Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL

Autor: Tobias Harmes | 14. Dezember 2018

10 | 27 | #SAP_ALL

Mit der Nutzung des Profils SAP_ALL sind nennenswerte Risiken verbunden. Um diese Risiken zumindest für besonders kritische Berechtigungen wie zum Beispiel Debugging mit Änderungsberechtigungen zu reduzieren, kann mit wenig Aufwand eine zurückgebaute SAP_ALL Rolle erstellt werden. Diese ist auch für Nicht-Dialog-Benutzer geeignet.

Wichtig: Die durch diese Anleitung entstehende Rolle ist immer noch mit kompletten Admin-Berechtigungen ausgestattet. Es ist also weiterhin eine Rolle, die im Dialog nur einem protokollierten Notfallbenutzer zugeordnet sein sollte. Die Erstellung und Vergabe von einem zurückgebauten SAP_ALL (auch bekannt als Z_SAP_ALL oder ZSAP_ALL) sollte nur von Fachpersonal durchgeführt werden. Der wesentliche Unterschied zum reinen SAP_ALL: der Benutzer kann typische HGB-kritische Funktionen, wie das Löschen von Änderungsbelegen, nicht durchführen ohne dabei Spuren zu erzeugen. Und Nachvollziehbarkeit ist einer der wichtigsten Ansprüche der Buchführung.

Tipp: Wir haben auch einen Artikel für die Erstellung eines Nur-Lese-SAP_ALL.

1 Rolle anlegen/aktualisieren

Voraussetzung ist, dass ein aktuelles SAP_ALL-Profil im SAP-Standard erstellt wurde. Das Profil ist im Entwicklungssystem in jedem Arbeitsmandanten mit SU21 zu generieren.

Anlegen einer Rolle namens Z_SAP_ALL oder Pflege der bestehenden Rolle: Die Rolle sollte im Beschreibungsfeld zum Beispiel eine Kurzbeschreibung der durchgeführten Detail-Änderungen beinhalten, damit auch Adhoc eine Anleitung zur Neuerstellung im System verfügbar ist.

Die Rolle wird im Berechtigungseditor aufgerufen:


Sollte die Rolle schon existieren, im Expertenmodus “Profil löschen und neu anlegen” auswählen.


Es wird absichtlich keine Vorlage gewählt.


Bearbeiten -> Aus Profil…


Profil SAP_ALL selektieren.


Alle Berechtigungen einfügen.

Danach Org-Ebenen pflegen (Gesamtberechtigungen, “*”).


An dieser Stelle sollte die oberste Ampel “grün” zeigen.

Berechtigungsoptimierung der RFC-Schnittstellenbenutzer

Wie kann man die für SAP RFC-Schnittstellen erforderlichen Berechtigungen ohne Ausfall der Schnittstelle auf dem SAP-Produktivsystem optimieren?

2 Rückbau der Berechtigungen / Detail-Anpassungen im Editor:

In den Berechtigungen der Rolle Z_SAP_ALL sind nun folgende Anpassungen durchzuführen. Die Objekte können über Strg-F einfach gesucht werden.

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – Alle Aktivitäten außer RSET

OPTIONAL: Direktes Zuordnen von SAP_ALL unterbinden: Benutzerstammpflege: Berechtigungsprofil – B-Objekt : S_USER_PRO –  Zulässige Berechtigungsprofile (PROFILE) = /* bis SAP_ALK und SAP_ALM bis Z*

3 Nacharbeiten

Danach wie gewohnt generieren und transportieren. Das Vorgehen muss jedes Mal wiederholt werden, wenn SAP_ALL neu generiert wird (z.B. weil neue Berechtigungsobjekte importiert wurden).

Siehe auch – Bereinigung RFC User – SAP_ALL entfernen: https://rz10.de/angebot/berechtigungsoptimierung-der-rfc-schnittstellenbenutzer/

War dieser Artikel hilfreich für Sie? Ich freue mich über ein kurzes Feedback, zum Beispiel unter diesem Beitrag.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

10 Kommentare zu "Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL"

SAP liefert für diesen Zweck auch den Report REGENERATE_SAP_APP aus. Mit diesem Report kann eine Rolle generiert werden, die alle Berechtigungsobjekte enthält. Man kann bei der Generierung auswählen, ob z. B. HCM- oder Basis-Objekte ausgeschlossen werden sollen.

Hallo Herr Gehrer.
Danke für den Hinweis! Es gibt dazu auch mehrere SAP Notes, hier mal ein Einstieg: 2015655 – REGENERATE_SAP_APP | functional enhancement (https://launchpad.support.sap.com/#/notes/2015655)
Mit freundlichen Grüßen
Tobias Harmes

Sehr geehrter Herr Harmes,

ich habe Ihre Doku gelesen, wie man ZSAP_ALL Rolle anlegen kann und ich fand die Rolle ist sehr gut. Einige Berechtigungen wurden eingeschränkt. Es hat bei mir gut funktioniert. Nun habe ich eine erweitere Anforderung. Wie kann ich von diese Rolle SU01 und alle HR-Transaktionen ausschließen? ich habe versucht alle HR-Berechtigungobjekte, zB: P_CH_PK, P_DE_BW usw zu inaktivieren, aber es hat leider nicht funktioniert. Ich konnte immer noch die HR-Transaktion zB: CAPS, BCMK aufrufen.

Vielen Dank für Ihre Rückmeldung im Voraus.

Mit freundlichen Grüße

Nam Do

Hallo Herr Do.

Das Thema HR aus einem SAP_ALL herauszubekommen ist eine ziemlich undankbare Aufgabe. Sie könnten Tabellen (S_TABU_DIS und S_TABU_NAM) Berechtigungen um die P*-Bereiche ausklammern. Dann würden Sie zwar in die Transaktionen reinkommen, aber sehr wahrscheinlich wenig sehen und machen können. Ein anderer Weg ist die Nutzung von REGENERATE_SAP_APP (siehe Hinweis 1703299). Mit dem kann man eine SAP_APP-Roll (nicht zu verwechseln mit SAP_ALL) bauen, die keine HR-Objekte enthält -> Option “Keine HCM-Objekte aufnehmen”. Man kann auch eine Variante ohne Basis bauen. In neueren Systemen ist dieser Report auch über die Transaktion SU25 erreichbar. Allerdings ist das natürlich auch immer noch keine 100% sichere Sache. An irgendeiner Stelle muss man dann doch überlegen, ob es nicht nachhaltiger ist, eine passende Rollen neu zu bauen als eine (zu) große Rolle zu reduzieren.

Mit freundlichen Grüßen
Tobias Harmes

Hallo,
vielen Dank für den hilfreichen Artikel. Gibt es eine Standard Exceldatei oder eine Übersicht, die Rolleninhalte-Vorschläge für Entwickler bereitstellt? Also sowas wie Entwicklung, SE80, SPRO, Transport, Debuggen usw.?
Freue mich über Ihre Hilfe.

Hallo,
es gibt die Möglichkeit eines reduzierten SAP_ALL für das DEV-System wie im Artikel beschrieben. Da fehlt allerding S-DEVELOP mit Debug-Replace. Debuggen geht dann nur im Lesemodus. Das ist aber etwas, was ein Entwickler ab und zu doch nochmal benötigt. Wenn das bei Ihnen der Fall ist, müsste der Punkt S-DEVELOP vielleicht nochmal hinterfragt werden.
Ich hoffe, ich konnte Ihnen helfen!
Viele Grüße
Tobias Harmes

Lieber Tobias
hast du auch einen Tipp für ein zurückgebautes SAP_ALL für einen externen HR Berater auf der Produktion?
Herzliche Grüße
c

Hi Christine,
hm, wir verwenden gelegentlich noch die Variante “Kein HR” von ZSAP_ALL, wo wir alles was mit PA anfängt bei Transaktionen und Tabellen ausklammern. Aber der HR-Berater ist ja eigentlich das Gegenteil. Also da würde ich einfach das ZSAP_ALL nehmen und den in das Security Audit Log mit aufnehmen. Ansonsten schreib mal, was er nicht dürfen soll 🙂
Liebe Grüße
Tobias

Hallo,
wir müssen unbedingt verhindern, daß SAP_ALL und/oder andere System-Profile zugeordnet werden können.
Ich habe wie von Euch beschrieben folgendes in S_USER_PRO eingebaut
/* bis SAP_ALK und SAP_ALM bis Z*
das auch funkioniert, aber leider bekomme ich es nicht hin, das z.B. die weiteren System-Profile, wie z.B. S_A.SYSTEM und weitere S_.*-Profile zugeordnet werden können, welche auch zusammen das SAP_ALL haben.
Hier funktioniert etwas nicht mit der Sortierung im SAP?
Vielen Dank für eine Aufklärung
Ansonsten weiter so – bestens Eure Tipps!
LG, Günter

Hallo Günter,
eine sehr gute Frage, die auch tatsächlich gar nicht so einfach zu beantworten ist. Aus unserer Sicht die pragmatischste Lösung ist ein vollständiges Entfernen von S*. Also konkret wäre das der Filter: /* bis R* und T* bis Z*
Das schließt natürlich alle S*-Profile aus. In der Regel ist das aber kein Problem.

Viele Grüße

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice