Sie sind auf Seite 1von 278
SAP Basis & Security 2018/2019 ausgewählte Artikel von RZ10.de in der Version vom 18.01.2019 Schnelle

SAP Basis & Security 2018/2019

ausgewählte Artikel von RZ10.de in der Version vom 18.01.2019

Schnelle Hilfe benötigt?

Sie unsere SAP Basis & Security Expert Session ! SAP Basis & Security Experte Tobias Harmes:

SAP Basis & Security Experte Tobias Harmes:

"Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr Vorlaufzeit realisieren können."

Unverbindliches Angebot anfordern unter:

Noch Fragen? Ihre Ansprechpartnerin:

Noch Fragen? Ihre Ansprechpartnerin: Sarah Fritzenkötter Inbound Sales Mana g er Mail:

Sarah Fritzenkötter Inbound Sales Manager Mail: fritzenkoetter@rz10.de Telefon: 0211 9462 8572 25

rz10.de - die SAP Basis und Security Experten

Inhalt

1 noch… Audi A6 und SAP Security | Tobias Harmes

6

Archiver Stuck: Wenn das SAP System steht

8

Bei uns sorgt die Marketing-Abteilung für Innovation | Tobias Harmes

11

Berechtigungsprüfungen in Z-Reports - Quellcodeanalyse im

13

Transportprozess

Best Practice - Funktionsrollen mit dem RoleDesigner konzipieren

18

Best Practices - SAP Rollentypen im Überblick

22

Betatest: secinfo und reginfo Generator für SAP RFC Gateway

27

Blockchain Technologie

31

Datenschutz Auskunft mit SAP Read Access Logging (RAL)

38

Der DSAG-Prüfleitfaden

49

Die 5 häufigsten Fehler bei Adobe Document Services (ADS) Installationen

52

- mit Jeremia Girke

Digital signierte SAP Hinweise durch Einbau der Note 2408073 nutzen

56

DSAG Jahreskongress 2018 - meine SAP Basis & Security Nachlese

59

Externe Transportaufträge importieren - geht das auch einfacher?

64

Externe Transportaufträge in ein SAP-System importieren

68

HANA DB mit Eclipse erste Schritte

71

Internes Kontrollsystem für SAP IT Security - mit Hendrik Heyn

82

Konfiguration des Security Audit Log

85

Konsistenzprüfung von Objekten über mehrere Systeme

87

Kontrolle über die Import-Reihenfolge von Transporten

90

Login-Historie von Usern mittels SAL ermitteln

92

Löschen oder Bearbeiten in der SU01 führt zum Dump MESSAGE_TYPE_X

95

Bearbeiten in der SU01 führt zum Dump MESSAGE_TYPE_X 95 Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 2

Seite 2

rz10.de - die SAP Basis und Security Experten

Managed Services Q&A: Bedeutung und Nutzen für Unternehmen - mit

97

Maximilian Job

Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen

99

Minimal berechtigte SAP Rollen erstellen

102

Notfallbenutzerkonzept in SAP - Funktionsweise und Vorgehen

105

PFCG Massenkopieren Rollen – Tipps zum optimalen Vorgehen

109

Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen

115

Precalculation Server selber installieren

119

Prüfregelwerke für SAP - mit Sebastian Schreiber

124

Regeln des erfolgreichen Testmanagements

126

Revisionssicheres Berechtigungskonzept toolgestützt generieren und

128

überwachen

RFC-Callback Positivliste generieren

130

RSMEMORY: Dynamisches setzen von Speicherparametern

133

SAP absichern - Jenseits von Berechtigungen

137

SAP Business Warehouse: Quellsystem zurückbauen mit

139

Funktionsbausteinen

SAP Gateway Installation - Deployment Optionen

143

SAP Gateway und Infrastruktur für SAP Fiori - mit Rico Magnucki

146

SAP HANA DB to go - HANA 2.0 Express Edition als VM installieren

149

SAP Identity Management FAQ

165

SAP PFCG Standard-Rollen für Fiori Apps ermitteln

169

SAP RFC Gateway Sicherheit durch secinfo und reginfo ACL Dateien

173

SAP S/4HANA FAQ - Wann muss ich auf S/4HANA gehen? - mit Ingo

176

Biermann

Wann muss ich auf S/4HANA gehen? - mit Ingo 176 Biermann Ihr Ansprechpartner Sarah Fritzenkötter Inbound

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 3

Seite 3

rz10.de - die SAP Basis und Security Experten

SAP S/4HANA FAQ - Was ist eigentlich dieses HANA? - mit Ingo Biermann

178

SAP S/4HANA FAQ: Ist das noch ABAP? - mit Ingo Biermann

181

SAP Salesforce Integration - im Gespräch mit Robert Richter

184

SAP Security im Wandel – SAP HANA Berechtigungen

188

SAP Support als managed Services - wie funktioniert das eigentlich?

192

SAP TechEd 2018 Video Empfehlungen

195

SAP Web Dispatcher Security - Einschränkung des Admin-Zugriffs

198

SAP Web Dispatcher: Lastverteilung für Webanwendungen

200

SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung

204

Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren

207

SoD-Troubleshooting - Funktionstrennungskonflikte in SAP

210

Tagesworkshop 08.03.2018 – EU-Datenschutzgrundverordnung und

214

Berechtigungen in 2018

Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager

216

Toolgestützt Funktionsrollen entwickeln

219

Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP - mit Jeremia

225

Girke

Topf sucht Deckel – Connect 2018 – SAP Partner Summit in Düsseldorf

227

Transaktionen richtig aus einer Rolle entfernen

230

Treffen auf der Warm-Up Party zum DSAG Jahreskongress 2018 in Leipzig

233

Tür zu - es zieht! - SAP Web Dispatcher URL Filter konfigurieren

234

Umbenennen von Masterrollen und deren Ableitungen in SAP

240

Umgang mit inaktiven Benutzern

244

Umsetzung des ACID-Prinzips mit der HANA DB

247

Usage Procedure Logging im SAP Solution Manager

251

Usage Procedure Logging im SAP Solution Manager 251 Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 4

Seite 4

rz10.de - die SAP Basis und Security Experten

Veraltete Space Statistics im Early Watch Report

253

VPN für Fiori Apps – mit Tim Kostka

255

Warum die meisten Berechtigungskonzepte scheitern | Tobias Harmes

260

Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung

262

ermitteln

WhatsApp vom SAP Support

269

Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL

273

Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL 273 Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 5

Seite 5

rz10.de - die SAP Basis und Security Experten

1 noch… Audi A6 und SAP Security | Tobias Harmes

von Tobias Harmes - Beitrag vom 2. November 2018 - Artikel online öffnen

Neulich bin ich mit dem neuen Audi A6 gefahren. Und meine Interpretation einer Kontrollleuchte hatte erstaunliche Parallelen zum Thema SAP Security.

Viel Spaß allen mit dieser Episode! Vielen lieben Dank für all euren Support!

Für unterwegs - den Podcast abonnieren: https://rz10.de/podcast Oder auf youtube:

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms Ich hatte den neuen Audi A6 Limousine eigentlich nicht gebucht. Der Flieger war spät, Sixt hatte keine Auswahl mehr, ich bekam ein Upgrade. Gut, ich habe mich auch nicht lange gewehrt. Auf dem Weg zum Kundenworkshop ging dann die letzte Meile über die Landstraße. Und dort hatte ich dann plötzlich ein neues Kontrolllämpchen: ein Fuß. Ein paar Kilometer später und ausprobieren (wann zeigt er es an) hatte ich dann irgendwann kapiert, was das Auto wollte. Ich sollte den Fuß vom Gas nehmen - und der Wagen beschleunigte wie von Geisterhand auf Strich 70 - wie an dieser Stelle das Tempolimit vorgab. Es war ein neues Feature: Prädiktiver Effizienzassistent heißt das bei AUDI. Mit automatischem Abbremsen vor Kurven. Ich bin selten so entspannt (und so korrekt hinsichtlich des Tempos) auf einer Landstraße unterwegs gewesen.

des Tempos) auf einer Landstraße unterwegs gewesen. Audi-Profis werden jetzt vermutlich sagen: wie kann man das

Audi-Profis werden jetzt vermutlich sagen: wie kann man das Feature denn nicht kennen? Ich hätte auch ins Handbuch gucken können. Tja, aber ich wollte ja auch pünktlich sein. In Strategieworkshops zum Thema SAP Berechtigungen rede ich auch oft über Warnanzeigen und Kontrollleuchten. Manche Meldungen wie "SAP_ALL in technischen Usern" oder "Azubi mit mehr Rechten als der FI-Keyuser" werden weggedrückt wie Wischwasser-Warnungen. Irgendwann gesellen sich zu den gelben Symbolen auch rote Symbole. Und dann wird es teuer. Auf Verschleiß fahren - sowas würde man beim Auto nicht machen. Das liegt aber auch daran, dass bei einem Auto die Warnmeldung viel klarer

auch daran, dass bei einem Auto die Warnmeldung viel klarer Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 6

Seite 6

rz10.de - die SAP Basis und Security Experten

sind als bei SAP Security. Gerade deshalb: wer hier die Lämpchen ignoriert riskiert wie beim Auto eine Panne, vielleicht sogar einen Crash. Nicht alle Lämpchen bedeuten, dass man in die Werkstatt muss. Manchmal sind es auch Dinge wie das Symbol mit dem Fuss, ein Anzeichen, dass es effizienter ginge. Wo lassen Sie Kontrolllämpchen blinken mit Blick auf die Uhr und das Budget? Wo haben Sie selbst schon solche Erfahrungen gemacht? Ich würde mich freuen, von Ihnen zu hören. Fehlerspeicher auslesen, Lämpchen zurücksetzen und Effizienz-Beratung:

Für den Fall, dass Sie gar keine Lämpchen sehen:

Kostenloser Basis-Selbst-Check: https://rz10.de/angebot/hgb-check-sap-security-check/ Kostenpflichtiger Profi-Check: https://rz10.de/angebot/sap-security-check/ Mit freundlichen Grüßen, Tobias Harmes PS: Wenn Sie Fragen haben: Sie können mich für eine Expert Session buchen:

buchen: https://rz10.de/online-beratung-tobias-harmes/ Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 7

Seite 7

rz10.de - die SAP Basis und Security Experten

Archiver Stuck: Wenn das SAP System steht

von Maria Joanna Born - Beitrag vom 4. Juli 2018 - Artikel online öffnen

Kennen Sie diese Situation? Bei jedem Versuch der Anmeldung an Ihrem SAP System bekommen Sie nur eine Sanduhr zu sehen? Falls Sie bereits angemeldet sind, ist es Ihnen nicht möglich eine neue Transaktion aufzurufen, weil das System diese scheinbar bis in alle Ewigkeit lädt? Hintergrundjobs laufen auf Time-Outs? Nichts geht mehr? Die Ursachen hierfür können vielfältig sein. Es gibt jedoch eine Ursache, die besonders häufig vorkommt - den sogenannten Archiver Stuck. Was das ist, wie Sie diese Situation erkennen und beheben können, will ich Ihnen in diesem Beitrag erklären.

Oracle-Datenbanken schreiben für jede Schreib-Operation, die auf der Datenbank getätigt wurde, Einträge in ein Redolog. Hierbei handelt es sich um eine Datei, die zunächst auf dem Server der Datenbank abgelegt wird. In der Regel haben Sie bereits eine Methode zur regelmäßigen Archivierung und Löschung dieser Dateien eingerichtet, da ansonsten in Dateisystem bis ins unendliche wachsen müsste. Es kann aber vorkommen, dass diese Methode nicht schnell genug greift, weil zum Beispiel deutlich mehr Operationen stattfinden als erwartet. Außerdem ist es möglich, dass der Archivierungsserver voll ist, keine Verbindung zu diesem hergestellt werden kann oder dieser sogar defekt ist. Was passiert dann? Die Datenbank schreibt weiter Redologs und das Dateisystem füllt sich langsam aber sicher. Irgendwann ist es zu 100% gefüllt. Das System wartet darauf, Änderungen protokollieren zu können und es werden keine weiteren Ressourcen mehr frei. Auch wenn Sie jetzt einen Weg finden, Ihre Archivierungsmethode wiederherzustellen, indem also zum Beispiel das Netzwerk repariert wird, läuft das Archivierungsprogramm nicht mehr, da es zum arbeiten freien Speicher in eben diesem Dateisystem bräuchte. Das nennt man einen Archiver Stuck.

Wie erkennen Sie einen Archiver Stuck?

Das Hauptsympton eines Archiver Stucks kennen Sie bereits, egal was Sie im System tun wollen, Sie bekommen nichts als eine Sanduhr zu sehen. Es gibt jedoch noch weitere Symptome, die Ihnen dabei helfen den Archiver Stuck deutlich von anderen Ursachen zu unterscheiden.

Stuck deutlich von anderen Ursachen zu unterscheiden. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 8

Seite 8

rz10.de - die SAP Basis und Security Experten

1. Sie können sich nicht mehr an der Datenbank anmelden. Beim Versuch, sich z. B. mit sqlplus an der Datenbank anzumelden, erhalten Sie diese oder eine ähnliche Fehlermeldung:

ORA-00257: archiver error. Connect internal only, until freed

2. Es sind Fehlermeldungen bezüglich eines I/O-Errors im Datenbank-Trace zu sehen.

3. Das Dateisystem ist zu 100 % gefüllt. Im Idealfall wissen Sie bereits, wo ihre Datenbank die Redologs hinschreibt. Ein Standardpfad ist

$ORACLE_HOME/oraarch/oraSID

Ansonsten gibt der Datenbank-Parameter

log_archive_dest

Auskunft

(iniSID.ora) angegeben.

über

diesen

Speicherort.

Dieser

ist

im

Startprofil

der

Datenbank

4. Alle Workprozesse sind belegt. Dieses Symptom kann zusätzlich zu den oben genannten auftreten, muss es aber nicht. Es kann zu dieser Situation kommen, weil kein Workprozess mehr Buchungen auf der Datenbank durchführen kann. Der aktuelle User oder Job belegt dann dauerhaft seinen Workprozess und gibt diesen nicht wieder frei. Dadurch sind sehr schnell alle Workprozesse belegt. Wenn Sie sich nicht mehr am System anmelden können, können Sie dies unter Unix mit Hilfe des Tools dpmon einsehen. Falls Sie mehrere Applikationsserver betreiben, müssen Sie diesen Befehl auf dem jeweiligen Applikationsserver ausführen. Wichtig ist, dass dieses Symptom alleine kein Hinweis auf einen Archiver Stuck ist. Es kann diverse andere Ursachen haben.

Behebung eines Archiver Stuck

Wenn der Archiver Stuck erstmal aufgetreten ist, haben Sie nicht mehr viele Möglichkeiten, ihn zu beheben. Für jede der Lösungen ist Geschwindigkeit von Vorteil. Stellen Sie also vorher unbedingt sicher, dass der Archiver loslaufen kann, wenn er erstmal Platz im

dass der Archiver loslaufen kann, wenn er erstmal Platz im Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 9

Seite 9

rz10.de - die SAP Basis und Security Experten

Dateisystem hat. Die beste Lösung ist, sog. Dummy-Dateien, also Dateien ohne Inhalt, aus dem Verzeichnis zu löschen, sofern solche Dateien vorhanden sind. Eventuell ist es auch möglich, das Dateisystem online zu erweitern und so kurzfristig mehr Platz zu schaffen. Sie können auch den Speicherort für für die Dateien kurzfristig zu ändern. Dafür müssen Sie den o.g. Parameter anpassen und die Datenbank neustarten. Als letzten Ausweg können Sie die Redologs auch verschieben. Ich rate Ihnen, diese nicht zu löschen, denn ohne sie können Sie die Datenbank nicht wiederherstellen. Verschieben Sie am besten die neusten Dateien, um die Reihenfolge der Dateien zu erhalten. So können Sie zwar kurzfristig Platz schaffen um den Archiver zu starten, aber die verschobenen Dateien werden nicht archiviert. Im Fall eines Hardware-Fehlers sind diese ggf. nicht wiederherstellbar. Wenn der Archiver Stuck endgültig behoben ist, können Sie ein vollständiges Backup machen. Danach werden die verschobenen Redolog-Dateien sehr wahrscheinlich nicht mehr benötigt. Um einem Archiver Stuck vorzubeugen gilt es vor allem abzuschätzen, wie viele Redolog- Dateien in Ihrem System pro Minute geschrieben werden und die Archivierung dieser entsprechend des vorhandenen Platzes auf dem Dateisystem einzuplanen. Ich empfehle Ihnen, als Puffer manuell Dummy-Dateien anzulegen, die etwa 5% des Platzes auf dem Dateisystem einnehmen. Dieser Puffer kann im Notfall einfach gelöscht werden, um einen Archiver Stuck schnell beheben zu können, ohne dass relevante Daten verloren gehen. Haben Sie Erfahrungen mit Archiver Stucks und kennen vielleicht noch andere Lösungsmöglichkeiten? Ich freue mich über Ihre Kommentare.

Ich freue mich über Ihre Kommentare. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 10

Seite 10

rz10.de - die SAP Basis und Security Experten

Bei uns sorgt die Marketing- Abteilung für Innovation | Tobias Harmes

von Tobias Harmes - Beitrag vom 16. November 2018 - Artikel online öffnen

"Never change a running system" war auch jahrelang meine Devise – bis ich neulich ein interessantes Interview gehört habe. Es geht um nichts weniger als die Bankrott-Erklärung der IT beim Thema Innovation.

Für unterwegs - den Podcast abonnieren: https://rz10.de/podcast

Oder auf youtube:

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Als Mitarbeiter der IT war jahrelang ein quasi verdeckter Eintrag in der Stellenbeschreibung auch, die neueste Technologie in das Unternehmen reinzutragen. Innovation aus der IT. So jedenfalls war es Anfang der 2000er, wo noch nicht jeder Zugriff auf Google hatte. Für mich war das eigentlich auch immer noch die Wahrheit. Denn IT ist doch das, was das Unternehmen am Laufen hält und den Wettbewerb auf Abstand.

Bis ich neulich den Podcast von t3n mit dem Titel "Warum Firmen-IT so schlecht ist" gehört habe. Darin beschreibt Olaf Kapinski seine Erfahrungen aus mehr als 17 Jahren IT-Leitung. Und einem Problem, das mir immer wieder im Bereich Security entgegenschlägt: Dass die IT in Wirklichkeit die größte Bremse der Innovation ist.

Aber nicht, weil ITler Innovation doof finden. (Hallo, es hat ja wohl jeder von uns Cloud- Services zu Hause, GoogleMail und DropBox senden ihre Grüße). Sondern weil die Haupt- KPI, der Haupt-Messpunkt seit Jahrzehnten nur eins ist: "Verfügbarkeit. Verfügbarkeit. Verfügbarkeit."

Totale Fixierung auf Verfügbarkeit und gleichzeitig der Anspruch auf Innovation – das passt ungefähr so harmonisch zusammen, wie Tempo 200 fahren und den Rückwärtsgang

zusammen, wie Tempo 200 fahren und den Rückwärtsgang Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 11

Seite 11

rz10.de - die SAP Basis und Security Experten

einlegen. Und deshalb wird jede Anfrage aus dem Fachbereich mit einem genervten "Die mal wieder mit der Cloud" quittiert. Dahinter steckt aber nicht Faulheit, sondern der durchaus erfolgreiche Erfahrungswert: "Never change a running system."

So stehen sich Fachbereich und IT als verhärtete Fronten gegenüber, die selbst geschaffen worden sind… und der Geschäftsführer hinter vorgehaltener Hand gibt zu: "Bei uns sorgt die Marketing-Abteilung für Innovation". Frei nach dem Motto: Die machen ja sowieso die ganze Zeit Instagram, Facebook und so. Da fällt das bisschen Office 365 und Salesforce Marketing Cloud nicht auf.

Die IT-Infrastruktur von Unternehmen ändert sich schon seit mehreren Jahren radikal. Die Grenzen von On-Premise und Cloud verschwinden. Das Thema Security-by-design und Security-by-Default war bisher sinnvoll – mit der Neuordnung der EU-DSGVO steht es jetzt sogar im Gesetz.

Hier wäre mal eine Gelegenheit innovativ voranzugehen und nicht nur gerade so hoch zu springen, wie der Prüfer die Latte legt. Es geht nämlich auch anders. In meiner Nachlese vom DSAG Kongress 2018 berichte ich über die Rehau AG. Dort hat man ein IDM-System aufgesetzt, bei dem die Anwender ohne große Schulung Berechtigungen im Self-Service anfordern können. Es wird im System dann auch provisioniert – über moderne Nutzeroberflächen.

Hier muss sich die IT ganz sicher nicht verstecken.

Manchmal muss es auch einen Impuls von außen geben – so etwas bieten wir an. In meinen Strategieworkshop für SAP Berechtigungen gehe ich zwei Tage lang bei Ihnen vor Ort auf Ihre Ausgangslage ein. Dort gebe ich Empfehlungen, was Sie tun können, um Sicherheit und Innovation zu verbinden. Wenn Sie das interessiert, melden Sie sich gerne bei mir.

Was denken Sie darüber?

Mit freundlichen Grüßen,

Tobias Harmes

PS:

Wenn

Sie

Fragen

haben:

Sie

können

mich

für

Wenn Sie Fragen haben: Sie können mich für Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

eine

Expert

Session

Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de eine Expert Session Seite 12

Seite 12

rz10.de - die SAP Basis und Security Experten

Berechtigungsprüfungen in Z- Reports - Quellcodeanalyse im Transportprozess

von Jonas Krueger - Beitrag vom 29. August 2018 - Artikel online öffnen

Auch ein gutes Berechtigungskonzept ist nur in Verbindung mit ausreichenden Berechtigungsprüfungen tragfähig. Besonders eigenentwickelte Z-Programme im SAP System können weitreichende Sicherheitslücken aufwerfen, wenn Berechtigungsprüfungen nicht funktional implementiert wurden. Denn wenn die Berechtigungen gar nicht geprüft werden, ist es unerheblich, welche Berechtigungen ein Nutzer besitzt.

Die Verwendung von Authority Checks in selbst entwickelten ABAP Reports obliegt der Verantwortung jedes Entwicklers. Durch das SAP Backend werden selbstständig keine Berechtigungsprüfungen, beispielsweise beim Zugriff auf Tabelleninhalte, durchgeführt. Wie Sie durch automatische Quellcodeanalyse effektiv sicherstellen können, dass alle eigenentwickelten Programme die notwendigen Sicherheitsmechanismen enthalten, möchte ich im Folgenden erläutern.

Berechtigungsprüfungen in ABAP Programmen

Die Berechtigungsprüfung wird in ABAP durch das Sprachelement AUTHORITY-CHECK implementiert, durch das überprüft wird, ob der ausführende Benutzer ein Berechtigungsobjekt mit einer festgelegten Ausprägung besitzt. Ein beispielhafter Authority Check kann wie folgt aussehen:

AUTHORITY-CHECK OBJECT 'S_TCODE' ID 'TCD' FIELD 'SE16N' ID 'ACTVT' FIELD '03'. IF sy-subrc <> 0. MESSAGE 'Keine ausreichende Berechtigung' TYPE E. ENDIF.

Durch

Benutzerberechtigungspuffer (Transaktion SU56) das Berechtigungsobjekt S_TCODE mit der

Benutzer in seinem

diese

Prüfung

wird

überprüft,

ob

der

Benutzer in seinem diese Prüfung wird überprüft, ob der Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 13

Seite 13

rz10.de - die SAP Basis und Security Experten

Ausprägung SE16N im Feld TCD besitzt (ob also der User die Transaktion SE16N aufrufen darf). Es ist bei der Prüfung unerheblich, aus welcher Rolle oder welchem Profil der Benutzer dieses Berechtigungsobjekt erhalten hat.

Dokumentation zu Berechtigungsobjekten nachschlagen

Um einen Authority Check umzusetzen, benötigt der Entwickler Informationen zu den in System vorhandenen Berechtigungsobjekten und zur Bedeutung der jeweiligen Felder und Ausprägungen. Diese können in der Regel der Dokumentation der Berechtigungsobjekte entnommen werden. Alle im SAP System vorhandenen Berechtigungsobjekte sind in der Transaktion SU21 einsehbar. Hier kann auch auf die Dokumentation zu dem Berechtigungsobjekt zugegriffen werden und die Bedeutung der zulässigen Aktivitäten nachgelesen werden.

Bedeutung der zulässigen Aktivitäten nachgelesen werden. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 14

Seite 14

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Implementierung von Berechtigungsprüfungen durch Quellcodeanalyse

Implementierung von Berechtigungsprüfungen durch Quellcodeanalyse überwachen

SAP Systemverantwortliche stehen vor der Herausforderung, die korrekte Umsetzung der Zugriffskontrolle in ABAP Programmen zu überwachen. Bei Transporten neuer oder veränderter ABAP Programme steht die Frage im Raum, ob Berechtigungsprüfungen korrekt eingebaut wurden. Bei der Sicherstellung korrekter Sicherheitsprüfungen können Werkzeuge zur Quellcodeanalyse unterstützen.

Der XAMS ABAP Alchemist verfügt über umfangreiche Funktionen zur Analyse des ABAP Quellcodes. Der Prüfumfang kann durch Auswahl vordefinierter Prüfungen individuell

kann durch Auswahl vordefinierter Prüfungen individuell Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 15

Seite 15

rz10.de - die SAP Basis und Security Experten

festgelegt werden. Neben dem einmaligen Scan aller eigenentwickelten ABAP Programme in Ihrem SAP System kann der ABAP Alchemist auch für eine regelmäßige Überprüfung konfiguriert werden. Die Durchführung der Prüfungen kann in den Transportprozess eingebunden werden. So kann sichergestellt werden, dass Programme mit fehlenden Berechtigungsprüfungen nicht unbemerkt in die Produktivumgebung gelangen. Die Prüfung durch den ABAP Alchemist stellt somit eine Möglichkeit zum automatisierten Testen des Quellcodes bereit. Die Prüfung kann hierbei, wie im folgenden Screenshot zu sehen, mit verschiedenen Einstellungen konfiguriert werden: von einer Warnung des Benutzers bis hin zu einer Unterbrechung des Transportprozesses können Einstellungen getroffen werden, was im Falle einer Feststellung passieren soll.

werden, was im Falle einer Feststellung passieren soll. Unsere Empfehlung: Prüfung der Z-Reports im Zusammenhang

Unsere Empfehlung: Prüfung der Z-Reports im Zusammenhang mit Berechtigungsredesign

Im Rahmen eines Berechtigungsredesigns empfehlen wir, zu Beginn des Projektes die Z- Programme auf Berechtigungsprüfungen zu überprüfen und ggf. zu ergänzen. Bei einem Berechtigungsredesign sollen die Nutzer passgenaue Berechtigungen für ihre Aufgaben erhalten. Um die benötigten Berechtigungen durch einen Berechtigungstrace zu ermitteln, ist es daher sinnvoll, die Berechtigungsprüfungen zu Projektbeginn zu überprüfen und ggf. zu ergänzen, sodass sie im Berechtigungstrace sichtbar sind. Wenn Sie mehr über unsere standardisierte Vorgehensweise beim SAP Berechtigungsredesign erfahren möchten, sprechen Sie mich gerne jederzeit an oder lesen Sie mehr unter https://rz10.de/angebot/sap-berechtigungskonzept/ Nutzen Sie bereits automatisierte Quellcodeanalyse in Ihrem SAP System? Erzählen Sie mir

Quellcodeanalyse in Ihrem SAP System? Erzählen Sie mir Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 16

Seite 16

rz10.de - die SAP Basis und Security Experten

gerne von Ihren Erfahrungen damit. Ich freue mich über eine Rückmeldung in den Kommentaren oder per E-Mail.

über eine Rückmeldung in den Kommentaren oder per E-Mail. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 17

Seite 17

rz10.de - die SAP Basis und Security Experten

Best Practice - Funktionsrollen mit dem RoleDesigner konzipieren

von Christian Schröer - Beitrag vom 18. Juni 2018 - Artikel online öffnen

Schluss mit Tabellenkalkulationen, mehrwöchigen Iterationen und nachgelagerten

Bereinigen von kritischen Berechtigungen. Ich möchte Ihnen mit diesem Blogbeitrag einen toolgestützten Best Practice-Ansatz zum Aufbau eines Funktionsrollen-Konzeptes für Fachabteilungen mit dem XAMS RoleDesigner vorstellen

.

Der RoleDesigner ist ein Modul der Xiting Authorizations Management Suite, einem umfassenden Werkzeug zur Unterstützung bei Berechtigungsredesigns und dem Betrieb eines neuen Berechtigungskonzepts. Dieses Modul findet hauptsächlich zu Beginn eines Berechtigungsredesigns, in der Konzeptionsphase, seine Anwendung und bietet hier viele Vorteile gegenüber klassischen Ansätzen mit Tabellenkalkulationen, wie sie in Berechtigungsredesigns lange Zeit genutzt wurden.

Wie funktioniert der RoleDesigner?

Das Hauptbild des RoleDesigners ist ein virtuelles Cockpit, in dem Benutzer nach Funktionen gruppiert, mit virtuellen Rollen provisioniert und diese mit Transaktionen befüllt werden

können.

und diese mit Transaktionen befüllt werden können. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales
und diese mit Transaktionen befüllt werden können. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 18

Seite 18

rz10.de - die SAP Basis und Security Experten

Linksstehend finden sich alle Transaktionen, die von den Benutzern im Scope während eines bestimmten Zeitraums aufgerufen wurden. In der Mitte sind die (virtuellen) Rollen des Projektes aufgelistet. Rechts finden sich die Benutzer, gruppiert nach Abteilungen. Transaktionen können via Drag&Drop in Rollen aufgenommen werden, Rollen den einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen werden. Für jeden Benutzer wird angezeigt, wie hoch der Abdeckungsgrad der aufgerufenen Transaktionen durch die neuen Rollen ist. Wir empfehlen hier, mindestens 90% zu erreichen und auf 100% abzuzielen. Ausnahmen können in eine Blacklist aufgenommen werden, sodass diese Transaktionscodes nicht in die Berechnung des Abdeckungsgrades einfließen.

Woher kommen die Daten?

Eine Gruppierung der Nutzer kann über die Benutzergruppe, Funktion oder Abteilung erfolgen. Diese Daten werden direkt aus dem Benutzerstamm gelesen und können im RoleDesigner angepasst werden, um eine bessere Gruppierung zu erreichen. Diese Änderungen haben keine Auswirkungen auf den Benutzerstamm.

Der RoleDesigner verwendet die in der ST03N erfassten Aufrufstatistiken. Wenn Sie ein Redesign planen, empfehlen wir daher, frühzeitig den Zeitraum für die Erhebung der ST03N- Daten auf 13 Monate einzustellen, um Jahresabschlüsse und Quartalsabschlüsse in den Scope zu nehmen. Mehr zur ST03N und wie Sie die Parameter einstellen können erfahren Sie in folgendem Beitrag:

SAP ST03N: Änderung der Aufbewahrungszeit von genutzten Transaktionen Der Rollenbau erfolgt im Entwicklungssystem, im Vorfeld werden jedoch die benötigten ST03N-Daten aus der Produktion exportiert. So erhalten wir für jeden Benutzer eine Liste aller von ihm benötigten Transaktionen im Rahmen der täglichen Ausübung seiner Funktion.

Wen muss ich an den Tisch holen?

Jede Berechtigungsrolle benötigt einen Rollenverantwortlichen, der über deren Zuweisung und Änderungen am Inhalt auf Transaktionslevel entscheidet. Wir haben gute Erfahrungen damit gemacht, diese Verantwortung in die Fachbereiche zu geben und je Fachabteilung einen dedizierten Rollenverantwortlichen für die Funktionsrollen der Abteilung zu benennen. Dieser sollte frühzeitig involviert werden, im Idealfall schon zur Rollenkonzeptionsphase. Wichtig ist hier eine klare Aufgabenverteilung: Der Rollenverantwortliche ist fachlich verantwortlich, das heißt er entscheidet darüber, welche Transaktionen/Anwendungen mit dieser Funktion ausgeführt werden dürfen und wer die

mit dieser Funktion ausgeführt werden dürfen und wer die Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 19

Seite 19

rz10.de - die SAP Basis und Security Experten

verantwortete Rolle zugewiesen bekommen darf. Die technische Umsetzung und Ausprägung der Rolle liegt in der IT. Durch die einfache Änderbarkeit der konzipierten Rollen im RoleDesigner können hier gemeinsam mit dem Rollenverantwortlichen verschiedene Szenarien durchgespielt und verschiedene Ansätze ausprobiert werden, ohne im System etwas zu ändern.

Wie können kritische Berechtigungen identifiziert werden?

Obwohl zu diesem Zeitpunkt des Projektes nur die Transaktionen angeschaut werden, so ist es trotzdem möglich, kritische Berechtigungen und SoD-Konflikte zu ermitteln, die üblicherweise auf Berechtigungsobjekt-Ebene definiert werden. Grund dafür ist die Arbeit mit der SU24 - der Transaktion zur Pflege kundenindividueller Vorschlagswerte. Zu jeder Transaktion wird eine Reihe vorgeschlagener Berechtigungsobjekte von der SU24 geliefert. Diese Vorschlagswerte können um eigene Vorschlagswerte ergänzt werden. Der RoleDesigner kann die SU24-Daten auslesen und verarbeiten und so Konflikte aufdecken, bevor die Rollen überhaupt in der PFCG angelegt wurden.

Wie geht es danach weiter?

In den Berichten des RoleDesigners können alle konzipierten Rollen mit einem Klick in der PFCG angelegt werden. Transaktionscodes, die der Rolle zugewiesen worden, werden ins Menü der Rolle aufgenommen, sodass auch die Berechtigungsvorschlagswerte aus der SU24 den Weg in die Rollen finden. Für einen späteren GoLive der neuen Rollen kann die konzipierte Benutzer-Rollen- Zuordnungsmatrix exportiert werden, diese lässt sich dann zum GoLive direkt ins System importieren und setzt die dort beschriebenen Zuordnungen live.

Mit dem hier beschriebenen Ansatz haben die Rollen natürlich noch nicht den Reifegrad, um live gesetzt zu werden. Stattdessen haben wir je Abteilung verschiedene Funktionen identifiziert, für diese Funktionsrollen aufgebaut und für diese Rollen alle beinhalteten Transaktionen ermittelt.

Stehen Sie vor der Herausforderung, ein neues, Funktionsrollen-basiertes Berechtigungskonzept implementieren zu wollen? Welche Erfahrungen haben Sie bei der

zu wollen? Welche Erfahrungen haben Sie bei der Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 20

Seite 20

rz10.de - die SAP Basis und Security Experten

Konzeption eines Rollenkonzeptes für Ihre Fachabteilungen gemacht? Ich freue mich auf Ihre Fragen und Anregungen.

gemacht? Ich freue mich auf Ihre Fragen und Anregungen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 21

Seite 21

rz10.de - die SAP Basis und Security Experten

Best Practices - SAP Rollentypen im Überblick

von Luca Cremer - Beitrag vom 7. Januar 2019 - Artikel online öffnen

SAP Berechtigungsrollen können auf verschiedenste Weise genutzt werden. Dazu werden üblicherweise SAP Rollentypen unterschieden. In diesem Beitrag möchte ich Ihnen die von uns am häufigsten genutzten Typen und deren Funktionsweise einmal erklären.

Neben denen im SAP Standard vorgesehenen Rollentypen gibt es Unterscheidungen von Berechtigungsrollen hinsichtlich ihrer Verwendung im Unternehmenskontext. Warum das sinnvoll ist und wie Sie diese Rollen in Ihrem Unternehmen nutzen können, möchte ich Ihnen in dem folgenden Beitrag näher bringen.

SAP Standard Rollentypen

SAP unterscheidet zwischen zwei verschiedenen Typen von Rollen. Hier gibt es die Einzelrollen und Sammelrollen.

Diese unterscheiden sich, da sie SAP-technisch einen anderen Typen widerspiegeln. Sammelrollen sind ein Zusammenschluss von mehreren Einzelrollen. Bei der Zuweisung einer Sammelrolle zu einem Benutzer werden die zugeordneten Einzelrollen erkannt und dem User indirekt über die Sammelrolle zugewiesen.

In der SU01 sieht das dann wie folgt aus:

zugewiesen. In der SU01 sieht das dann wie folgt aus: Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 22

Seite 22

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten SAP Rollentypen Hier ist in der rechten Spalte

SAP Rollentypen

Hier ist in der rechten Spalte auch die Art der Zuweisung zu erkennen. Die unteren beiden Rollen stammen in diesem Fall aus einer Sammelrolle und sind dem Benutzer damit nur indirekt zugewiesen.

Verwendung von Sammelrollen

Fraglich ist ob und in welcher Form Sammelrollen sinnvoll eingesetzt werden sollten. Ein Szenario, welches wir oft sehen ist die Kombination von verschiedenen Einzelrollen für die Definition eines Arbeitsplatzes. Hier werden dann mehrere Rollen, zur Anzeige und Änderung von unterschiedlichsten Daten kombiniert, um alle Tätigkeiten eines Arbeitsplatzes vollkommen abzubilden.

Diese Art der Verwendung ist durchaus sinnvoll und kann die Arbeit bei der Zuweisung von Rollen, also wenn z. B. ein neuer Mitarbeiter in Ihr Unternehmen kommt, erleichtern.

Problematisch werden Sammelrollen sobald Berechtigungen abgeändert werden müssen und nicht die bereits erstellten Rollen genutzt werden können. Jetzt muss, als erster Schritt, analysiert werden an welcher Stelle die Berechtigungen überhaupt zu ändern sind. Wenn generell Sammelrollen im Einsatz sind, geht hierdurch auch schnell der Überblick verloren welche Auswirkungen die Anpassung einer Berechtigung in einer einzelnen Rolle hat, da die Rolle erstens verschiedenen Benutzern direkt zugewiesen sein kann aber auch zweitens noch in unterschiedlichsten Sammelrollen enthalten sein könnte.

in unterschiedlichsten Sammelrollen enthalten sein könnte. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 23

Seite 23

rz10.de - die SAP Basis und Security Experten

Aufgrund der Übersichtlichkeit und Nachvollziehbarkeit von zugewiesenen Berechtigungen empfehlen wir deshalb die reine Verwendung von Einzelrollen.

Rollentypen - Best Practices

Neben der technischen Unterscheidung von Rollentypen aus dem SAP Standard können Rollen auch zusätzlich aufgrund ihrer Funktion typisiert werden.

Wir nutzen bei unseren Kunden häufig die folgenden Unterscheidungen von Rollentypen:

Referenzrolle

Hierbei handelt es sich um eine Funktionsrolle (Tätigkeitsbezogen) mit den entsprechenden Berechtigungsobjekten, jedoch ohne Ausprägung der Organisationsebenen. Sie dient sozusagen als Vorlage für die später folgenden abgeleiteten Rollen und kann deshalb für verschiedene Organisationseinheiten verwendet werden. Die Referenzrolle wird jedoch aufgrund der fehlenden Ausprägungen der Organisationsebenen niemals einem Benutzer zugewiesen.

Funktionsrolle - abgeleitet

Jede Funktionsrolle ist einer Referenzrolle zugeordnet. Die Funktionsrolle enthält die gleichen Berechtigungsausprägungen wie die Referenzrolle, hat in diesem Fall die Organisationsebenen jedoch ausgeprägt. Sie bildet also die Rolle, welche tatsächlich den Benutzer einer Organisationseinheit zugeordnet wird.

Für die Ableitung von Rollen kann der SAP Standard genutzt werden sowie externe Tools welche hier praktische Funktionen zur Pflege ermöglichen.

Basisrolle

Weitere Informationen zu SAP Berechtigungstools Basisrolle Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 24

Seite 24

rz10.de - die SAP Basis und Security Experten

Die Basisrolle enthält grundlegende Berechtigungen, welche jedem Benutzer in einem SAP System zugewiesen ist. Sie beinhaltet deshalb auch keine Ausprägungen von Organisationsebenen und kann direkt als Einzelrolle jedem Benutzer zugewiesen werden.

Werterolle

Eine Werterolle wird in Sonderfällen eingesetzt, um die Ausprägung eines bestimmten Berechtigungsfeldes spezifisch zu ermöglichen. Hierbei handelt es sich nicht um Organisationsebenen, sondern um tatsächliche Felder eines Berechtigungsobjektes. Ein häufiges Einsatzszenario hierfür ist die Festlegung einer Freigabegrenze für Einkäufer. In der dazugehörigen Funktionsrolle für den Einkäufer sind alle notwendigen Berechtigungen mit den Organisationseinheiten schon enthalten, jedoch möchte man hier auf eine globale Freigabegrenze verzichten, da es unterschiedliche Mitarbeiter gibt wo sich lediglich dieser Wert unterscheidet.

In einem solchen Fall wird das entsprechende Feld in der Funktionsrolle mit einer Dummy- Ausprägung versehen. Die Werterolle enthält dann nur das manuell hinzugefügte Berechtigungsobjekt mit der jeweiligen Ausprägung.

Vorteile dieser Unterteilung von Rollentypen

Wichtig bei der Verwendung solcher Rollentypen ist, dass sich die unterschiedlichen Rollentypen anhand des Rollennamens identifizieren lassen. Wir verwenden dazu in unserer Namenskonvention an einer vorgegebenen Stelle ein entsprechendes Kürzel für den Rollentypen.

Durch diese Vorgehensweise lassen sich die Berechtigungen eines Benutzers anhand seiner Rollenzuweisung "ablesen". Hier ein Beispiel:

Ein Benutzer hat folgende Rollen zugewiesen:

Basisrolle für jeden SAP Userein Beispiel: Ein Benutzer hat folgende Rollen zugewiesen: Funktionsrolle Einkäufer mit Organisationseinheiten für

Funktionsrolle Einkäufer mit Organisationseinheiten für Deutschlandfolgende Rollen zugewiesen: Basisrolle für jeden SAP User Werterolle mit Freigabegrenze 5.000 € Hierdurch lässt

Werterolle mit Freigabegrenze 5.000 €Einkäufer mit Organisationseinheiten für Deutschland Hierdurch lässt sich sehr schnell erkennen, dass es sich um

Hierdurch lässt sich sehr schnell erkennen, dass es sich um einen Mitarbeiter im Bereich Einkauf handelt, welcher für Deutschland zuständig ist und bis zu 5.000 € große Einkäufe

zuständig ist und bis zu 5.000 € große Einkäufe Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 25

Seite 25

rz10.de - die SAP Basis und Security Experten

selbst genehmigen darf.

Mich interessieren Ihre Erfahrungen in Bezug auf eine sinnvolle Untergliederung von Rollentypen. Haben Sie noch einen sauberen Überblick über alle verwendeten Rollen in Ihrem System?

Bei Fragen können Sie sich gerne an mich wenden!

System? Bei Fragen können Sie sich gerne an mich wenden! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 26

Seite 26

rz10.de - die SAP Basis und Security Experten

Betatest: secinfo und reginfo Generator für SAP RFC Gateway

von Torsten Schmits - Beitrag vom 24. April 2018 - Artikel online öffnen

Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft.

Gateways verstärkt wird und wie der Generator dabei hilft. Möglichkeit 1: Restriktives Vorgehen Für den Fall

Möglichkeit 1: Restriktives Vorgehen

Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig.

Möglichkeit 2: Logging-basiertes Vorgehen

Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log- Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei

ein sehr großer Arbeitsaufwand vorhanden. Besonders bei Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 27

Seite 27

rz10.de - die SAP Basis und Security Experten

großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.

Das Problem: Viel Aufwand

Die Absicherung durch secinfo und reginfo Dateien in einer bestehenden Systemlandschaft einzuführen ist verbunden mit Risiko und Aufwand. Wie in den beiden Möglichkeiten bereits angedeutet, steigt der Arbeitsaufwand bei zunehmender Größe der Systemlandschaft stark an. Entweder werden zeitweise Programmaufrufe blockiert, die eigentlich erwünscht sind oder es müssen enorm große Gateway-Logs analysiert werden. Würde man sich nun aufgrund des hohen Arbeitsaufwands dazu entscheiden, dauerhaft auf die Nutzung der Zugriffskontrolllisten zu verzichten, stellt dies eine große Sicherheitslücke dar. Das ungeschützte System besitzt keine Einschränkungen bezüglich der externen Dienste, die sich registrieren dürfen und darüber hinaus sind auch keine Regelungen zur Ausführung von Programmen vorhanden. Eine mögliche Konsequenz wäre beispielsweise die Registrierung eines externen Systems auf dem bösartige Programme vorhanden sind. In dem Moment, wo ohne jegliche Kontrolle fremde Programme auf dem eigenen System ausgeführt werden, kann man davon ausgehen, dass großer Schaden angerichtet wird. Dieser reicht beispielsweise von einem unbemerkten Auslesen von Einkaufs- und Verkaufszahlen über ein Abzweigen finanzieller Mittel bis hin zu einem Lahmlegen oder Manipulieren des gesamten Systems. Darüber hinaus ist dieses Szenario auch bei schlecht gepflegten Zugriffskontrolllisten möglich.

Unsere Lösung: secinfo und reginfo Generator für SAP RFC Gateway

Um das Problem zu lösen, haben wir einen Generator entwickelt, der auf Basis von Gateway- Logs automatisiert secinfo und reginfo Dateien erstellen kann. Die grundlegende Idee basiert auf dem Logging-basierten Vorgehen. Er übernimmt die Aufgabe der zeitintensiven Analyse der Log-Dateien und gewährt darüber hinaus durch die Automatisierung eine maximale Zuverlässigkeit. Dennoch sollten die Einträge der generierten Dateien von einer Person überprüft werden. Da es sich bei den als Input genutzten Log-Dateien um sensible

es sich bei den als Input genutzten Log-Dateien um sensible Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 28

Seite 28

rz10.de - die SAP Basis und Security Experten

Daten handelt, verlassen selbstverständlich keine der eingefügten Daten Ihr System.

selbstverständlich keine der eingefügten Daten Ihr System. Weitere Informationen zu dem Generator finden Sie hier .

Weitere Informationen zu dem Generator finden Sie hier. Haben Sie noch andere Vorgehensweisen zur Erstellung und Verwaltung Ihrer secinfo und reginfo Dateien? Konnten Sie unseren Generator bereits ausprobieren und haben Wünsche oder Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre

Lassen Sie es mich wissen! Ich freue mich über Ihre Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 29

Seite 29

rz10.de - die SAP Basis und Security Experten

Kommentare!

rz10.de - die SAP Basis und Security Experten Kommentare! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales Manager

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 30

Seite 30

rz10.de - die SAP Basis und Security Experten

Blockchain Technologie

von Christian Stegemann - Beitrag vom 27. März 2018 - Artikel online öffnen

Werden Blockchains Wirtschaft und Verwaltung revolutionieren?

Was ist eine Blockchain?

Eine Blockchain ist eine vollständige und unveränderliche Transaktionshistorie aller Transaktionen einer dezentralen Community, der jeder, der Teil davon ist, zustimmt. Das Wort Blockchain fiel erstmalig im Zusammenhang mit Bitcoin als dezentrales Netzwerk für Zahlungen in der gleichnamigen digitalen Währung. Hierbei beschreibt die Blockchain eine zugrundeliegende Technologie, in der alle Transaktionen öffentlich und unveränderbar verzeichnet sind. Diese Transaktionshistorie wird in regelmäßigen Zeitabschnitten aktualisiert. Jeder Teilnehmer der dezentralen Community akzeptiert sie als Realität, speichert sie auf seinem Computer ab und kann so jederzeit sicherstellen, dass niemand Ausgaben doppelt machen kann, da dies anderswo zu einem Konflikt in der Transaktionshistorie führen würde. Eine Besonderheit der Blockchain Technologie ist, dass sie das „Double Spending Problem“ gelöst hat. Double Spending bedeutet, etwas doppelt ausgeben zu können, und galt bis 2008 nur durch eine zentrale Institution als lösbar. Double Spending kann am besten anhand des Beispiels eines Bildes am Handy verstanden werden. Wenn ich es auf Facebook hochlade, habe ich dabei eine Kopie angefertigt und ich kann das Bild dann zum Beispiel auch auf Instagram hochladen. Ich habe mein Bild also „doppelt“ verwendet. Dieser Effekt machte es bis 2008 unmöglich eine vertrauenswürdige dezentrale digitale Währung zu etablieren.

Wie stehen Blockchain und digitale Währungen zueinander?

Die Blockchain Technologie bietet die Grundlage zur Existenz einer dezentralen digitalen Währung. Eine solche Währung ist eine Applikation, die aufgrund einer zugrundeliegenden Blockchain ausgeführt werden kann. Die Blockchain bietet allerdings noch weitaus mehr Anwendungen wie zum Beispiel Eigentum, Identifikation, Kommunikation usw., die alle eine zentrale steuernde Partei loswerden wollen.

die alle eine zentrale steuernde Partei loswerden wollen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 31

Seite 31

rz10.de - die SAP Basis und Security Experten

Blockchain: ist die unveränderliche Transaktionshistorie einer dezentralisierten Community. Kryptowährung: Eine Applikation der Blockchain Technologie, um mit Hilfe einer Blockchain Informationen zur Währung per Kryptographie zu sichern.

Was ist Mining?

Mining ist eines der am meisten missverstandenen Dinge in puncto Kryptowährungen. Die meisten Leute glauben, dass Mining ein Prozess ist, in dem eine Kryptowährung erstellt wird. Das ist jedoch falsch. Mining ist ein Prozess in einem dezentralen System, um Konsens zu kreieren. Konsensus bedeutet Zustimmung und ist die Einigung darüber, was passiert ist und was nicht. In einem zentralen System erledigt das die zentrale Institution. Zum Beispiel eine Bank mit all ihren Vor- und Nachteilen. In einem dezentralen System entscheidet die Gemeinschaft. Um keine Unstimmigkeiten zu haben, wird „Mining“ als eine der Möglichkeiten verwendet.

Wie entsteht Konsensus in einer Blockchain?

Sobald man sich entscheidet, eine Zahlung an jemanden zu senden, muss man den Private Key nutzen, um diese zu „signen“ (zu Deutsch: unterschreiben). Dies bedeutet nichts anders als, dass man eine andere Public Adresse angibt, an die man das Geld senden will, und diese Transaktion mit seinem eigenen Private Key bestätigt. Es gibt keine zentrale Behörde, an die man die Informationen senden muss, sondern man verbreitet die Information an alle umliegenden Miner. Die Miner leiten diese Infos dann an andere Miner weiter, die wiederum das gleiche tun. Diese sich exponentiell verbreitende Welle an Informationen erreicht innerhalb weniger Millisekunden das gesamte Netzwerk der dezentralen Community. Jedes Mal, wenn ein Miner eine Transaktion erhält, prüft er ob diese Transaktion tatsächlich korrekt ist. Er prüft, welcher Private Key unterschrieben hat, an welche Public Adresse die Transaktion gehen soll und ob der Sender überhaupt genug „Coins“ besitzt für diese Transaktion.

Was sind Konsensus-Mechanismen?

Jeder Miner, der durch komplexe mathematische Berechnungen eine Transaktion löst wird vom Sender durch eine „Fee“ (Transaktionsgebühr) belohnt. Wie wird nun entschieden, welcher Miner die Transaktionsgebühr bekommt? Denn es kann ja nur einer diese Belohnung bekommen. Außerdem, was passiert, wenn man ein Double Spending versucht,

was passiert, wenn man ein Double Spending versucht, Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 32

Seite 32

rz10.de - die SAP Basis und Security Experten

indem man erst eine Transaktion an einen Miner schickt und dann eine andere Transaktion mit dem selben Geld nur eine Millisekunde später an einen anderen? Diese beiden konnten sich ja noch nicht austauschen und somit wären unterschiedlich Informationen im Netzwerk. Einmal hat man das Geld Person A gesendet und einmal Person B. Welcher Miner hat nun Recht? Die Lösung dazu ist, dass man den Konsensus in Zeitblöcke unterteilt, in welcher jeweils per Zufall ein Miner ausgewählt wird, der dann bestimmen kann, welche Transaktion er während dieses Blocks als Konsensus ausgewählt hat. Die Transaktionen werden in Blöcken der Kette gespeichert. In jeden Block passen nur eine begrenzte Anzahl an Transaktionen. Der Miner, der die letzte Transaktion eines Blocks löst, bevor ein neuer generiert wird, bekommt als Belohnung zusätzlich noch einen Bitcoin. Mittlerweile gibt es auch andere Verfahren einen Konsens zu kreieren. Aber größtenteils haben sich die folgenden 3 Möglichkeiten als Konsensus-Mechanismus bewährt:

1. Proof of Work (Arbeitsnachweis)

2. Proof of Stake (Geldnachweis)

3. Proof of Importance (Wichtigkeitsnachweis)

Die Unterschiede stelle ich in einem anderen Blog-Beitrag dar.

Wie entstehen Blöcke in einer Blockchain?

Jeder Block baut unwiderruflich auf einen älteren Block auf. Würde man den Block entfernen, müsste man alle Blöcke darüber ebenfalls entfernen, was die komplette Kette an Blöcken zerstören würde. Denn jeder neue Block enthält auch Informationen von seinem Vorgängerblock. Dies ist sehr wichtig für das Verständnis der Unveränderlichkeit einer Blockchain. Würde man einen Block nachträglich manipulieren, müsste man auch alle darauffolgenden Blöcke anpassen. Der Aufwand wäre so unendlich groß und teuer das sich so eine Manipulation praktisch nicht umsetzen lässt. Man kann sich das wie folgt vorstellen. Eine Blockchain entsteht aus den kryptographisch miteinander verketteten Blöcken (Puzzle) voller Transaktionen (Puzzleteile) und kann daher nicht verändert werden, ohne die gesamte Blockchain zu zerstören. Aus diesem Grund wird eine Blockchain als eine unveränderliche Transaktionshistorie angesehen, auf die sich eine dezentralisierte Community geeinigt hat. Eine Blockchain ist so programmiert, dass jeder Miner am längsten Teil der Blockchain mitarbeitet, da dies offensichtlich die Kette ist, in die die meiste Arbeit investiert wurde. So wird verhindert, dass, nur weil jemand eine neue Kette starten würde, diese jemand versehentlich als „Realität“ anerkennen würde. Es kommt jedoch hin und wieder vor, dass zwei Miner, welche an der längsten Kette arbeiten gleichzeitig einen neuen

an der längsten Kette arbeiten gleichzeitig einen neuen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 33

Seite 33

rz10.de - die SAP Basis und Security Experten

Block finden. Dieses bezeichnet man dann als Orphan Blocks. Die Kette hat nun im Prinzip zwei Endstücke (2 parallele Blocks). Verschiedene Miner arbeiten nun an unterschiedlichen Enden der Kette. Die Blockchain wird anschließend dort fortgeführt, wo zuerst der nächste Block gefunden wird. Der andere Block nennt sich dann Orphan Block und ist quasi eine kleine „tote“ Abzweigung der Blockchain.

ist quasi eine kleine „tote“ Abzweigung der Blockchain. Wie erklärt man also die oben genannten Dinge

Wie erklärt man also die oben genannten Dinge seiner Oma?

1. Um eine Transaktion in Kryptowährungen durchzuführen, muss man nicht wie bei „normalem“ Geld seiner Bank Bescheid geben, sondern muss mit Hilfe des Private Keys nachweisen, dass man Eigentümer der „Coins“ ist. Die Transaktion sieht wie ein Puzzleteil aus.

2. Eine Hälfte des Puzzleteils besteht aus Informationen zur Coin-Menge, Zeitpunkt und Public Adresse des Versenders bzw. des Empfängers. Die andere Hälfte ist die Signatur des zur versendeten Public Adresse gehörenden Private Keys. Beide Hälften machen dieses Puzzleteil einzigartig. Würde man nur eine Information ändern würde sich die komplette Transaktion bzw. das Aussehen des Puzzleteils komplett ändern.

3. Diese Transaktion wird an das Netzwerk bzw. an die Miner übertragen und zuallererst auf die Korrektheit überprüft. Wenn alles passt, wird die Transaktion an andere Miner weitergesendet die wiederum das gleiche machen. Ansonsten wird die Transaktion ignoriert.

gleiche machen. Ansonsten wird die Transaktion ignoriert. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 34

Seite 34

rz10.de - die SAP Basis und Security Experten

4. Miner versuchen die Transaktionen in einen Block zu integrieren. Dieses wird als Mining bezeichnet und wir haben es so beschrieben, dass die Miner die Puzzleteile zu einem Puzzle (Block) zusammensetzen.

5. Ein kleiner Teil eines Blocks, der integriert werden soll, folgt aus dem Block, welcher zuvor gemined wurde. Akzeptieren alle Miner die Korrektheit eines fertig gestellten Blocks arbeiten alle sofort am nächsten weiter. Das Puzzle (Block) wird somit fixiert und ist unwiderruflich mit dem Block zuvor bzw. danach verbunden.

6. Die Blöcke bilden eine Kette und werden Blockchain genannt, welche alle Transaktionen, welche je gemacht wurden, enthält und von jedem einsehbar und unveränderbar ist. Dabei ersetzt die Blockchain ein zentrales Institut und vermeidet ein Double Spending, was schlussendlich einer Kryptowährung den Wert verleiht.

Smart Contracts

Der größte Fortschritt im Vergleich zu Bitcoin und ähnlichen Anwendungen besteht darin, dass Blockchains der zweiten Generation, wie zum Beispiel Ethereum, die sogenannte Turing-Complete-Skriptsprache Solidity verwenden. Diese ermöglicht es, Berechnungen innerhalb der Blockchain durchzuführen. Während Bitcoin nur rudimentäre Muli-Signatur- Funktionen erlaubt, öffnet Ethereum die Tür für weitaus komplexere Abläufe, welche als Smart Contracts bezeichnet werden. Smart Contracts sind Verträge, bei denen eine dezentralisierte Blockchain ihre Unveränderbarkeit und Ausführung gewährleistet.

ihre Unveränderbarkeit und Ausführung gewährleistet. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 35

Seite 35

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Die technische Entwicklung schreitet mit hoher Geschwindigkeit fort.

Die technische Entwicklung schreitet mit hoher Geschwindigkeit fort. Daher fällt der Begriff „Blockchain“ mittlerweile nicht nur im Zusammenhang mit digitalen Währungen. Vielmehr ist von einer Technologie die Rede, welche bestehende Produkte, Dienstleistungen und sogar Geschäftsmodelle disruptiv beeinflussen wird. Um die Potentiale und Auswirkungen der Blockchain-Technologie besser beurteilen zu können, haben sich in den letzten Jahren verschiedene Firmen aus unterschiedlichen Technologien und vor allem Finanzbereichen in Konsortien zusammengeschlossen:

Das R3 Konsortium, welches vornehmlich einen Zusammenschluss von rund 80 Firmen aus der Finanzwirtschaft (UBS, Credit Suisse, Deutsche Bank, Commerzbank, …) ist.vor allem Finanzbereichen in Konsortien zusammengeschlossen: Das IoT-Consortium, zu dem u.a. Bosch Ltd. Cisco Systems

Das IoT-Consortium, zu dem u.a. Bosch Ltd. Cisco Systems Inc. gehören, untersucht inwiefern Blockchain-Technologie zur Absicherung und Verbesserung von IoT- Netzwerken eingesetzt werden kann.(UBS, Credit Suisse, Deutsche Bank, Commerzbank, …) ist. Im Hyperledger (Enterprise Ethereum Alliance) Konsortium

Im Hyperledger (Enterprise Ethereum Alliance) Konsortium haben sich mehr als 120 Firmen aus dem Bereich Finanzen, Banken, IoT und der Industrie organisiert.und Verbesserung von IoT- Netzwerken eingesetzt werden kann. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Bereich Finanzen, Banken, IoT und der Industrie organisiert. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 36

Seite 36

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Enterprise Ethereum Allianz mit rund 500 Startups, Unternehmen

Enterprise Ethereum Allianz mit rund 500 Startups, Unternehmen und akademische Einrichtungen aus den unterschiedlichsten Bereichen.

Hierzu mehr in meinem nächsten Blog-Beitrag

Bereichen. Hierzu mehr in meinem nächsten Blog-Beitrag Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 37

Seite 37

rz10.de - die SAP Basis und Security Experten

Datenschutz Auskunft mit SAP Read Access Logging (RAL)

von Tobias Harmes - Beitrag vom 19. Juli 2018 - Artikel online öffnen

Seit 2013 unterstützen Netweaver-Systemen ab Version 7.4 das SAP Read Access Logging. Hier geht es darum, dass explizit aufgezeichnet werden soll, wenn ein User eine bestimmte Information sich hat anzeigen lassen. In dem Beitrag geht es um die ersten Schritte zur Nutzung.

Mit der Neuordnung des Europäischen Datenschutzrechts (EU-DSGVO) sind auch die Auskunftsrechte hinsichtlich personenbezogener Daten gestärkt worden. Wenn ich eine Aussage darüber machen will, wer auf die Daten eines Mitarbeiters oder Kunden zugegriffen hat, dann funktioniert die Bestimmung über die aktuellen Berechtigungen nicht. Wer will schon alle Personalsachbearbeiter nennen, die eventuell auf den Mitarbeiter zugegriffen haben könnten?

Read Access Logging (RAL) kann Lese-Zugriff auf sensitive Daten protokollieren. Dafür müssten zuvor die relevanten sensitive Felder (z.B. die Bankverbindung in der PA20) in die Protokollierung aufgenommen werden. Entsprechende Lese-Protokolle können dann der Auskunft angehängt werden.

Inhalt

Systemvoraussetzungen SAP Read Access Logging

Read Access Logging aktivierenwerden. Inhalt Systemvoraussetzungen SAP Read Access Logging Relevante Felder bestimmen und aufzeichnen Read Access

Relevante Felder bestimmen und aufzeichnenSAP Read Access Logging Read Access Logging aktivieren Read Access Logging konfigurieren Log auswerten

Read Access Logging konfigurierenaktivieren Relevante Felder bestimmen und aufzeichnen Log auswerten Weiterführende Infos und Download

Log auswertenbestimmen und aufzeichnen Read Access Logging konfigurieren Weiterführende Infos und Download Systemvoraussetzungen SAP

Weiterführende Infos und Downloadaufzeichnen Read Access Logging konfigurieren Log auswerten Systemvoraussetzungen SAP Read Access Logging Wie immer

Systemvoraussetzungen SAP Read Access Logging

Wie immer steht die Wahrheit in einem Hinweis: 1969086 - Availability of Read Access Logging and prerequisites (kernel and SAP GUI version). Generell: ab Netweaver 7.4 geht es

and SAP GUI version) . Generell: ab Netweaver 7.4 geht es Ihr Ansprechpartner Sarah Fritzenkötter Inbound

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 38

Seite 38

rz10.de - die SAP Basis und Security Experten

los.

Unterstützt verschiedene Zugriffswege, genannt Kanäle (Channels). Dynpro und Web Dynpro als Oberflächen und SAP Gateway, RFC und Webservices als Remote Zugriff werden unterstützt.

Read Access Logging aktivieren

Zugriff werden unterstützt. Read Access Logging aktivieren Via der Transaktion RZ11 den Parameter

Via der Transaktion RZ11 den Parameter sec/ral_enabled_for_rfc auf 1 setzen. Permanent geht das über die Transaktion RZ10.

auf 1 setzen. Permanent geht das über die Transaktion RZ10. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 39

Seite 39

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Transaktion SRALMANAGER öffnet die Web Dynpro Konfigurations-Oberfläche.

Transaktion SRALMANAGER öffnet die Web Dynpro Konfigurations-Oberfläche.

öffnet die Web Dynpro Konfigurations-Oberfläche. Dort die Aktivierung für alle relevanten Mandanten

Dort die Aktivierung für alle relevanten Mandanten vornehmen.

Relevante Felder bestimmen und aufzeichnen

vornehmen. Relevante Felder bestimmen und aufzeichnen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 40

Seite 40

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Im SRALMANAGER auf Aufzeichnungen gehen. Ihr Ansprechpartner Sarah

Im SRALMANAGER auf Aufzeichnungen gehen.

Security Experten Im SRALMANAGER auf Aufzeichnungen gehen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales
Security Experten Im SRALMANAGER auf Aufzeichnungen gehen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 41

Seite 41

rz10.de - die SAP Basis und Security Experten

Neue Aufzeichnung für den Kanal Dynpro erstellen

Experten Neue Aufzeichnung für den Kanal Dynpro erstellen In der SAP Gui nun in einer relevanten

In der SAP Gui nun in einer relevanten Transaktion (z.B. PA20, Bankverbindung) das relevante Datum, z.B. die in den die Kontonummer anwählen. Eine Kombination aus <STRG>-rechtklick in ein Feld öffnet das Kontextmenü mit dem Menüpunkt "Protokollierung von Lesezugriffen". Wenn der Menüpunkt nicht auftaucht, dann noch mal kontrollieren ob die Aufzeichnung wirklich aktiviert ist für diesen Mandanten und noch mal neu in die Transaktion gehen.

Read Access Logging konfigurieren

in die Transaktion gehen. Read Access Logging konfigurieren Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 42

Seite 42

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Wieder in SRALMANAGER auf Konfiguration gehen. Ihr Ansprechpartner

Wieder in SRALMANAGER auf Konfiguration gehen.

Experten Wieder in SRALMANAGER auf Konfiguration gehen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 43

Seite 43

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Hier werden alle Konfigurationen für die verschiedenen Kanäle

Hier werden alle Konfigurationen für die verschiedenen Kanäle angezeigt. Auf Anlegen gehen.

für die verschiedenen Kanäle angezeigt. Auf Anlegen gehen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 44

Seite 44

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Nach der Aufzeichnung suchen und auf "Anlegen" gehen.

Nach der Aufzeichnung suchen und auf "Anlegen" gehen.

der Aufzeichnung suchen und auf "Anlegen" gehen. Protokollkontext anlegen, EMPLOYEE_ID Ihr Ansprechpartner

Protokollkontext anlegen, EMPLOYEE_ID

gehen. Protokollkontext anlegen, EMPLOYEE_ID Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 45

Seite 45

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Eine neue Protokollgruppe anlegen, z.B. HCM. Dann das

Eine

neue

Protokollgruppe

anlegen,

z.B.

HCM.

Dann

das

relevante

Feld

aus

der

Aufzeichnung

per

Drag&Drop

in

die

Protokollgruppe

ziehen.

Nur

bei

Ausgabe

soll

protokolliert werden.

Log auswerten

bei Ausgabe soll protokolliert werden. Log auswerten Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 46

Seite 46

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Wenn die ersten Zugriffe erfolgt sind, kann über

Wenn die ersten Zugriffe erfolgt sind, kann über die Transaktion SRALMANAGER oder SRALMONITOR der Zugriff ausgewertet werden.

SRALMANAGER oder SRALMONITOR der Zugriff ausgewertet werden. Die Selektion zeigt relevante Zugriffe an. Weiterführende

Die Selektion zeigt relevante Zugriffe an.

Weiterführende Infos und Download

relevante Zugriffe an. Weiterführende Infos und Download Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 47

Seite 47

rz10.de - die SAP Basis und Security Experten

Ich hoffe, dieser Artikel war hilfreich. Wie immer freue ich mich über Kommentare und Hinweise. Hier sind noch Infos und weiter unten der Link auf den Download dieses Artikels.

Transaktionen

Beschreibung

SRALMANAGER

Administration and Monitor Tabs im Read Access Logging Manager

SRALMONITOR

Nur Monitor tab im Read Access Logging Manager

SRALCONFIG

Nur Administration tab im Read Access Logging Manager

SAP Wiki Read Access LoggingNur Administration tab im Read Access Logging Manager

SAP Help Read Access Logging

US/7e0b7b1d831b495b8ea0141038bcab55.html Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 48

Seite 48

rz10.de - die SAP Basis und Security Experten

Der DSAG-Prüfleitfaden

von Tobias Harmes - Beitrag vom 30. August 2018 - Artikel online öffnen

Wenn ich mir die Feature-Liste diverser Fremd-Software für SAP Security ansehe, lese ich immer wieder: "… nach DSAG-Prüfleitfaden". Wo finde ich diesen Leitfaden und ist das alles, was ich für die Prüfung eines SAP Systems benötige?

Einleitung

Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) besteht im Wesentlichen aus Mitgliedern, die SAP einsetzen. Und einige dieser Mitglieder sind aktiv in Arbeitsgruppen engagiert und erstellen dabei Dokumente, die für die gesamte Gemeinschaft der SAP Nutzer hilfreich sind. So haben einige Mitglieder des Arbeitskreises (AK) Revision u. Risikomanagement vor einigen Jahren einen Leitfaden entwickelt, der Prüfern und auch Systeminhabern dabei helfen soll, mögliche Sicherheitsrisiken im SAP aufzudecken. Darüber hinaus werden Best- Practices für die Prüfung von SAP Systemen und Anwendungen beschrieben. Diese Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller berufen. Und es hilft tatsächlich auch in Prüfungen oder Umsetzung von Revisionsmaßnahmen ungemein, wenn ich auf den Leitfaden verweisen kann.

Wo finde ich den Prüfleitfaden

Wenn in SAP Security-Software von dem DSAG Prüfleitfaden die Rede ist, sind im Wesentlichen zwei Dokumente gemeint, die auf der Webseite der DSAG ohne Registrierung

direkt herunterladbar sind. Da die Version von 2009 noch Flash präsentiert, habe ich mal direkt die PDF-Links angegeben:

Prüfleitfaden SAP ERP 6.0 der Arbeitsgruppe Audit Roadmap | März 2009 (PDF-Version oder Online-Link, Flash)

oder Online-Link) Leider ist der neuere Prüfleitfaden von 2015 kein vollständiger Ersatz für den alten Leitfaden, sondern eine Aktualisierung und Ergänzung des ersten Teils des Leitfadens von

Prüfleitfaden

SAP

ERP

6.0

Best

Practice-Empfehlungen

|

-

Mai

2015

SAP ERP 6.0 Best Practice-Empfehlungen | - Mai 2015 Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 49

Seite 49

rz10.de - die SAP Basis und Security Experten

2009. Es werden z.B. SAP GRC und SAP HANA ergänzt bzw. das erste Mal behandelt. Themen wie Funktionstrennungskonflikte auf Anwendungsebene (SoD-Konflikte) sind nicht Teil des Leitfadens von 2015 und sind deshalb nur im Leitfaden von 2009 zu finden.

Wer kann den Leitfaden verwenden und Beispiele

Obwohl sich die Prüfleitfäden an "den mit SAP vertrauten Prüfer" richtet, können auch Administratoren oder Berechtigungs-Entwickler die Leitfäden ohne weiteres verwenden. Vorteil ist auch, dass in diesen Dokumenten "auf Deutsch" auch über das Risiko der jeweiligen Einstellung gesprochen wird. Welche Auswirkung die Änderung des Wertes eventuell auf Systemstabilität oder den Komfort für die Benutzer hat, muss allerdings jeder selbst herausfinden. Beispiel Konfigurationsprüfung aus dem Leitfaden von 2015

Kontrollziel: Verhindern von Mehrfachanmeldungen Risiko: Mehrere Benutzer teilen sich eine Benutzerkennung und melden sich getrennt am SAP-System an. Das ist ein Verstoß gegen die Lizenzbestimmungen von SAP. Mehrfachanmeldungen sind ausgeschlossen, login/ disable_multi_gui_login (Standardwert: 1). Vorschlagswert: 1, d.h., mehrfache Anmeldung ist nicht möglich.

Hier benötige ich als Know-How, wie ich den Wert des Profilparameters ermitteln kann, z.B. mit der Transaktion RZ10 oder dem Report RSPARAM. Beispiel Berechtigungsprüfung aus dem Leitfaden von 2015

Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise verwalten dürfen? S_USER_AGR (Berechtigungswesen: Prüfer für Rollen) mit Aktivität "*" und Name der Rolle "*" ist kritisch.

Hier muss ich wissen, wie ich z.B. über die Transaktion SUIM->Benutzer->Suche nach komplexen Selektionskriterien das Berechtigungsobjekt als Filter eingebe und nach "*" bzw. #* suche, um wirklich die User zu bekommen, die dort eine Stern-Berechtigung haben.

User zu bekommen, die dort eine Stern-Berechtigung haben. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 50

Seite 50

rz10.de - die SAP Basis und Security Experten

Ist das alles, was ich zur Prüfung benötige?

Mit den 188 Seiten der PDF-Version des Prüfleitfadens von 2015 und den 184 Seiten des Prüfleitfadens von 2009 sind diese Dokumente für das manuelle Durcharbeiten nur bedingt geeignet. Und damit regelmäßig prüfen - daran ist gar nicht erst zu denken. Das ist der Grund, warum im Prinzip viele Software-Hersteller das Know-How der Leitfäden in automatisierte Prüfsoftware gegossen haben. Wenn der Roboter etwas kann, dann im großen Stil Werte abfragen. Daher empfehle ich auch immer, auf händische Prüfungen zu verzichten und bestenfalls zur Stichprobenkontrolle durchzuführen. Die wirkliche Prüfungen sollte durch einen mit entsprechender Software unterstützen, am besten vollautomatisierten Prozess durchgeführt werden. Wenn Sie eine Idee für so einen Prozess und eine Software benötigen, sprechen Sie mich gerne an. Und wie immer freue ich mich über Feedback, Ergänzungen und Hinweise per Kommentar oder per Mail. Eine Übersicht aller Leitfäden der DSAG (auch z.B. den Datenschutz-Leitfäden) gibt es übrigens hier: https://www.dsag.de/go/leitfaeden

gibt es übrigens hier: https://www.dsag.de/go/leitfaeden Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 51

Seite 51

rz10.de - die SAP Basis und Security Experten

Die 5 häufigsten Fehler bei Adobe Document Services (ADS) Installationen - mit Jeremia Girke

von Tobias Harmes - Beitrag vom 28. August 2018 - Artikel online öffnen

Ich rede mit SAP Spezialisten Jeremia Girke über das Thema Adobe Document Services und die 5 häufigsten Fehler die er bei Kunden-Installationen und Konfigurationen in der Vergangenheit beobachtet hat. In unserem Gespräch geht Jerry auch auf typische Fragen im Zusammenhang mit SAP und ADS auf AS JAVA ein.

Inhalt

Video Zusammenfassung der 5 häufigsten Fehler bei der Installation Kapitelmarken Downloads & Links

Video

Die Konfiguration eines Adobe Document Services läuft größtenteils automatisiert im System ab. Fehler in der Konfiguration sind leider nicht immer sprechend. Aus diesem Grund haben Jeremia Girke und ich die 5 häufigsten Fehler bei der Installation / Administration durchgesprochen.

Kapitelmarken

00:18 Was hat ADS mit SAP Basis und Security zu tun? Warum steigen Firmen auf Adobe Forms bei den Formularen um? 04:02 Nr. 1: Gesperrte technische Benutzer 08:47 Nr. 2: Java-Server ist nicht erreichbar 16:21 Nr. 3: Rück-Verbindung Java-Server zum ABAP 23:11 Nr. 4: Reader Credentials / SAP Note / Lizenz für PDF Erzeugung

4: Reader Credentials / SAP Note / Lizenz für PDF Erzeugung Ihr Ansprechpartner Sarah Fritzenkötter Inbound

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 52

Seite 52

rz10.de - die SAP Basis und Security Experten

26:24 Extra: SOAP Exception und andere Fehler über Tracing ermitteln 31:20 Nr. 5: Adobe Livecycle Designer, SAP GUI- und ADS-Versionen und (In-)Kompatibilitäten 33:53 Der eine Tipp zum Abschluss

Zusammenfassung der 5 häufigsten Fehler bei der Adobe Document Services Installation (ADS)

Fehlerquelle 1: Die User

Alles ist richtig konfiguriert wie im Guide beschrieben, aber der Zugriff klappt trotzdem nicht. In der Anleitung werden hier 2 User angelegt. Einmal der ADSUSER sowie der ADS_AGENT. Diese sollten auch als technisch Nutzer angelegt sein, sodass keine Dialoganmeldung möglich ist.

Bevor sie in irgendeine Fehleranalyse bei Problemen einsteigen stellen Sie bitte folgendes sicher:

1. ADSUSER sowie ADS_AGENT sind korrekt angelegt und sind auch mit dem richtigen

Namen angelegt. Wichtig. CASE-sensitiv!

2. ADSUSER und ADS_AGENT sind noch gültig und können genutzt werden

3. ADSUSER und ADS_AGENT sind nicht gesperrt

4. Die User haben die richtigen Rollen zugewiesen wie im Adobe Document Services

Configuration Guide beschrieben.

Fehlerquelle 2: ADS ist nicht erreichbar | Falsche IP/URL

Alles sauber installiert und eingerichtet und trotzdem geht die Verbindung nicht. Eine falsche IP oder eine falsche hinterlegte URL des Java Stacks kann die Ursache sein. in Test über SM59 -> Ext. Systeme -> ADS -> Verbindungstest kann dann trotzdem die Ursache zeigen. Hier ist übrigens ein HTTP-404 nicht unbedingt ein Fehler. Folgendes immer manuell prüfen:

1. URL ist korrekt

2. Service-Pfad ist erreichbar

3. Einheitliche URL: Keine Unterschiede bei URL zur "fully qualified domain name" FQDN

bei URL zur "fully qualified domain name" FQDN Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 53

Seite 53

rz10.de - die SAP Basis und Security Experten

Fehlerquelle 3: ABAP-Backend nicht erreichbar/sauber angebunden

Ein Teil der Installation ist das Bekanntmachen der ABAP-Systeme für die JAVA-Instanz. Hier müssen die Einstellungen für das jeweilige ABAP-System vernünftig eingerichtet sein. Prüfen Sie hier jeweils auf dem System -> https://servername:Port/nwa -> Konfiguration -> Destinations -> ABAP Backend-Destination.

Fehlerquelle 4: Adobe Reader Credentials sind abgelaufen

Kryptische Fehlermeldungen und komisches Verhalten im System. Aber woran kann es liegen? Die Installation beinhaltet auch das Beantragen von den Adobe Reader Credentials über die SAP Note. 736902 - Adobe Credentials:

Hinweis: Die Credentials haben ein Verfalls-Datum was dafür sorgt, dass ab einem gewissen Zeitpunkt das Zertifikat seine Gültigkeit verliert.

Fehlerquelle 5: Adobe Livecycle Designer, SAP GUI- und ADS- Versionen und (In-)Kompatibilitäten

Damit Formulare sowohl angezeigt als auch problemlos weiterentwickelt werden können, müssen die richtigen Softwarekomponenten in der richtigen Version installiert sein. Sowohl auf dem Client als auch auf der Serverseite. Inkompatibilitäten zwischen z.B. einer alten SAP Gui Version und dem Adobe Livecycle Designer kommen leider häufig vor. Auswirkungen sind dann instabile Systeme und Abstürze.

Extratipp: Fehler richtig identifizieren: Trace aktivieren

Die universelle Antwort wenn die Fehlerursachen davor keine Besserung gebracht haben. Das ABAP-Backend ist nicht immer gleich gut erreichbar. Es hilft enorm, wenn Sie hier die Technik mit der Trace-Datei anwenden um klare Infos zu bekommen, wo es gerade Probleme gibt. Eine ausführliche Anleitung für das Tracing finden Sie hier: HowTo Adobe

Anleitung für das Tracing finden Sie hier: HowTo Adobe Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 54

Seite 54

rz10.de - die SAP Basis und Security Experten

Links und Downloads

736902 - Adobe Credentials:

Anleitung Download Adobe LifeCycle Designer:

downloaden/ Kostenloses Ebook zum Download:

Auf dem Laufenden bleiben:

YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms FACEBOOK: https://www.facebook.com/rz10.de/ TWITTER: https://twitter.com/rz10_de XING: https://www.xing.com/profile/Tobias_Harmes/ LINKEDIN: https://www.linkedin.com/in/tobias-harmes RSS: https://rz10.de/feed/ Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier unter dem Beitrag.

über Feedback - ob per Mail oder hier unter dem Beitrag. Ihr Ansprechpartner Sarah Fritzenkötter Inbound

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 55

Seite 55

rz10.de - die SAP Basis und Security Experten

Digital signierte SAP Hinweise durch Einbau der Note 2408073 nutzen

von Jonas Krueger - Beitrag vom 8. Januar 2018 - Artikel online öffnen

SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden. Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System, weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note 2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.

Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis, der ins System eingespielt werden soll, unverändert vorliegt.

Voraussetzungen um digital signierte SAP Hinweise zu nutzen

Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige Voraussetzungen erfüllt sein:

Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann nicht möglich.

des digital signierten Hinweises ist dann nicht möglich. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 56

Seite 56

rz10.de - die SAP Basis und Security Experten

Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:

Berechtigung für die Transaktion SLG1Nacharbeiten des Hinweises am System ausführen zu können: Leseberechtigung für Berechtigungsobjekt S_APPL_LOG

Leseberechtigung für Berechtigungsobjekt S_APPL_LOGzu können: Berechtigung für die Transaktion SLG1 Berechtigung zum Schreiben und Löschen von Daten aus dem

Berechtigung zum Schreiben und Löschen von Daten aus dem AnwendungsverzeichnisSLG1 Leseberechtigung für Berechtigungsobjekt S_APPL_LOG Upgrade der SAPCAR-Version auf Ihrem System auf die Version

Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höherund Löschen von Daten aus dem Anwendungsverzeichnis SAP Basis Version 700 oder höher, für ältere Versionen

SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell eingepflegt werdenauf Ihrem System auf die Version 7.20 oder höher Wenn Sie diese Voraussetzungen erfüllt haben, können

Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des Hinweises 2408073 beginnen.

Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.

Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.

Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden werden:

Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.

Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt. Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.

Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige besonders zu beachtende Punkte hervorgehoben.

nur einige besonders zu beachtende Punkte hervorgehoben. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 57

Seite 57

rz10.de - die SAP Basis und Security Experten

Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung, die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage nach einem Transportauftrag.

Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden) die Frage nach dem Transportauftrag bestätigt werden muss.

Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.

Fazit

Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere, schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu begrüßen, dass die SAP nun Maßnahmen ergreift, um dies mittels einer digitalen Signatur für die SAP Hinweise zu verhindern. Hatten Sie schon einmal das Gefühl, dass in Ihr System möglicherweise Schadcode eingeschleust wurde? Erzählen Sie mir gerne in einer Nachricht oder unten im Kommentarfeld davon.

sap-notes/ Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 58

Seite 58

rz10.de - die SAP Basis und Security Experten

DSAG Jahreskongress 2018 - meine SAP Basis & Security Nachlese

von Tobias Harmes - Beitrag vom 18. Oktober 2018 - Artikel online öffnen

Ich sitze in der DB Lounge im Hauptbahnhof in Leipzig und überlege: Was nehme ich mit vom DSAG Jahreskongress 2018? Wieder mal gab es viel zu sehen - zumindest wenn man denn in den Raum hinein gekommen ist.

Ich hielt die Ankündigung kurz vor Beginn bezüglich Anmeldestopp für ein Marketing-Gag. Doch tatsächlich: ich habe den DSAG Jahreskongress noch nie so voll empfunden. Dienstag und Mittwoch fand ich zumindest aus Security-Sicht sehr dünn, allerdings habe ich die Partner-Vorträge abends auch verpasst. Ok, ich war auf unserer Warm-up-Party mit fast 100 Teilnehmern :-). Umso mehr hat mich der Donnerstag erfreut - mehr Vorträge als verfügbare Zeit.

Dienstag, 16. Oktober 2018

V050: User Experience im Bereich Identity & Access Management – nichts ist unmöglich – Vorstellung eines flexiblen Self-Service- Portals nach Fiori-Konzept für SAP Identity Management

Kristin Beyer von der REHAU AG berichtete von der Einführung von SAP IDM 8.0 als Upgrade von IDM 7.2 inklusive Self-Service-Konzept. Wobei der Upgrade in diesem Vortrag nur eine Randnotiz war. Oberstes Ziel sollte sein: Benutzer sollen sich ohne die IT selbst helfen können. Und das Problem dabei war, dass die Benutzeroberflächen von SAP IDM 8.0 alles andere als selbsterklärend sind. Also hat man mit der SAP durch Design Thinking Workshops und dem Implementierungs- Partner IBSolutions in weniger als einem Jahr einem Upgrade inklusive einem, wie ich finde, ansprechenden und klaren Frontend entwickelt. In SAP UI5 und im Style von SAP Fiori. Schön war, dass auch einige pfiffige Ideen gezeigt wurden. Ursprünglich sollte die Funktion gar nicht kommen – aber dann doch realisiert: "Die gleichen Berechtigungen wie Herr Müller". Gelöst wurde es, in dem ich einen User als Vorschlag auswähle, ich aber alle seine Rollen zur Prüfung in den Warenkorb gelegt bekomme. Ich muss also die Positionen noch mal anschauen, bevor ich auf "bestellen" klicke.

mal anschauen, bevor ich auf "bestellen" klicke. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 59

Seite 59

rz10.de - die SAP Basis und Security Experten

Die Frage aus dem Publikum insgesamt am Ende des Vortrags "Warum ist das so eigentlich nicht im Standard?" erzeugte gequältes Schmunzeln. "Wir haben uns in der Planung auch gefragt: Sind wir das einzige Unternehmen mit diesen Problemen?". Nein, definitiv nicht.

Mittwoch, 17. Oktober 2018

V119: S/4HANA Adoption Starter Programm (Erfahrungsbericht) | Kategorien: S/4HANA, Technologie, E – Erfahrungsbericht, Sprecher: M. Zetzmann, T. Westphal

Hier hat Herr Zetzmann von der Otto GmbH & Co. KG einen interessanten Erfahrungsbericht zur Teilnahme am S/4HANA Adoption Starter Programm vorgestellt. Die Idee: die SAP führt die Kunden in der richtigen Reihenfolge zu den schon von der SAP bereitgestellten Tools hin. Zum Beispiel den S/4HANA Readiness Check (Hinweis 2310438), der als sehr hilfreich beschrieben wurde – zugleich aber immer noch schwierig zu implementieren ist. Immerhin 60 Hinweisen war notwendig, um den Check ans Laufen zu bringen. Ein anderes Tool war z.B. der SAP Transformation Navigator um zu schauen, welche Produkte stehen für meine Systeme zu Verfügung. Hier kann ich auf jeden Fall einen Blick in die Folien empfehlen (siehe link unten).

Donnerstag, 18. Oktober 2018

V142: Berechtigungskonzept S/4HANA Value Assurance - der Schlüssel zur Sicherung von Qualität, Sprecher: A. Oesterle, R. Baudisch

In diesem Roadmap-Vortrag ging es darum, wie die SAP vorhat, einer großen Anzahl von Unternehmen den Wechsel auf S/4HANA zu ermöglichen. Und zwar ohne, dass jeder Schritt von SAP Consulting umgesetzt werden muss. Es wurden Varianten für den Greenfield und Brownfield-Ansatz vorgestellt. Im Prinzip arbeitet der Ansatz mit Nutzungs-Statistikdaten (ST03N Workload) als Input und einer Übersetzung der genutzten Transaktionen auf eventuell vorhandene neue Transaktionen und Fiori-Apps. Technisch steht da wohl die Simplification List und die Fiori App Library hinter. Die Ermittlung und Ausprägung von

App Library hinter. Die Ermittlung und Ausprägung von Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 60

Seite 60

rz10.de - die SAP Basis und Security Experten

Organisationsebenen und Werten liegt vor allem beim Kunden. Der um S/4HANA Transaktionen angereicherte Workload wird dann gegen das fertige Rollenset von SAP gefahren, um Vorschläge für Berechtigungszuweisungen zu generieren. Ich war insgesamt überrascht so viel Excel-Vorlagen auf den Folien zu sehen. Auch Themen wie Zuordnung und Entwicklung von Frontend- und Backend-Rollen sind mit Eigenentwicklungen gelöst, die nur im Rahmen der Nutzung dieses SAP Services zur Verfügung stehen. Und ein Test und Trace- Abarbeitung bleibt natürlich trotzdem Pflicht. Wer übrigens "die neuen Sachen jenseits von ADM940" wissen möchte: im Vortrag wurde der ADM945 SAP S/4HANA Authorization Concept empfohlen.

V143: Identity & Access Management für Sicherheit und Integration in gemischten Cloud- und On-Premise-Landschaften

Hier hat Herr Dr. Mäder einen interessanten Vortrag zur Roadmap der SAP Richtung Integration von Cloud- und On-Premise-IDM und GRC-Szenarien gehalten. Nachdem ich mich zuerst schon gefreut habe "endlich wächst zusammen, was zusammengehört" gab es doch die kalte Dusche. SAP IDM und SAP GRC Access Control wachsen auch in der Cloud nicht zu einem gemeinsamen Produkt zusammen. Für die Provisionierung on-premise muss weiterhin SAP IDM oder SAP GRC Access Control on Premise verwendet werden. Man entwickelt zwar die Cloud-Variante stetig weiter, aber es gibt noch keine Aussagen dazu, wann ein Cloud-Identity-Management auch z.B. einen vollständigen Ersatz für On-Premise- Lösungen sein könnte. Der Use-Case aus Sicht der SAP ist eher, neue Kunden die sich für die S/4HANA Public Cloud und andere SAP Cloud Services entscheiden, nicht zu einem On- Premise-IDM zu zwingen. Immerhin unterstützt die SAP mit SCIM offene Standards, mit der on-premise Non-SAP IDM Systeme auch die SAP Cloud IDM fernsteuern kann.

V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit, Sprecher: H. Heyn

Hendrik Heyn von Xiting ist kurzfristig für den eigentlichen Redner der Allianz eingesprungen. Es ging in dem Vortrag darum, wie die Allianz es geschafft hatte, ein zentrales Internes Kontroll System für die SAP-IT-Sicherheit aufzubauen unter Verwendung der Xiting XAMS Suite. Die Herausforderungen lagen wie so oft in einer heterogenen Systemlandschaft, unterschiedlichen Sicherheitsanforderungen und unterschiedlicher Ausgangskonfiguration. Letztendlich hatte man es mit Hilfe der Nutzung des Moduls Security Architect in einer Zentral-Installation auf dem Solution Manager geschafft, für mehr

auf dem Solution Manager geschafft, für mehr Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 61

Seite 61

rz10.de - die SAP Basis und Security Experten

als 80 Systeme Sicherheitsstandards zu definieren und zentral abzuprüfen und zu monitoren. Ich kenne Hendrik persönlich und ich habe ihn zu diesem Vortrag auch noch interviewt. Die Episode gibt es dann in den nächsten Tagen als Podcast bzw. auf Youtube.

Download der Folien

Die

Folien

der

Vorträge

kann

man

sich

auf

der

DSAG-Seite

herunterladen:

Gerne gesehen hätte ich noch…

V049: Upgrade auf SAP Identity Management 8.0 - ein ErfahrungsberichtDSAG-Seite herunterladen: Gerne gesehen hätte ich noch… V057: Trends und Entwicklungen im digitalen Marketing V109:

V057: Trends und Entwicklungen im digitalen Marketingauf SAP Identity Management 8.0 - ein Erfahrungsbericht V109: Workflow in SAP S/4HANA – von ECC

V109: Workflow in SAP S/4HANA – von ECC zu S/4V057: Trends und Entwicklungen im digitalen Marketing VS033: Seien Sie Ihren Mitbewerbern durch den Einsatz von

VS033: Seien Sie Ihren Mitbewerbern durch den Einsatz von intelligenter Technologie einen Schritt vorausMarketing V109: Workflow in SAP S/4HANA – von ECC zu S/4 V173: Ab in die Wolke:

V173: Ab in die Wolke: Ihr Reiseführer mit Tools und Informationen um den CloudbetriebEinsatz von intelligenter Technologie einen Schritt voraus V185: SAP Compliance und Sicherheit dringt auf

V185: SAP Compliance und Sicherheit dringt auf VorstandsebeneReiseführer mit Tools und Informationen um den Cloudbetrieb VS040: SAP Cloud Platform ABAP Environment V144: Fines

VS040: SAP Cloud Platform ABAP EnvironmentSAP Compliance und Sicherheit dringt auf Vorstandsebene V144: Fines in Five Minutes - ein schneller Datenschutzcheck

V144: Fines in Five Minutes - ein schneller DatenschutzcheckVorstandsebene VS040: SAP Cloud Platform ABAP Environment Meine Kollegen Ingo Biermann und Jeremia Girke (v.l.)

V144: Fines in Five Minutes - ein schneller Datenschutzcheck Meine Kollegen Ingo Biermann und Jeremia Girke

Meine Kollegen Ingo Biermann und Jeremia Girke (v.l.) waren ebenfalls mit dabei. Nach drei Tagen war dann auch gut und Zeit für einen

dabei. Nach drei Tagen war dann auch gut und Zeit für einen Ihr Ansprechpartner Sarah Fritzenkötter

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 62

Seite 62

rz10.de - die SAP Basis und Security Experten

allerletzten RZ-Bereitschaftshabener-würdigen schwarzen Kaffee™. Tschüss bis zum nächsten Jahr (bzw. bis zu den DSAG-Technologietagen)! Wenn ich etwas Wichtiges übersehen habe: ich freue mich über Tipps, welche Vorträge ebenfalls interessant waren (und warum).

welche Vorträge ebenfalls interessant waren (und warum). Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 63

Seite 63

rz10.de - die SAP Basis und Security Experten

Externe Transportaufträge importieren - geht das auch einfacher?

von Luca Cremer - Beitrag vom 17. September 2018 - Artikel online öffnen

Transportaufträge hoch und runterladen ist in SAP nur kompliziert und umständlich über das Betriebssystemverzeichnis lösbar. Ich zeige Ihnen in diesem Beitrag, wie es einfacher geht!

Um Transportaufträge in ein externes SAP-System einzuspielen oder externe Aufträge in das eigene System einspielen zu können ist zuerst einiges an Wissen notwendig. Wenn Sie bereits wissen wie hier vorzugehen ist, stimmen Sie mir mit Sicherheit zu, dass bei einer Vielzahl von Aufträgen das Standardvorgehen sehr aufwendig werden kann. Ich gehe in meinem Beitrag einmal kurz auf die normale Vorgehensweise ein und erkläre Ihnen den technischen Hintergrund. Anschließend zeige ich Ihnen, wie wir von RZ10 das genannte Problem minimieren können.

Standardvorgehen zum Import externer Transportaufträge

Eine Detaillierte Beschreibung zu dem Standardvorgehen und dem technischen Hintergrund können Sie bereits einem Beitrag meines Kollegen entnehmen: Import von externen Transportaufträgen. Um einen Transportauftrag zu importieren sind immer zwei Dateien notwendig, die data- und die cofiles-Datei. Ich zeige Ihnen kurz den Weg auf wie sie die data-Datei eines Beispielauftrags (DEVK12345) über den Standardweg in Ihr System bringen:

1. Sie müssen wissen wie Ihr Verzeichnis für die Transportauftragsdateien lautet - Dieses können Sie in der Transaktion AL11 einsehen, es lautet "DIR_TRANS"

2. Suchen Sie den Pfad zu dem "data"-Ordner

3. Jetzt müssen Sie den angegebenen Pfad kopieren und als Ziel in der Transaktion CG3Z einfügen

4. Dahinter fügen Sie noch in korrekter Schreibweise die Angabe zur lokal abgelegten data-Datei ein: "R12345.DEV"

zur lokal abgelegten data-Datei ein: "R12345.DEV" Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 64

Seite 64

rz10.de - die SAP Basis und Security Experten

Wenn Sie also einen Transportauftrag importieren möchten, müssen Sie dieses Vorgehen zweimal anwenden, damit Sie beide relevanten Dateien zur Verfügung haben. Danach müssten Sie den Auftrag noch manuell an die Import-Queue Ihres Systems anhängen. Das gleiche gilt natürlich auch für den Export der beiden Dateien mit der CG3Y.

Import mehrerer Transportaufträge gleichzeitig?

Als ich dieses Vorgehen zum ersten Mal gesehen habe, fragte ich mich wie ich bei mehreren zu importierenden Aufträgen damit umgehen soll? Müsste ich etwa für jeden einzelnen Transport zwei Dateien manuell in ein Verzeichnis des Betriebssystems einspielen um die Aufträge danach noch manuell in der Import Queue anzuhängen? Nach einer kurzen Recherche hatte ich meine Antwort: Ja! Genau das ist notwendig. Es gibt keinen einfacheren Weg im SAP Standard um mehrere Transportaufträge gleichzeitig zu importieren. Das konnte ich nicht einfach so stehen lassen. Ich habe mich also hingesetzt und ein Tool entwickelt, welches genau alle oben genannten Schritte automatisiert. Natürlich kommt der Fall eines Imports von vielen externen Aufträgen in der Praxis nicht allzu oft vor. Wenn Sie also vor der Herausforderung stehen, lediglich einen erhaltenen Transportauftrag zu importieren empfehle ich den Standard zu nutzen. Die Schritte sind zwar recht umständlich, jedoch gut dokumentiert und bei einer einmaligen Aktion vollkommen ausreichend. Wenn Sie jedoch eine Menge von externen Aufträgen zu exportieren oder importieren haben könnte für Sie unser entwickeltes Tool interessant sein.

Arbeitsweise mit dem Tool - Export von Aufträgen

Im Folgenden möchte ich Ihnen beispielhaft unser Tool vorstellen. In unserem Beispielszenario wollen wir eine Menge von Aufträgen von einem System exportieren um diese anschließend in einem anderen nicht verbundenen System einzuspielen. Das Tool ist so einfach wie möglich gehalten und ermöglicht dem User beim Start die Auswahl von zwei möglichen Optionen: Upload von Aufträgen und Download von Aufträgen.

Optionen: Upload von Aufträgen und Download von Aufträgen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 65

Seite 65

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Danach können Sie die gewünschten Transportaufträge auswählen. Hier

Danach können Sie die gewünschten Transportaufträge auswählen. Hier können Sie beim Download einfach eine Liste von im System vorhandenen Aufträgen einfügen, wie im folgenden Screenshot zu sehen.

Aufträgen einfügen, wie im folgenden Screenshot zu sehen. In unserem Beispiel nehmen wir 7 Transportaufträge, von

In unserem Beispiel nehmen wir 7 Transportaufträge, von welchen ich nun die Dateien benötige um Sie auf einem anderen System einzuspielen. Bei einem Klick auf "Ausführen" fragt uns das Tool letztlich noch, wo es die Dateien ablegen

fragt uns das Tool letztlich noch, wo es die Dateien ablegen Ihr Ansprechpartner Sarah Fritzenkötter Inbound

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 66

Seite 66

rz10.de - die SAP Basis und Security Experten

soll. Ich wähle hier einen neuen Ordner auf meinem Desktop aus. Nachdem ich den Zugriff auf meine Dateien gewährt habe läuft alles automatisch. Das Ergebnis sieht letztendlich so aus:

alles automatisch. Das Ergebnis sieht letztendlich so aus: In dem ausgewählten Ordner werden automatisch zwei

In dem ausgewählten Ordner werden automatisch zwei Unterordner für jeweils data- und cofiles-Dateien erstellt und die entsprechenden Dateien darunter abgespeichert. Die Funktionsweise für den Upload der Dateien ist analog aufgebaut, mit dem Unterschied, dass auf Wunsch die Dateien noch an die Import Queue Ihres Systems direkt angefügt werden. So können Sie den Aufwand einer solchen Arbeit auf ein Minimum reduzieren.

Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?

Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich freue mich auf Ihre Anfragen!

oder deren Funktionsweise. Ich freue mich auf Ihre Anfragen! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 67

Seite 67

rz10.de - die SAP Basis und Security Experten

Externe Transportaufträge in ein SAP-System importieren

von Florian Paetzold - Beitrag vom 15. Januar 2018 - Artikel online öffnen

Transportaufträge von einer Systemlinie in eine andere zu transportieren oder Transportaufträge von Drittanbietern in das SAP-System zu importieren gehört auch zu den gelegentlichen Aufgaben eines SAP-Basis-Administrators. Wie schon in meinem letzten Blogbeitrag zur Systemänderbarkeit möchte ich Ihnen hier eine Möglichkeit bieten, dieses Thema schnell abrufbar darzubieten. Somit finden Sie am Ende wieder eine Schritt-für- Schritt Anleitung, welche Sie befolgen können, wenn Sie das Thema schon inhaltlich verstanden haben, aber nur die Schritte benötigen.

Was sind die Voraussetzungen?

Zu Transportaufträgen gehören zwei Dateien, welche als "data" und "cofiles" betitelt sind. Diese Dateien bestehen aus einer sechsstelligen alphanumerischen Kombination und einer Dateiendung, welche häufig das System darstellt, aus welchem die Dateien exportiert wurden. Hierbei ist das erste Zeichen immer ein K (die cofiles-Datei) oder ein R (die data- Datei). Für unser Beispiel nennen wir die Dateien einmal K12345.DEV und R12345.DEV. Diese Dateien werden natürlich für einen Import in das eigene SAP-System benötigt. Weiterhin benötigen Sie Zugang zu dem Filesystem bzw. den SAP-Verzeichnissen, da sie die oben genannten Dateien dort manuell einfügen müssen. Zusätzlich dazu wird die Transaktion STMS im SAP-System benötigt, da sie dort die Transportaufträge an die Importqueue anhängen. Wenn Sie dies nun alles zur Verfügung haben, können wir mit dem Import starten:

Wie ist das Vorgehen?

Vorbereitung auf Betriebssystemebene.

Im ersten Schritt müssen die Dateien in das Transportverzeichnis des SAP-System kopiert

Dateien in das Transportverzeichnis des SAP-System kopiert Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 68

Seite 68

rz10.de - die SAP Basis und Security Experten

werden. Dieses liegt normalerweise unter /usr/sap/trans, kann aber je nach System auch individuell geändert werden. Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter "DIR_TRANS" angegeben ist. Dies ist das richtige Verzeichnis in dem wir arbeiten wollen. Hier werden nun die vorhandenen Dateien hineinkopiert und zwar die cofiles-Datei (K12345.DEV) in den cofiles-Ordner (/usr/sap/trans/cofiles) und die data-Datei (R12345.DEV) in den data-Ordner (/usr/sap/trans/data). Hinweis: Gerade bei Unternehmen mit mehreren Systemen auf mehreren Servern müssen in diesem Fall noch die Zugriffsberechtigungen und der Datei-Owner geändert werden, sodass der Import im Zielsystem keine Probleme macht. Der Dataowner sollte der <sid>adm des Zielsystems sein, den können Sie (in der Unix- Konsole) mit "chown <sid>adm K12345.DEV" ändern (respektive R12345.DEV für die data- Datei). Um die Zugriffsberechtigungen zu ändern, können Sie den Befehl "chmod 664 K12345.DEV" benutzen.

Transportaufträge im SAP-System anhängen

Sobald dies geschehen ist, können Sie die Transportaufträge in Ihrem SAP-System an die Importqueue anhängen. Dies geschieht, indem Sie über die STMS -> Importübersicht (F5) sich die Importqueues anzeigen lassen. Hier wählen Sie mit einem Doppelklick die Importqueue des Zielsystems aus. Danach bekommen Sie unter "Zusätze"->"Weitere Aufträge"->"Anhängen" ein Popup, mit dem Sie die Transportaufträge an die Importqueue anhängen können.

die Transportaufträge an die Importqueue anhängen können. In dem aufkommenden Popup müssen Sie den genauen

In dem aufkommenden Popup müssen Sie den genauen Transportauftrag benennen. Der richtige Name dafür bildet sich wie folgt: Die ersten drei Zeichen sind die Datei-Endung der beiden Dateien, welche Sie in das Transportverzeichnis kopiert haben. Die letzten Zeichen setzen sich aus dem Dateinamen der cofiles-Datei zusammen. Bei unserem Beispieltransport würde der Transport also "DEVK12345" genannt werden (Abzuleiten aus der cofiles-Datei K12345.DEV) Das dürfte nun eine positive Meldung vom SAP zurückgeben und der Transport ist an die

Meldung vom SAP zurückgeben und der Transport ist an die Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 69

Seite 69

rz10.de - die SAP Basis und Security Experten

Importqueue angehängt. Nun können Sie diesen Transport wie jeden gewöhnlichen Transportauftrag in das System importieren.

Schritt-für-Schritt Zusammenfassung

Cofiles/data-Datei in das Transportverzeichnis kopierendas System importieren. Schritt-für-Schritt Zusammenfassung Normalerweise /usr/sap/trans, falls nicht --> AL11

Normalerweise /usr/sap/trans, falls nicht --> AL11 -> DIR_TRANSCofiles/data-Datei in das Transportverzeichnis kopieren Dateiowner und Zugriffsrechte anpassen chown

Dateiowner und Zugriffsrechte anpassen/usr/sap/trans, falls nicht --> AL11 -> DIR_TRANS chown <sid>adm <Datei> chmod 664

chown <sid>adm <Datei>AL11 -> DIR_TRANS Dateiowner und Zugriffsrechte anpassen chmod 664 <Datei> Im SAP-System: STMS ->

chmod 664 <Datei>anpassen chown <sid>adm <Datei> Im SAP-System: STMS -> Importübersicht ->

Im SAP-System: STMS -> Importübersicht -> Importqueue auswählen -> Zusätze -> Weitere Aufträge -> Anhängen<sid>adm <Datei> chmod 664 <Datei> Transportaufträge eingeben (<Dateiendung><Name

Transportaufträge eingeben (<Dateiendung><Name der cofiles-Datei>)-> Zusätze -> Weitere Aufträge -> Anhängen Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial

Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen, lassen Sie es mich wissen! Zukünftig werde ich weiterhin sporadisch auftretende Aufgaben eines SAP-Basis- Administrators als kleine Tutorials als Blogbeitrag verfassen, haben Sie eventuell einen Wunsch für das nächste Thema?

haben Sie eventuell einen Wunsch für das nächste Thema? Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 70

Seite 70

rz10.de - die SAP Basis und Security Experten

HANA DB mit Eclipse erste Schritte

von Tobias Harmes - Beitrag vom 13. Juli 2018 - Artikel online öffnen

Wer sich bereits einen eigenen SAP HANA DB Server installiert hat oder bereits einen HANA DB besitzt, möchte eventuell auch mit einem Desktop-Client die Administration durchführen. Hier bietet sich Eclipse an. Das Java-basierte Framework wird von der SAP unterstützt und mit wenigen Handgriffen hat jeder seine Administrations- und Abfrage- Oberfläche zusammen.

Inhalt

Eclipse installieren und HANA DB Software Repository einbinden HANA DB Administration Console öffnen und Systemverbindung anlegen Verbindung herstellen und testen

Eclipse installieren und HANA DB Software Repository einbinden

Software-Zutaten:

Eclipse in der Release-Version Oxygen: https://www.eclipse.org/oxygen/ https://www.eclipse.org/oxygen/

Benötigt eine Java JRE (z.B.der Release-Version Oxygen: https://www.eclipse.org/oxygen/

Plugins von SAP: https://tools.hana.ondemand.com/ bzw. direkt für Oxygen https://tools.hana.ondemand.com/oxygen/ (das wird später über https://tools.hana.ondemand.com/ bzw. direkt für Oxygen https://tools.hana.ondemand.com/oxygen/ (das wird später über Eclipse eingebunden und muss nicht einzeln heruntergeladen werden)

Hier auch ruhig gucken, ob es nicht mittlerweile ein neueres Release von SAP gibt, das auch neuere Releases von Eclipse unterstützt.

SAP gibt, das auch neuere Releases von Eclipse unterstützt. Installer starten Ihr Ansprechpartner Sarah Fritzenkötter

Installer starten

neuere Releases von Eclipse unterstützt. Installer starten Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 71

Seite 71

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Eclipse Platform Paket auswählen, das ist auch etwas

Eclipse Platform Paket auswählen, das ist auch etwas schlanker als die anderen Varianten.

das ist auch etwas schlanker als die anderen Varianten. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 72

Seite 72

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Release bzw. Product Version wählen -> Oxygen Ihr

Release bzw. Product Version wählen -> Oxygen

Experten Release bzw. Product Version wählen -> Oxygen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 73

Seite 73

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Nach dem Start über Help->Install new software anwählen

Nach dem Start über Help->Install new software anwählen

dem Start über Help->Install new software anwählen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 74

Seite 74

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten SAP Development Tools for Eclipse - Oxygen Software

SAP Development Tools for Eclipse - Oxygen Software Repository hinzufügen:

https://tools.hana.ondemand.com/oxygen/ Nach dem Klick auf Next installiert die Software im Hintergrund.

dem Klick auf Next installiert die Software im Hintergrund. Am Ende der Installation wird das Eclipse

Am Ende der Installation wird das Eclipse Studio einmal neugestartet.

HANA DB Administration Console öffnen und

neugestartet. HANA DB Administration Console öffnen und Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 75

Seite 75

rz10.de - die SAP Basis und Security Experten

Systemverbindung anlegen

Aus der Übersicht die Administration Console öffen.
Aus der Übersicht die Administration Console öffen.
Aus der Übersicht die Administration Console öffen. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 76

Seite 76

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Oder aus der Workbench heraus die Perspektive Administration

Oder aus der Workbench heraus die Perspektive Administration Console öffnen.

heraus die Perspektive Administration Console öffnen. System hinzufügen Ihr Ansprechpartner Sarah Fritzenkötter

System hinzufügen

Administration Console öffnen. System hinzufügen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 77

Seite 77

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Die IP-Adresse ggf. über "sudo ifconfig" als hxeadm

Die IP-Adresse ggf. über "sudo ifconfig" als hxeadm herausfinden. In diesem Fall melden wir uns direkt an der SYSTEM-Datenbank an. "Next"

wir uns direkt an der SYSTEM-Datenbank an. "Next" Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 78

Seite 78

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Wir gehen als SYSTEM rein. Passwort entspricht dem

Wir gehen als SYSTEM rein. Passwort entspricht dem Masterkennwort. Auf "Finish" klicken.

Verbindung herstellen und testen

"Finish" klicken. Verbindung herstellen und testen Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 79

Seite 79

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Das System ist nun gelistet. Ein Doppelklick stellt

Das System ist nun gelistet. Ein Doppelklick stellt die Verbindung her.

ist nun gelistet. Ein Doppelklick stellt die Verbindung her. Übersichts-Infos, hier bin ich an eine HANA

Übersichts-Infos, hier bin ich an eine HANA Express Edition 2.0 SPS03 angebunden.

bin ich an eine HANA Express Edition 2.0 SPS03 angebunden. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales
bin ich an eine HANA Express Edition 2.0 SPS03 angebunden. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 80

Seite 80

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Test-SQL-Statement: select * from SYS.DUMMY; Über Button oder

Test-SQL-Statement:

select * from SYS.DUMMY; Über Button oder F8 ausführen.

select * from SYS.DUMMY; Über Button oder F8 ausführen. Es sollte eine Zeile mit X herauskommen.

Es sollte eine Zeile mit X herauskommen. Herzlichen Glückwunsch, der Zugriff auf die HANA DB via Eclipse funktioniert. War das nützlich? Ich freue mich über Feedback via Mail und als Kommentar hier unter dem Beitrag!

Feedback via Mail und als Kommentar hier unter dem Beitrag! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 81

Seite 81

rz10.de - die SAP Basis und Security Experten

Internes Kontrollsystem für SAP IT Security - mit Hendrik Heyn

von Tobias Harmes - Beitrag vom 19. Oktober 2018 - Artikel online öffnen

In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die Frage, wie man eigentlich die verschiedensten Prüfanforderungen systematisch und nachhaltig unter einen Hut bringen kann.

Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!

Für unterwegs - den Podcast abonnieren: https://rz10.de/podcast

Für die Youtube-Nutzer, hier die Folge verlinkt:

-------------------------------

Noch Fragen? Online Beratung mit mir buchen:

-------------------------------

Links und Downloads

Vortrag auf dem DSAG-Jahreskongress Der Vortragstitel lautet: "V186: Implementierung eines internen Kontrollsystems (IKS) zur Überprüfung der SAP-IT-Sicherheit". Die Folien gibt es im Download-Bereich der DSAG:

Use-Case Konzeptgenerierung und IKS mit dem Xiting Security Architect

Konzeptgenerierung und IKS mit dem Xiting Security Architect Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 82

Seite 82

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten (PDF-Download, 6 Folien, ca. 10 Minute Lesezeit) Xiting

(PDF-Download, 6 Folien, ca. 10 Minute Lesezeit)

Xiting Service SAP Sicherheitsüberwachung / IKS https://www.xiting.ch/services/xams-services/sap-sicherheitsuberwachung-iks/

Software XAMS Security Architect https://www.xiting.ch/produkte/security-architect/

-------------------------------

Kapitelmarken

00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?

06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security Konzept?

09:45 Was war die größte Herausforderung in dem Projekt?

10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?

12:56 Wie funktioniert nun das Monitoring in dem IKS?

16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?

18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?

-------------------------------

wenn ich das Tool verwende? ------------------------------- Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 83

Seite 83

rz10.de - die SAP Basis und Security Experten

Auf dem Laufenden bleiben:

RSS: https://rz10.de/feed/ Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 84

Seite 84

rz10.de - die SAP Basis und Security Experten

Konfiguration des Security Audit Log

von Torsten Schmits - Beitrag vom 14. Dezember 2018 - Artikel online öffnen

Steht bei Ihnen im Hause bald auch wieder eine Revision an? Dann empfehlen wir eine korrekte Konfiguration des Security Audit Log.

In diesem Blog-Beitrag zeige ich Ihnen, wie unsere übliche Vorgehensweise zur Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen anstellen. Das Entscheidende hierbei ist jedoch, dass zuvor einerseits das Security Audit Log selbst korrekt konfiguriert wurde und im Anschluss auch nutzbare Filter eingestellt sind.

Parameter des Security Audit Log

Über die Transaktion RZ10 können Profilparameter im Instanzprofil konfiguriert werden. Bitte beachten Sie hierbei, dass ein Neustart der Instanz notwendig ist, damit die geänderten Parameter in Kraft treten. Wir empfehlen folgende drei Einstellungen:

Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen wir den Parameter rsau/enable auf den Wert 1 zu setzenin Kraft treten. Wir empfehlen folgende drei Einstellungen: Um später ausreichend Filter setzen zu können, halten

Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für den Parameter rsau/selection_slots für angemessenwir den Parameter rsau/enable auf den Wert 1 zu setzen Da später bei den Filtern der

Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch zumindest der Stern als Wildcard genutzt werden kann10 für den Parameter rsau/selection_slots für angemessen Filter des Security Audit Log Nachdem die zuvor genannten

Filter des Security Audit Log

Nachdem die zuvor genannten Parameter gesetzt wurden, können Sie in der SM19 Ihre gewünschten Filter zur Verwaltung, welche Ereignisse aufgezeichnet werden sollen, definieren. Erstellen Sie sich hierfür in der SM19 zunächst ein neues Profil oder selektieren ein Bestehendes.

zunächst ein neues Profil oder selektieren ein Bestehendes. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 85

Seite 85

rz10.de - die SAP Basis und Security Experten

Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:

Alle kritischen Aktionen von allen Usern in allen MandantenFilter einstellen. Unsere Empfehlung dafür sieht so aus: Alle Aktionen von allen Usern, die mit "SAP"

Alle Aktionen von allen Usern, die mit "SAP" beginnen in allen MandantenAlle kritischen Aktionen von allen Usern in allen Mandanten Alle Aktionen von allen Notfall-Usern in allen

Alle Aktionen von allen Notfall-Usern in allen MandantenUsern, die mit "SAP" beginnen in allen Mandanten Alle Login- und Transaktionsereignisse für den Nutzer DDIC

Alle Login- und Transaktionsereignisse für den Nutzer DDIC in allen Mandanten (der DDIC Nutzer sollte nicht im Dialog aktiv sein)Alle Aktionen von allen Notfall-Usern in allen Mandanten Alle Aktionen von allen Usern im Mandanten 066

Alle Aktionen von allen Usern im Mandanten 066 (Der SAP Standard-Mandant 066 ist alt und wird nicht mehr benötigt)(der DDIC Nutzer sollte nicht im Dialog aktiv sein) Die verbleibenden Filter können frei genutzt werden.

Die verbleibenden Filter können frei genutzt werden.

Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.

Auswertung des Security Audit Log

Für die Auswertung des Security Audit Log gehen Sie in die Transaktion SM20. Wählen Sie hier Ihre gewünschten Daten und klicken oben auf den Button zum neuen Lesen des Audit Logs.

Mich interessieren Ihre Erfahrungen, haben Sie andere Filter für Ihr Security Audit Log gesetzt oder nutzen Sie komplett andere Vorgehensweisen?

Ich freue mich auf Ihre Anfragen!

andere Vorgehensweisen? Ich freue mich auf Ihre Anfragen! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 86

Seite 86

rz10.de - die SAP Basis und Security Experten

Konsistenzprüfung von Objekten über mehrere Systeme

von Torsten Schmits - Beitrag vom 30. November 2018 - Artikel online öffnen

In diesem Blog-Beitrag zeige ich Ihnen, wie Sie mit Hilfe eines Reports eine Konsistenzprüfung von Objekten über mehrere Systeme durchführen können.

In den meisten Systemlandschaften herrscht viel Bewegung der Objekte in den einzelnen Systemen. Oftmals erhält die Basisabteilung Anfragen einzelner Entwickler, dass ein Transport in Folgesysteme transportiert werden soll. Ein Transport läuft auf einen Fehler, der erst noch analysiert werden muss, bevor erneut transportiert wird. Es gibt vermutlich noch hunderte weitere Gründe, weshalb es zu Inkonsistenzen von Objekten innerhalb einer Systemlandschaft kommen kann. Im Folgenden möchte ich Ihnen ein Beispiel aus meinen praktischen Erfahrungen geben:

Fallbeispiel

Eine Applikation, die aus mehreren hundert Transporten besteht, wurde vollständig durch die komplette Systemlinie transportiert. Hierbei kam es zu Inkonsistenzen, da in einigen Fällen die Reihenfolge der Transporte durcheinander geraten ist. Dies ist jedoch zunächst unentdeckt geblieben, da die Applikation erst später getestet worden ist. Als es zu dem Test kam, sind die Probleme aufgefallen und eine Rekonstruktion war äußerst kompliziert.

Unsere Lösung: Report zur Konsistenzprüfung

In der vergangenen Zeit haben wir unser Repertoire an Reports zur Unterstützung im Alltag ständig erweitert. Neben Reports zur Kontrolle über die Import-Reihenfolge von Transporten oder auch Reports zur Verwaltung von externen Transportaufträgen haben wir auch hier einen Report entwickelt, der die Konsistenz von Objekten über mehrere Systeme prüfen kann. Es können entweder die Objekte direkt angegeben werden oder alternativ kann eine Auswahl der Objekte über Transportaufträge geschehen:

eine Auswahl der Objekte über Transportaufträge geschehen: Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 87

Seite 87

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Anhand des Ergebnisses kann abgelesen werden, ob es

Anhand des Ergebnisses kann abgelesen werden, ob es in einem der Systeme Schiefstände gibt. Auf dem dargestellten Bild ist jedoch ein sauberer Stand dargestellt. Dieser gibt Gewissheit über die Konsistenz der geprüften Objekte innerhalb der Systemlinie.

Konsistenz der geprüften Objekte innerhalb der Systemlinie. Mich interessieren Ihre Erfahrungen, hatten Sie bereits mit

Mich interessieren Ihre Erfahrungen, hatten Sie bereits mit Inkonsistenzen zu kämpfen? Wie

hatten Sie bereits mit Inkonsistenzen zu kämpfen? Wie Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 88

Seite 88

rz10.de - die SAP Basis und Security Experten

sind Sie diese angegangen?

Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder dessen Funktionsweise. Ich freue mich auf Ihre Anfragen!

dessen Funktionsweise. Ich freue mich auf Ihre Anfragen! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 89

Seite 89

rz10.de - die SAP Basis und Security Experten

Kontrolle über die Import- Reihenfolge von Transporten

von Torsten Schmits - Beitrag vom 1. Oktober 2018 - Artikel online öffnen

In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Gewissheit und Kontrolle über die Import- Reihenfolge von Transporten in Ihrer SAP-Systemlandschaft erhalten.

In den meisten Systemlandschaften muss eine Vielzahl von Transporten durch die Systemlinie oder sogar über verschiedene Systemlinien hinweg transportiert und importiert werden. Hierbei ist es absolut notwendig, dass die Transporte in korrekter Reihenfolge importiert werden. Dies zu verwalten stellt eine große und wichtige Anforderung an Basis- Administratoren dar.

Das Problem: Überholer-Aufträge

Sollte die korrekte Reihenfolge einmal nicht eingehalten werden, kann es schnell zu ungewollten Überholer-Aufträgen kommen. Hierdurch werden Objekte mit falschen Versionen überschrieben und es entsteht ein inkonsistenter Stand. Dieser kann zur Folge haben, dass verschiedene Funktionalitäten nicht mehr gegeben sind und dadurch das Tagesgeschäft gestört wird.

Warum nicht die STMS nutzen?

Wir haben des Öfteren die Erfahrung machen müssen, dass bei der Nutzung der STMS die Import-Reihenfolge von Transporten nicht immer so eingehalten wurde, wie wir es erwartet hätten. In einem Fall sind zum Beispiel mehrere Systemlinien und auch andere externe Transportaufträge im Spiel gewesen, die eingespielt werden mussten. Diese hatten Abhängigkeiten zu bereits vorhandenen Objekten, wodurch eine korrekte Import- Reihenfolge essentiell gewesen ist. In diesem Fall ist die Import-Reihenfolge nicht korrekt gewesen, was zu inkonsistenten Objektständen geführt hat. Diese wurden erst im Nachhinein entdeckt, waren schwer nachzuvollziehen und haben sich auch nur schwer beheben lassen. Um dieses Problem dauerhaft zu vermeiden, haben wir eine geeignete Lösung gesucht.

zu vermeiden, haben wir eine geeignete Lösung gesucht. Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 90

Seite 90

rz10.de - die SAP Basis und Security Experten

Unsere Lösung: Report zur Import-Steuerung

Wir haben einen Report entwickelt und umfangreich getestet, der sicherstellt, dass die Reihenfolge der Transporte beim Import-Vorgang eingehalten wird.

der Transporte beim Import-Vorgang eingehalten wird. Die eingefügte Liste von Transporten wird schrittweise mit

Die eingefügte Liste von Transporten wird schrittweise mit den gewählten Optionen abgearbeitet und ein Log geschrieben. Im Log werden Informationen über den Erfolg oder Misserfolg beim Import-Vorgang festgehalten. Der Report selbst arbeitet auf Betriebssystem-

Ebene und nutzt den tp-Befehl, wie es auch im Transport-Management-System gemacht wird - nur mit dem Unterschied, dass stets die Reihenfolge beibehalten wird und somit Kontrolle über die Import-Reihenfolge von Transporten gegeben ist.

Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?

Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich freue mich auf Ihre Anfragen!

oder deren Funktionsweise. Ich freue mich auf Ihre Anfragen! Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager

Tel.: 0211 9462 8572-25

fritzenkoetter@rz10.de

https://rz10.de

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 91

Seite 91

rz10.de - die SAP Basis und Security Experten

Login-Historie von Usern mittels SAL ermitteln

von Tobias Koch - Beitrag vom 20. Februar 2018 - Artikel online öffnen

Gerade nach Sicherheitsvorfällen kann es notwendig sein herauszufinden, welche (technischen) User sich zu welchem Zeitpunkt eingeloggt haben. Einen ersten Einstiegspunkt bietet dafür die Tabelle USR02. In der Spalte TRDAT können Sie für den gewünschten User das letzte Anmeldedatum finden. Eine Historie über die vorherigen Anmeldungen ist in dieser Tabelle jedoch nicht zu finden. In solchen Fällen hilft der Security Auditlog oder kurz SAL.

Vorbereitung

Damit Sie auf die gewünschten Daten zugreifen können, müssen diese zuvor auch gespeichert worden sein. Im Security Auditlog können Sie über verschiedene Filter bestimmen, für welche User auf welchen Mandanten welche Informationen geloggt werden. Der Security Auditlog speichert, je nach Konfiguration, Anmeldungen, RFC-Aufrufe und weitere Aktionen für bestimmte User. Diese Einstellungen können Sie in der Transaktion SM19 vornehmen.

Hinweis: Das Loggen von Useraktivitäten muss den betroffenen Usern bewusst sein! Konfigurieren Sie die SAL daher nur für technische User oder in Absprache mit Usern / Betriebsrat / etc.

Es lässt sich dort u.a. einsehen, wann der SAL aktiviert und zuletzt bearbeitet wurde (1). Sie können hier außerdem die verschiedenen Filter auswählen (2), die Filter einzeln aktivieren (3), Mandanten und Benutzer bestimmen (4) sowie festlegen, welche Aktivitäten geloggt werden (5).

(4) sowie festlegen, welche Aktivitäten geloggt werden (5). Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales

Ihr Ansprechpartner

Sarah Fritzenkötter Inbound Sales Manager Tel.: 0211 9462 8572-25 fritzenkoetter@rz10.de https://rz10.de Seite 92

Seite 92

rz10.de - die SAP Basis und Security Experten

rz10.de - die SAP Basis und Security Experten Statische Konfiguration in der SM19 Unter der Dynamischen

Statische Konfiguration in der SM19 Unter der Dynamischen Konfiguration lässt sich außerdem einsehen, ob SAL aktuell für das System aktiv ist.

einsehen, ob SAL aktuell für das System aktiv ist. Status des SAL ermitteln Auswertung des SAL

Status des SAL ermitteln

Auswertung des SAL

Wenn der Security Auditlog aktiv ist, wechseln Sie in die SM20 Auswertung des Security Auditlog. Wählen sie die gewünschten User und den Mandanten aus sowie das passende Zeitfenster. Für die Anmeldungen reicht die Option Dialoganmeldungen aus. Starten Sie anschließend die Analyse über AuditLog neu einlesen.

Sie anschließend die Analyse über AuditLog neu einlesen . Auswertung starten Sie erhalten eine Übersicht der

Auswertung starten Sie erhalten eine Übersicht der Anmeldungen des Users an den gewählten Mandanten des

der Anmeldungen des Users an den gewählten Mandanten des Ihr Ansprechpartner Sarah Fritzenkötter Inbound Sales