbedingt eine DEBUG/REPLACE-Berechtigung sein soll, dann lege ich dafür am Besten eine extra Rolle an. Dort muss ich das Objekt S_DEVELOP manuell einfügen mit der ACTVT=02 und dem OBJTYPE=DEBUG.

In der leeren Rolle in der PFCG in den Berechtigungseditor wechseln...

In der leeren Rolle in der PFCG in den Berechtigungseditor wechseln…

Keine Vorlage auswählen

Keine Vorlage auswählen

 

Berechtigungsobjekt S_DEVELOP manuell einfügen

Berechtigungsobjekt S_DEVELOP manuell einfügen

Die Werte ACTVT=02 und dem OBJTYPE=DEBUG ausprägen

Die Werte ACTVT=02 und dem OBJTYPE=DEBUG ausprägen

Dabei spielen die Inhalte der Berechtigungsfelder DEVCLASS, OBJNAME und P_GROUP keine Rolle. Die Berechtigung kann also nicht auf bestimmte Programme eingeschränkt werden.

Kostenloses E-Book
Unser E-Book zum Thema SAP Security & Berechtigungen

Zum Abschluss die Rolle generieren und nach Bedarf transportieren und zuordnen.

Das Berechtigungsobjekt S_DEVELOP gilt auch für das Debugging mit “/h” bzw. “/hs” im OK-Feld. Bereits beim Start des Debuggers werden einige Berechtigungsprüfungen durchgeführt. Deshalb zeigt unter Umständen ein späterer Aufruf der Transaktion SU53 keine fehlenden Berechtigungen an, da keine erneute Prüfung erfolgte.

Hinweis: 2817976 – How-to create a role with DEBUG/REPLACE authorization https://launchpad.support.sap.com/#/notes/2817976

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Ein Kommentar zu "SAP Rolle mit DEBUG/REPLACE Berechtigung erstellen"

Die replace Berechtigung im debugging hat bei uns nur der Notfall-User. Und für dessen Einsatz benötigt man die Unterschriften vom CFO und CIO…

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support