Академический Документы
Профессиональный Документы
Культура Документы
"Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt
stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme
lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr
Vorlaufzeit realisieren können."
Sarah Fritzenkötter
Inbound Sales Manager
Mail: fritzenkoetter@rz10.de
Telefon: 0211 9462 8572 25
rz10.de - die SAP Basis und Security Experten
Inhalt
1 noch… Audi A6 und SAP Security | Tobias Harmes 6
Transportprozess
Blockchain Technologie 31
Der DSAG-Prüfleitfaden 49
Digital signierte SAP Hinweise durch Einbau der Note 2408073 nutzen 56
Ihr Ansprechpartner
Maximilian Job
überwachen
Funktionsbausteinen
SAP Gateway und Infrastruktur für SAP Fiori - mit Rico Magnucki 146
SAP RFC Gateway Sicherheit durch secinfo und reginfo ACL Dateien 173
SAP S/4HANA FAQ - Wann muss ich auf S/4HANA gehen? - mit Ingo 176
Biermann
Ihr Ansprechpartner
SAP S/4HANA FAQ - Was ist eigentlich dieses HANA? - mit Ingo Biermann 178
SAP S/4HANA FAQ: Ist das noch ABAP? - mit Ingo Biermann 181
SAP Support als managed Services - wie funktioniert das eigentlich? 192
Berechtigungen in 2018
Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager 216
Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP - mit Jeremia 225
Girke
Topf sucht Deckel – Connect 2018 – SAP Partner Summit in Düsseldorf 227
Treffen auf der Warm-Up Party zum DSAG Jahreskongress 2018 in Leipzig 233
Ihr Ansprechpartner
ermitteln
Ihr Ansprechpartner
Neulich bin ich mit dem neuen Audi A6 gefahren. Und meine Interpretation einer
Kontrollleuchte hatte erstaunliche Parallelen zum Thema SAP Security.
Viel Spaß allen mit dieser Episode! Vielen lieben Dank für all euren Support!
Audi-Profis werden jetzt vermutlich sagen: wie kann man das Feature denn nicht kennen?
Ich hätte auch ins Handbuch gucken können. Tja, aber ich wollte ja auch pünktlich sein.
In Strategieworkshops zum Thema SAP Berechtigungen rede ich auch oft über
Warnanzeigen und Kontrollleuchten. Manche Meldungen wie "SAP_ALL in technischen
Usern" oder "Azubi mit mehr Rechten als der FI-Keyuser" werden weggedrückt wie
Wischwasser-Warnungen. Irgendwann gesellen sich zu den gelben Symbolen auch rote
Symbole. Und dann wird es teuer. Auf Verschleiß fahren - sowas würde man beim Auto
nicht machen. Das liegt aber auch daran, dass bei einem Auto die Warnmeldung viel klarer
Ihr Ansprechpartner
Ihr Ansprechpartner
Kennen Sie diese Situation? Bei jedem Versuch der Anmeldung an Ihrem SAP System
bekommen Sie nur eine Sanduhr zu sehen? Falls Sie bereits angemeldet sind, ist es Ihnen
nicht möglich eine neue Transaktion aufzurufen, weil das System diese scheinbar bis in alle
Ewigkeit lädt? Hintergrundjobs laufen auf Time-Outs? Nichts geht mehr? Die Ursachen
hierfür können vielfältig sein. Es gibt jedoch eine Ursache, die besonders häufig vorkommt -
den sogenannten Archiver Stuck. Was das ist, wie Sie diese Situation erkennen und beheben
können, will ich Ihnen in diesem Beitrag erklären.
Oracle-Datenbanken schreiben für jede Schreib-Operation, die auf der Datenbank getätigt
wurde, Einträge in ein Redolog. Hierbei handelt es sich um eine Datei, die zunächst auf dem
Server der Datenbank abgelegt wird. In der Regel haben Sie bereits eine Methode zur
regelmäßigen Archivierung und Löschung dieser Dateien eingerichtet, da ansonsten in
Dateisystem bis ins unendliche wachsen müsste. Es kann aber vorkommen, dass diese
Methode nicht schnell genug greift, weil zum Beispiel deutlich mehr Operationen stattfinden
als erwartet. Außerdem ist es möglich, dass der Archivierungsserver voll ist, keine
Verbindung zu diesem hergestellt werden kann oder dieser sogar defekt ist.
Was passiert dann? Die Datenbank schreibt weiter Redologs und das Dateisystem füllt sich
langsam aber sicher. Irgendwann ist es zu 100% gefüllt. Das System wartet darauf,
Änderungen protokollieren zu können und es werden keine weiteren Ressourcen mehr frei.
Auch wenn Sie jetzt einen Weg finden, Ihre Archivierungsmethode wiederherzustellen,
indem also zum Beispiel das Netzwerk repariert wird, läuft das Archivierungsprogramm
nicht mehr, da es zum arbeiten freien Speicher in eben diesem Dateisystem bräuchte. Das
nennt man einen Archiver Stuck.
Ihr Ansprechpartner
$ORACLE_HOME/oraarch/oraSID
log_archive_dest
Ihr Ansprechpartner
Dateisystem hat.
Die beste Lösung ist, sog. Dummy-Dateien, also Dateien ohne Inhalt, aus dem Verzeichnis zu
löschen, sofern solche Dateien vorhanden sind. Eventuell ist es auch möglich, das
Dateisystem online zu erweitern und so kurzfristig mehr Platz zu schaffen. Sie können auch
den Speicherort für für die Dateien kurzfristig zu ändern. Dafür müssen Sie den o.g.
Parameter anpassen und die Datenbank neustarten.
Als letzten Ausweg können Sie die Redologs auch verschieben. Ich rate Ihnen, diese nicht zu
löschen, denn ohne sie können Sie die Datenbank nicht wiederherstellen. Verschieben Sie
am besten die neusten Dateien, um die Reihenfolge der Dateien zu erhalten. So können Sie
zwar kurzfristig Platz schaffen um den Archiver zu starten, aber die verschobenen Dateien
werden nicht archiviert. Im Fall eines Hardware-Fehlers sind diese ggf. nicht
wiederherstellbar. Wenn der Archiver Stuck endgültig behoben ist, können Sie ein
vollständiges Backup machen. Danach werden die verschobenen Redolog-Dateien sehr
wahrscheinlich nicht mehr benötigt.
Um einem Archiver Stuck vorzubeugen gilt es vor allem abzuschätzen, wie viele Redolog-
Dateien in Ihrem System pro Minute geschrieben werden und die Archivierung dieser
entsprechend des vorhandenen Platzes auf dem Dateisystem einzuplanen. Ich empfehle
Ihnen, als Puffer manuell Dummy-Dateien anzulegen, die etwa 5% des Platzes auf dem
Dateisystem einnehmen. Dieser Puffer kann im Notfall einfach gelöscht werden, um einen
Archiver Stuck schnell beheben zu können, ohne dass relevante Daten verloren gehen.
Haben Sie Erfahrungen mit Archiver Stucks und kennen vielleicht noch andere
Lösungsmöglichkeiten? Ich freue mich über Ihre Kommentare.
Ihr Ansprechpartner
"Never change a running system" war auch jahrelang meine Devise – bis ich neulich ein
interessantes Interview gehört habe. Es geht um nichts weniger als die Bankrott-Erklärung
der IT beim Thema Innovation.
Als Mitarbeiter der IT war jahrelang ein quasi verdeckter Eintrag in der Stellenbeschreibung
auch, die neueste Technologie in das Unternehmen reinzutragen. Innovation aus der IT. So
jedenfalls war es Anfang der 2000er, wo noch nicht jeder Zugriff auf Google hatte. Für mich
war das eigentlich auch immer noch die Wahrheit. Denn IT ist doch das, was das
Unternehmen am Laufen hält und den Wettbewerb auf Abstand.
Bis ich neulich den Podcast von t3n mit dem Titel "Warum Firmen-IT so schlecht ist" gehört
habe. Darin beschreibt Olaf Kapinski seine Erfahrungen aus mehr als 17 Jahren IT-Leitung.
Und einem Problem, das mir immer wieder im Bereich Security entgegenschlägt: Dass die IT
in Wirklichkeit die größte Bremse der Innovation ist.
Aber nicht, weil ITler Innovation doof finden. (Hallo, es hat ja wohl jeder von uns Cloud-
Services zu Hause, GoogleMail und DropBox senden ihre Grüße). Sondern weil die Haupt-
KPI, der Haupt-Messpunkt seit Jahrzehnten nur eins ist: "Verfügbarkeit. Verfügbarkeit.
Verfügbarkeit."
Totale Fixierung auf Verfügbarkeit und gleichzeitig der Anspruch auf Innovation – das passt
ungefähr so harmonisch zusammen, wie Tempo 200 fahren und den Rückwärtsgang
Ihr Ansprechpartner
einlegen. Und deshalb wird jede Anfrage aus dem Fachbereich mit einem genervten "Die
mal wieder mit der Cloud" quittiert. Dahinter steckt aber nicht Faulheit, sondern der
durchaus erfolgreiche Erfahrungswert: "Never change a running system."
So stehen sich Fachbereich und IT als verhärtete Fronten gegenüber, die selbst geschaffen
worden sind… und der Geschäftsführer hinter vorgehaltener Hand gibt zu: "Bei uns sorgt die
Marketing-Abteilung für Innovation". Frei nach dem Motto: Die machen ja sowieso die ganze
Zeit Instagram, Facebook und so. Da fällt das bisschen Office 365 und Salesforce Marketing
Cloud nicht auf.
Die IT-Infrastruktur von Unternehmen ändert sich schon seit mehreren Jahren radikal. Die
Grenzen von On-Premise und Cloud verschwinden. Das Thema Security-by-design und
Security-by-Default war bisher sinnvoll – mit der Neuordnung der EU-DSGVO steht es jetzt
sogar im Gesetz.
Hier wäre mal eine Gelegenheit innovativ voranzugehen und nicht nur gerade so hoch zu
springen, wie der Prüfer die Latte legt. Es geht nämlich auch anders. In meiner Nachlese
vom DSAG Kongress 2018 berichte ich über die Rehau AG. Dort hat man ein IDM-System
aufgesetzt, bei dem die Anwender ohne große Schulung Berechtigungen im Self-Service
anfordern können. Es wird im System dann auch provisioniert – über moderne
Nutzeroberflächen.
Manchmal muss es auch einen Impuls von außen geben – so etwas bieten wir an. In meinen
Strategieworkshop für SAP Berechtigungen gehe ich zwei Tage lang bei Ihnen vor Ort auf
Ihre Ausgangslage ein. Dort gebe ich Empfehlungen, was Sie tun können, um Sicherheit und
Innovation zu verbinden. Wenn Sie das interessiert, melden Sie sich gerne bei mir.
Tobias Harmes
PS: Wenn Sie Fragen haben: Sie können mich für eine Expert Session
buchen: https://rz10.de/online-beratung-tobias-harmes/
Ihr Ansprechpartner
Berechtigungsprüfungen in Z-
Reports - Quellcodeanalyse im
Transportprozess
von Jonas Krueger - Beitrag vom 29. August 2018 - Artikel online öffnen
Die Verwendung von Authority Checks in selbst entwickelten ABAP Reports obliegt der
Verantwortung jedes Entwicklers. Durch das SAP Backend werden selbstständig keine
Berechtigungsprüfungen, beispielsweise beim Zugriff auf Tabelleninhalte, durchgeführt.
Wie Sie durch automatische Quellcodeanalyse effektiv sicherstellen können, dass alle
eigenentwickelten Programme die notwendigen Sicherheitsmechanismen enthalten,
möchte ich im Folgenden erläutern.
Ihr Ansprechpartner
Ausprägung SE16N im Feld TCD besitzt (ob also der User die Transaktion SE16N aufrufen
darf). Es ist bei der Prüfung unerheblich, aus welcher Rolle oder welchem Profil der Benutzer
dieses Berechtigungsobjekt erhalten hat.
Dokumentation zu Berechtigungsobjekten
nachschlagen
Um einen Authority Check umzusetzen, benötigt der Entwickler Informationen zu den in
System vorhandenen Berechtigungsobjekten und zur Bedeutung der jeweiligen Felder und
Ausprägungen. Diese können in der Regel der Dokumentation der Berechtigungsobjekte
entnommen werden.
Alle im SAP System vorhandenen Berechtigungsobjekte sind in der Transaktion SU21
einsehbar. Hier kann auch auf die Dokumentation zu dem Berechtigungsobjekt zugegriffen
werden und die Bedeutung der zulässigen Aktivitäten nachgelesen werden.
Ihr Ansprechpartner
Der XAMS ABAP Alchemist verfügt über umfangreiche Funktionen zur Analyse des ABAP
Quellcodes. Der Prüfumfang kann durch Auswahl vordefinierter Prüfungen individuell
Ihr Ansprechpartner
festgelegt werden.
Neben dem einmaligen Scan aller eigenentwickelten ABAP Programme in Ihrem SAP System
kann der ABAP Alchemist auch für eine regelmäßige Überprüfung konfiguriert werden. Die
Durchführung der Prüfungen kann in den Transportprozess eingebunden werden. So kann
sichergestellt werden, dass Programme mit fehlenden Berechtigungsprüfungen nicht
unbemerkt in die Produktivumgebung gelangen.
Die Prüfung durch den ABAP Alchemist stellt somit eine Möglichkeit zum automatisierten
Testen des Quellcodes bereit. Die Prüfung kann hierbei, wie im folgenden Screenshot zu
sehen, mit verschiedenen Einstellungen konfiguriert werden: von einer Warnung des
Benutzers bis hin zu einer Unterbrechung des Transportprozesses können Einstellungen
getroffen werden, was im Falle einer Feststellung passieren soll.
Ihr Ansprechpartner
gerne von Ihren Erfahrungen damit. Ich freue mich über eine Rückmeldung in den
Kommentaren oder per E-Mail.
Ihr Ansprechpartner
Der RoleDesigner ist ein Modul der Xiting Authorizations Management Suite, einem
umfassenden Werkzeug zur Unterstützung bei Berechtigungsredesigns und dem Betrieb
eines neuen Berechtigungskonzepts. Dieses Modul findet hauptsächlich zu Beginn eines
Berechtigungsredesigns, in der Konzeptionsphase, seine Anwendung und bietet hier viele
Vorteile gegenüber klassischen Ansätzen mit Tabellenkalkulationen, wie sie in
Berechtigungsredesigns lange Zeit genutzt wurden.
Ihr Ansprechpartner
Linksstehend finden sich alle Transaktionen, die von den Benutzern im Scope während
eines bestimmten Zeitraums aufgerufen wurden. In der Mitte sind die (virtuellen) Rollen des
Projektes aufgelistet. Rechts finden sich die Benutzer, gruppiert nach Abteilungen.
Transaktionen können via Drag&Drop in Rollen aufgenommen werden, Rollen den
einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen werden. Für jeden
Benutzer wird angezeigt, wie hoch der Abdeckungsgrad der aufgerufenen Transaktionen
durch die neuen Rollen ist. Wir empfehlen hier, mindestens 90% zu erreichen und auf 100%
abzuzielen. Ausnahmen können in eine Blacklist aufgenommen werden, sodass diese
Transaktionscodes nicht in die Berechnung des Abdeckungsgrades einfließen.
Der RoleDesigner verwendet die in der ST03N erfassten Aufrufstatistiken. Wenn Sie ein
Redesign planen, empfehlen wir daher, frühzeitig den Zeitraum für die Erhebung der ST03N-
Daten auf 13 Monate einzustellen, um Jahresabschlüsse und Quartalsabschlüsse in den
Scope zu nehmen. Mehr zur ST03N und wie Sie die Parameter einstellen können erfahren
Sie in folgendem Beitrag:
SAP ST03N: Änderung der Aufbewahrungszeit von genutzten Transaktionen
Der Rollenbau erfolgt im Entwicklungssystem, im Vorfeld werden jedoch die benötigten
ST03N-Daten aus der Produktion exportiert. So erhalten wir für jeden Benutzer eine Liste
aller von ihm benötigten Transaktionen im Rahmen der täglichen Ausübung seiner Funktion.
Ihr Ansprechpartner
Mit dem hier beschriebenen Ansatz haben die Rollen natürlich noch nicht den Reifegrad, um
live gesetzt zu werden. Stattdessen haben wir je Abteilung verschiedene Funktionen
identifiziert, für diese Funktionsrollen aufgebaut und für diese Rollen alle beinhalteten
Transaktionen ermittelt.
Ihr Ansprechpartner
Konzeption eines Rollenkonzeptes für Ihre Fachabteilungen gemacht? Ich freue mich auf
Ihre Fragen und Anregungen.
Ihr Ansprechpartner
SAP Berechtigungsrollen können auf verschiedenste Weise genutzt werden. Dazu werden
üblicherweise SAP Rollentypen unterschieden. In diesem Beitrag möchte ich Ihnen die von
uns am häufigsten genutzten Typen und deren Funktionsweise einmal erklären.
Ihr Ansprechpartner
SAP Rollentypen
Hier ist in der rechten Spalte auch die Art der Zuweisung zu erkennen. Die unteren beiden
Rollen stammen in diesem Fall aus einer Sammelrolle und sind dem Benutzer damit nur
indirekt zugewiesen.
Fraglich ist ob und in welcher Form Sammelrollen sinnvoll eingesetzt werden sollten. Ein
Szenario, welches wir oft sehen ist die Kombination von verschiedenen Einzelrollen für die
Definition eines Arbeitsplatzes. Hier werden dann mehrere Rollen, zur Anzeige und
Änderung von unterschiedlichsten Daten kombiniert, um alle Tätigkeiten eines
Arbeitsplatzes vollkommen abzubilden.
Diese Art der Verwendung ist durchaus sinnvoll und kann die Arbeit bei der Zuweisung von
Rollen, also wenn z. B. ein neuer Mitarbeiter in Ihr Unternehmen kommt, erleichtern.
Ihr Ansprechpartner
Wir nutzen bei unseren Kunden häufig die folgenden Unterscheidungen von Rollentypen:
Referenzrolle
Funktionsrolle - abgeleitet
Jede Funktionsrolle ist einer Referenzrolle zugeordnet. Die Funktionsrolle enthält die
gleichen Berechtigungsausprägungen wie die Referenzrolle, hat in diesem Fall die
Organisationsebenen jedoch ausgeprägt. Sie bildet also die Rolle, welche tatsächlich den
Benutzer einer Organisationseinheit zugeordnet wird.
Für die Ableitung von Rollen kann der SAP Standard genutzt werden sowie externe Tools
welche hier praktische Funktionen zur Pflege ermöglichen.
Basisrolle
Ihr Ansprechpartner
Die Basisrolle enthält grundlegende Berechtigungen, welche jedem Benutzer in einem SAP
System zugewiesen ist. Sie beinhaltet deshalb auch keine Ausprägungen von
Organisationsebenen und kann direkt als Einzelrolle jedem Benutzer zugewiesen werden.
Werterolle
In einem solchen Fall wird das entsprechende Feld in der Funktionsrolle mit einer Dummy-
Ausprägung versehen. Die Werterolle enthält dann nur das manuell hinzugefügte
Berechtigungsobjekt mit der jeweiligen Ausprägung.
Durch diese Vorgehensweise lassen sich die Berechtigungen eines Benutzers anhand seiner
Rollenzuweisung "ablesen". Hier ein Beispiel:
Hierdurch lässt sich sehr schnell erkennen, dass es sich um einen Mitarbeiter im Bereich
Einkauf handelt, welcher für Deutschland zuständig ist und bis zu 5.000 € große Einkäufe
Ihr Ansprechpartner
Mich interessieren Ihre Erfahrungen in Bezug auf eine sinnvolle Untergliederung von
Rollentypen. Haben Sie noch einen sauberen Überblick über alle verwendeten Rollen in
Ihrem System?
Ihr Ansprechpartner
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo
Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator
entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden
zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien
aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator
dabei hilft.
Ihr Ansprechpartner
Ihr Ansprechpartner
Daten handelt, verlassen selbstverständlich keine der eingefügten Daten Ihr System.
Ihr Ansprechpartner
Kommentare!
Ihr Ansprechpartner
Blockchain Technologie
von Christian Stegemann - Beitrag vom 27. März 2018 - Artikel online öffnen
Die Blockchain Technologie bietet die Grundlage zur Existenz einer dezentralen digitalen
Währung. Eine solche Währung ist eine Applikation, die aufgrund einer zugrundeliegenden
Blockchain ausgeführt werden kann. Die Blockchain bietet allerdings noch weitaus mehr
Anwendungen wie zum Beispiel Eigentum, Identifikation, Kommunikation usw., die alle eine
zentrale steuernde Partei loswerden wollen.
Ihr Ansprechpartner
Mining ist eines der am meisten missverstandenen Dinge in puncto Kryptowährungen. Die
meisten Leute glauben, dass Mining ein Prozess ist, in dem eine Kryptowährung erstellt
wird. Das ist jedoch falsch. Mining ist ein Prozess in einem dezentralen System, um Konsens
zu kreieren. Konsensus bedeutet Zustimmung und ist die Einigung darüber, was passiert ist
und was nicht. In einem zentralen System erledigt das die zentrale Institution. Zum Beispiel
eine Bank mit all ihren Vor- und Nachteilen. In einem dezentralen System entscheidet die
Gemeinschaft. Um keine Unstimmigkeiten zu haben, wird „Mining“ als eine der
Möglichkeiten verwendet.
Sobald man sich entscheidet, eine Zahlung an jemanden zu senden, muss man den Private
Key nutzen, um diese zu „signen“ (zu Deutsch: unterschreiben). Dies bedeutet nichts anders
als, dass man eine andere Public Adresse angibt, an die man das Geld senden will, und diese
Transaktion mit seinem eigenen Private Key bestätigt. Es gibt keine zentrale Behörde, an die
man die Informationen senden muss, sondern man verbreitet die Information an alle
umliegenden Miner. Die Miner leiten diese Infos dann an andere Miner weiter, die
wiederum das gleiche tun. Diese sich exponentiell verbreitende Welle an Informationen
erreicht innerhalb weniger Millisekunden das gesamte Netzwerk der dezentralen
Community. Jedes Mal, wenn ein Miner eine Transaktion erhält, prüft er ob diese
Transaktion tatsächlich korrekt ist. Er prüft, welcher Private Key unterschrieben hat, an
welche Public Adresse die Transaktion gehen soll und ob der Sender überhaupt genug
„Coins“ besitzt für diese Transaktion.
Jeder Miner, der durch komplexe mathematische Berechnungen eine Transaktion löst wird
vom Sender durch eine „Fee“ (Transaktionsgebühr) belohnt. Wie wird nun entschieden,
welcher Miner die Transaktionsgebühr bekommt? Denn es kann ja nur einer diese
Belohnung bekommen. Außerdem, was passiert, wenn man ein Double Spending versucht,
Ihr Ansprechpartner
indem man erst eine Transaktion an einen Miner schickt und dann eine andere Transaktion
mit dem selben Geld nur eine Millisekunde später an einen anderen? Diese beiden konnten
sich ja noch nicht austauschen und somit wären unterschiedlich Informationen im
Netzwerk. Einmal hat man das Geld Person A gesendet und einmal Person B. Welcher Miner
hat nun Recht? Die Lösung dazu ist, dass man den Konsensus in Zeitblöcke unterteilt, in
welcher jeweils per Zufall ein Miner ausgewählt wird, der dann bestimmen kann, welche
Transaktion er während dieses Blocks als Konsensus ausgewählt hat. Die Transaktionen
werden in Blöcken der Kette gespeichert. In jeden Block passen nur eine begrenzte Anzahl
an Transaktionen. Der Miner, der die letzte Transaktion eines Blocks löst, bevor ein neuer
generiert wird, bekommt als Belohnung zusätzlich noch einen Bitcoin.
Mittlerweile gibt es auch andere Verfahren einen Konsens zu kreieren. Aber größtenteils
haben sich die folgenden 3 Möglichkeiten als Konsensus-Mechanismus bewährt:
Jeder Block baut unwiderruflich auf einen älteren Block auf. Würde man den Block
entfernen, müsste man alle Blöcke darüber ebenfalls entfernen, was die komplette Kette an
Blöcken zerstören würde. Denn jeder neue Block enthält auch Informationen von seinem
Vorgängerblock. Dies ist sehr wichtig für das Verständnis der Unveränderlichkeit einer
Blockchain. Würde man einen Block nachträglich manipulieren, müsste man auch alle
darauffolgenden Blöcke anpassen. Der Aufwand wäre so unendlich groß und teuer das sich
so eine Manipulation praktisch nicht umsetzen lässt. Man kann sich das wie folgt vorstellen.
Eine Blockchain entsteht aus den kryptographisch miteinander verketteten Blöcken (Puzzle)
voller Transaktionen (Puzzleteile) und kann daher nicht verändert werden, ohne die
gesamte Blockchain zu zerstören. Aus diesem Grund wird eine Blockchain als eine
unveränderliche Transaktionshistorie angesehen, auf die sich eine dezentralisierte
Community geeinigt hat. Eine Blockchain ist so programmiert, dass jeder Miner am längsten
Teil der Blockchain mitarbeitet, da dies offensichtlich die Kette ist, in die die meiste Arbeit
investiert wurde. So wird verhindert, dass, nur weil jemand eine neue Kette starten würde,
diese jemand versehentlich als „Realität“ anerkennen würde. Es kommt jedoch hin und
wieder vor, dass zwei Miner, welche an der längsten Kette arbeiten gleichzeitig einen neuen
Ihr Ansprechpartner
Block finden. Dieses bezeichnet man dann als Orphan Blocks. Die Kette hat nun im Prinzip
zwei Endstücke (2 parallele Blocks). Verschiedene Miner arbeiten nun an unterschiedlichen
Enden der Kette. Die Blockchain wird anschließend dort fortgeführt, wo zuerst der nächste
Block gefunden wird. Der andere Block nennt sich dann Orphan Block und ist quasi eine
kleine „tote“ Abzweigung der Blockchain.
Wie erklärt man also die oben genannten Dinge seiner Oma?
Ihr Ansprechpartner
4. Miner versuchen die Transaktionen in einen Block zu integrieren. Dieses wird als
Mining bezeichnet und wir haben es so beschrieben, dass die Miner die Puzzleteile
zu einem Puzzle (Block) zusammensetzen.
5. Ein kleiner Teil eines Blocks, der integriert werden soll, folgt aus dem Block, welcher
zuvor gemined wurde. Akzeptieren alle Miner die Korrektheit eines fertig gestellten
Blocks arbeiten alle sofort am nächsten weiter. Das Puzzle (Block) wird somit fixiert
und ist unwiderruflich mit dem Block zuvor bzw. danach verbunden.
6. Die Blöcke bilden eine Kette und werden Blockchain genannt, welche alle
Transaktionen, welche je gemacht wurden, enthält und von jedem einsehbar und
unveränderbar ist. Dabei ersetzt die Blockchain ein zentrales Institut und vermeidet
ein Double Spending, was schlussendlich einer Kryptowährung den Wert verleiht.
Smart Contracts
Der größte Fortschritt im Vergleich zu Bitcoin und ähnlichen Anwendungen besteht darin,
dass Blockchains der zweiten Generation, wie zum Beispiel Ethereum, die sogenannte
Turing-Complete-Skriptsprache Solidity verwenden. Diese ermöglicht es, Berechnungen
innerhalb der Blockchain durchzuführen. Während Bitcoin nur rudimentäre Muli-Signatur-
Funktionen erlaubt, öffnet Ethereum die Tür für weitaus komplexere Abläufe, welche als
Smart Contracts bezeichnet werden. Smart Contracts sind Verträge, bei denen eine
dezentralisierte Blockchain ihre Unveränderbarkeit und Ausführung gewährleistet.
Ihr Ansprechpartner
Die technische Entwicklung schreitet mit hoher Geschwindigkeit fort. Daher fällt der Begriff
„Blockchain“ mittlerweile nicht nur im Zusammenhang mit digitalen Währungen. Vielmehr
ist von einer Technologie die Rede, welche bestehende Produkte, Dienstleistungen und
sogar Geschäftsmodelle disruptiv beeinflussen wird.
Um die Potentiale und Auswirkungen der Blockchain-Technologie besser beurteilen zu
können, haben sich in den letzten Jahren verschiedene Firmen aus unterschiedlichen
Technologien und vor allem Finanzbereichen in Konsortien zusammengeschlossen:
Ihr Ansprechpartner
Enterprise Ethereum Allianz mit rund 500 Startups, Unternehmen und akademische
Einrichtungen aus den unterschiedlichsten Bereichen.
Ihr Ansprechpartner
Seit 2013 unterstützen Netweaver-Systemen ab Version 7.4 das SAP Read Access Logging.
Hier geht es darum, dass explizit aufgezeichnet werden soll, wenn ein User eine bestimmte
Information sich hat anzeigen lassen. In dem Beitrag geht es um die ersten Schritte zur
Nutzung.
Mit der Neuordnung des Europäischen Datenschutzrechts (EU-DSGVO) sind auch die
Auskunftsrechte hinsichtlich personenbezogener Daten gestärkt worden. Wenn ich eine
Aussage darüber machen will, wer auf die Daten eines Mitarbeiters oder Kunden zugegriffen
hat, dann funktioniert die Bestimmung über die aktuellen Berechtigungen nicht. Wer will
schon alle Personalsachbearbeiter nennen, die eventuell auf den Mitarbeiter zugegriffen
haben könnten?
Read Access Logging (RAL) kann Lese-Zugriff auf sensitive Daten protokollieren. Dafür
müssten zuvor die relevanten sensitive Felder (z.B. die Bankverbindung in der PA20) in die
Protokollierung aufgenommen werden. Entsprechende Lese-Protokolle können dann der
Auskunft angehängt werden.
Inhalt
Systemvoraussetzungen SAP Read Access Logging
Read Access Logging aktivieren
Relevante Felder bestimmen und aufzeichnen
Read Access Logging konfigurieren
Log auswerten
Weiterführende Infos und Download
Ihr Ansprechpartner
los.
Via der Transaktion RZ11 den Parameter sec/ral_enabled_for_rfc auf 1 setzen. Permanent
geht das über die Transaktion RZ10.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
In der SAP Gui nun in einer relevanten Transaktion (z.B. PA20, Bankverbindung) das
relevante Datum, z.B. die in den die Kontonummer anwählen. Eine Kombination aus
<STRG>-rechtklick in ein Feld öffnet das Kontextmenü mit dem Menüpunkt "Protokollierung
von Lesezugriffen". Wenn der Menüpunkt nicht auftaucht, dann noch mal kontrollieren ob
die Aufzeichnung wirklich aktiviert ist für diesen Mandanten und noch mal neu in die
Transaktion gehen.
Ihr Ansprechpartner
Ihr Ansprechpartner
Hier werden alle Konfigurationen für die verschiedenen Kanäle angezeigt. Auf Anlegen
gehen.
Ihr Ansprechpartner
Ihr Ansprechpartner
Eine neue Protokollgruppe anlegen, z.B. HCM. Dann das relevante Feld aus der
Aufzeichnung per Drag&Drop in die Protokollgruppe ziehen. Nur bei Ausgabe soll
protokolliert werden.
Log auswerten
Ihr Ansprechpartner
Wenn die ersten Zugriffe erfolgt sind, kann über die Transaktion SRALMANAGER oder
SRALMONITOR der Zugriff ausgewertet werden.
Ihr Ansprechpartner
Ich hoffe, dieser Artikel war hilfreich. Wie immer freue ich mich über Kommentare und
Hinweise. Hier sind noch Infos und weiter unten der Link auf den Download dieses Artikels.
Transaktionen Beschreibung
SRALMANAGER Administration and Monitor Tabs im Read Access
Logging Manager
SRALMONITOR Nur Monitor tab im Read Access Logging Manager
SRALCONFIG Nur Administration tab im Read Access Logging
Manager
Ihr Ansprechpartner
Der DSAG-Prüfleitfaden
von Tobias Harmes - Beitrag vom 30. August 2018 - Artikel online öffnen
Wenn ich mir die Feature-Liste diverser Fremd-Software für SAP Security ansehe, lese ich
immer wieder: "… nach DSAG-Prüfleitfaden". Wo finde ich diesen Leitfaden und ist das alles,
was ich für die Prüfung eines SAP Systems benötige?
Einleitung
Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) besteht im Wesentlichen aus
Mitgliedern, die SAP einsetzen. Und einige dieser Mitglieder sind aktiv in Arbeitsgruppen
engagiert und erstellen dabei Dokumente, die für die gesamte Gemeinschaft der SAP Nutzer
hilfreich sind.
So haben einige Mitglieder des Arbeitskreises (AK) Revision u. Risikomanagement vor
einigen Jahren einen Leitfaden entwickelt, der Prüfern und auch Systeminhabern dabei
helfen soll, mögliche Sicherheitsrisiken im SAP aufzudecken. Darüber hinaus werden Best-
Practices für die Prüfung von SAP Systemen und Anwendungen beschrieben.
Diese Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den
sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller
berufen. Und es hilft tatsächlich auch in Prüfungen oder Umsetzung von
Revisionsmaßnahmen ungemein, wenn ich auf den Leitfaden verweisen kann.
Ihr Ansprechpartner
2009. Es werden z.B. SAP GRC und SAP HANA ergänzt bzw. das erste Mal behandelt. Themen
wie Funktionstrennungskonflikte auf Anwendungsebene (SoD-Konflikte) sind nicht Teil des
Leitfadens von 2015 und sind deshalb nur im Leitfaden von 2009 zu finden.
Hier benötige ich als Know-How, wie ich den Wert des Profilparameters ermitteln kann, z.B.
mit der Transaktion RZ10 oder dem Report RSPARAM.
Beispiel Berechtigungsprüfung aus dem Leitfaden von 2015
Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise
verwalten dürfen?
S_USER_AGR (Berechtigungswesen: Prüfer für Rollen) mit Aktivität "*" und Name der
Rolle "*" ist kritisch.
Hier muss ich wissen, wie ich z.B. über die Transaktion SUIM->Benutzer->Suche nach
komplexen Selektionskriterien das Berechtigungsobjekt als Filter eingebe und nach "*" bzw.
#* suche, um wirklich die User zu bekommen, die dort eine Stern-Berechtigung haben.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ich rede mit SAP Spezialisten Jeremia Girke über das Thema Adobe Document Services und
die 5 häufigsten Fehler die er bei Kunden-Installationen und Konfigurationen in der
Vergangenheit beobachtet hat. In unserem Gespräch geht Jerry auch auf typische Fragen im
Zusammenhang mit SAP und ADS auf AS JAVA ein.
Inhalt
Video
Zusammenfassung der 5 häufigsten Fehler bei der Installation
Kapitelmarken
Downloads & Links
Video
Die Konfiguration eines Adobe Document Services läuft größtenteils automatisiert im
System ab. Fehler in der Konfiguration sind leider nicht immer sprechend. Aus diesem
Grund haben Jeremia Girke und ich die 5 häufigsten Fehler bei der Installation /
Administration durchgesprochen.
Kapitelmarken
00:18 Was hat ADS mit SAP Basis und Security zu tun? Warum steigen Firmen auf Adobe
Forms bei den Formularen um?
04:02 Nr. 1: Gesperrte technische Benutzer
08:47 Nr. 2: Java-Server ist nicht erreichbar
16:21 Nr. 3: Rück-Verbindung Java-Server zum ABAP
23:11 Nr. 4: Reader Credentials / SAP Note / Lizenz für PDF Erzeugung
Ihr Ansprechpartner
26:24 Extra: SOAP Exception und andere Fehler über Tracing ermitteln
31:20 Nr. 5: Adobe Livecycle Designer, SAP GUI- und ADS-Versionen und
(In-)Kompatibilitäten
33:53 Der eine Tipp zum Abschluss
Alles ist richtig konfiguriert wie im Guide beschrieben, aber der Zugriff klappt trotzdem
nicht.
In der Anleitung werden hier 2 User angelegt. Einmal der ADSUSER sowie der ADS_AGENT.
Diese sollten auch als technisch Nutzer angelegt sein, sodass keine Dialoganmeldung
möglich ist.
Bevor sie in irgendeine Fehleranalyse bei Problemen einsteigen stellen Sie bitte folgendes
sicher:
1. ADSUSER sowie ADS_AGENT sind korrekt angelegt und sind auch mit dem richtigen
Namen angelegt. Wichtig. CASE-sensitiv!
2. ADSUSER und ADS_AGENT sind noch gültig und können genutzt werden
3. ADSUSER und ADS_AGENT sind nicht gesperrt
4. Die User haben die richtigen Rollen zugewiesen wie im Adobe Document Services
Configuration Guide beschrieben.
Alles sauber installiert und eingerichtet und trotzdem geht die Verbindung nicht. Eine
falsche IP oder eine falsche hinterlegte URL des Java Stacks kann die Ursache sein. in Test
über SM59 -> Ext. Systeme -> ADS -> Verbindungstest kann dann trotzdem die Ursache
zeigen. Hier ist übrigens ein HTTP-404 nicht unbedingt ein Fehler.
Folgendes immer manuell prüfen:
1. URL ist korrekt
2. Service-Pfad ist erreichbar
3. Einheitliche URL: Keine Unterschiede bei URL zur "fully qualified domain name" FQDN
Ihr Ansprechpartner
Ein Teil der Installation ist das Bekanntmachen der ABAP-Systeme für die JAVA-Instanz. Hier
müssen die Einstellungen für das jeweilige ABAP-System vernünftig eingerichtet sein. Prüfen
Sie hier jeweils auf dem System -> https://servername:Port/nwa -> Konfiguration ->
Destinations -> ABAP Backend-Destination.
Damit Formulare sowohl angezeigt als auch problemlos weiterentwickelt werden können,
müssen die richtigen Softwarekomponenten in der richtigen Version installiert sein. Sowohl
auf dem Client als auch auf der Serverseite. Inkompatibilitäten zwischen z.B. einer alten SAP
Gui Version und dem Adobe Livecycle Designer kommen leider häufig vor. Auswirkungen
sind dann instabile Systeme und Abstürze.
Die universelle Antwort wenn die Fehlerursachen davor keine Besserung gebracht haben.
Das ABAP-Backend ist nicht immer gleich gut erreichbar. Es hilft enorm, wenn Sie hier die
Technik mit der Trace-Datei anwenden um klare Infos zu bekommen, wo es gerade
Probleme gibt. Eine ausführliche Anleitung für das Tracing finden Sie hier: HowTo Adobe
Ihr Ansprechpartner
Ihr Ansprechpartner
SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital
signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden.
Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt
schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System
übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System,
weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung
darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch
einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und
einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note
2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.
Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am
Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis,
der ins System eingespielt werden soll, unverändert vorliegt.
Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR
Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR
muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher
dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht
mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der
Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann
nicht möglich.
Ihr Ansprechpartner
Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des
Hinweises 2408073 beginnen.
Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch
ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.
Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden
werden:
https://launchpad.support.sap.com/#/notes/2408073
Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt.
Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion
SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.
Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die
einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis
angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige
besonders zu beachtende Punkte hervorgehoben.
Ihr Ansprechpartner
Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung,
die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der
Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage
nach einem Transportauftrag.
Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass
nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden)
die Frage nach dem Transportauftrag bestätigt werden muss.
Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches
dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie
auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend
in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben
Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.
Fazit
Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die
Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu
wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere,
schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu
begrüßen, dass die SAP nun Maßnahmen ergreift, um dies mittels einer digitalen Signatur
für die SAP Hinweise zu verhindern. Hatten Sie schon einmal das Gefühl, dass in Ihr System
möglicherweise Schadcode eingeschleust wurde? Erzählen Sie mir gerne in einer Nachricht
oder unten im Kommentarfeld davon.
Quelle: https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-
sap-notes/
Ihr Ansprechpartner
Ich sitze in der DB Lounge im Hauptbahnhof in Leipzig und überlege: Was nehme ich mit
vom DSAG Jahreskongress 2018? Wieder mal gab es viel zu sehen - zumindest wenn man
denn in den Raum hinein gekommen ist.
Ich hielt die Ankündigung kurz vor Beginn bezüglich Anmeldestopp für ein Marketing-Gag.
Doch tatsächlich: ich habe den DSAG Jahreskongress noch nie so voll empfunden. Dienstag
und Mittwoch fand ich zumindest aus Security-Sicht sehr dünn, allerdings habe ich die
Partner-Vorträge abends auch verpasst. Ok, ich war auf unserer Warm-up-Party mit fast 100
Teilnehmern :-). Umso mehr hat mich der Donnerstag erfreut - mehr Vorträge als
verfügbare Zeit.
Kristin Beyer von der REHAU AG berichtete von der Einführung von SAP IDM 8.0 als Upgrade
von IDM 7.2 inklusive Self-Service-Konzept. Wobei der Upgrade in diesem Vortrag nur eine
Randnotiz war. Oberstes Ziel sollte sein: Benutzer sollen sich ohne die IT selbst helfen
können. Und das Problem dabei war, dass die Benutzeroberflächen von SAP IDM 8.0 alles
andere als selbsterklärend sind.
Also hat man mit der SAP durch Design Thinking Workshops und dem Implementierungs-
Partner IBSolutions in weniger als einem Jahr einem Upgrade inklusive einem, wie ich finde,
ansprechenden und klaren Frontend entwickelt. In SAP UI5 und im Style von SAP Fiori.
Schön war, dass auch einige pfiffige Ideen gezeigt wurden. Ursprünglich sollte die Funktion
gar nicht kommen – aber dann doch realisiert: "Die gleichen Berechtigungen wie Herr
Müller". Gelöst wurde es, in dem ich einen User als Vorschlag auswähle, ich aber alle seine
Rollen zur Prüfung in den Warenkorb gelegt bekomme. Ich muss also die Positionen noch
mal anschauen, bevor ich auf "bestellen" klicke.
Ihr Ansprechpartner
Die Frage aus dem Publikum insgesamt am Ende des Vortrags "Warum ist das so eigentlich
nicht im Standard?" erzeugte gequältes Schmunzeln. "Wir haben uns in der Planung auch
gefragt: Sind wir das einzige Unternehmen mit diesen Problemen?". Nein, definitiv nicht.
Hier hat Herr Zetzmann von der Otto GmbH & Co. KG einen interessanten
Erfahrungsbericht zur Teilnahme am S/4HANA Adoption Starter Programm vorgestellt. Die
Idee: die SAP führt die Kunden in der richtigen Reihenfolge zu den schon von der SAP
bereitgestellten Tools hin. Zum Beispiel den S/4HANA Readiness Check (Hinweis 2310438),
der als sehr hilfreich beschrieben wurde – zugleich aber immer noch schwierig zu
implementieren ist. Immerhin 60 Hinweisen war notwendig, um den Check ans Laufen zu
bringen. Ein anderes Tool war z.B. der SAP Transformation Navigator um zu schauen,
welche Produkte stehen für meine Systeme zu Verfügung. Hier kann ich auf jeden Fall einen
Blick in die Folien empfehlen (siehe link unten).
In diesem Roadmap-Vortrag ging es darum, wie die SAP vorhat, einer großen Anzahl von
Unternehmen den Wechsel auf S/4HANA zu ermöglichen. Und zwar ohne, dass jeder Schritt
von SAP Consulting umgesetzt werden muss. Es wurden Varianten für den Greenfield und
Brownfield-Ansatz vorgestellt. Im Prinzip arbeitet der Ansatz mit Nutzungs-Statistikdaten
(ST03N Workload) als Input und einer Übersetzung der genutzten Transaktionen auf
eventuell vorhandene neue Transaktionen und Fiori-Apps. Technisch steht da wohl die
Simplification List und die Fiori App Library hinter. Die Ermittlung und Ausprägung von
Ihr Ansprechpartner
Organisationsebenen und Werten liegt vor allem beim Kunden. Der um S/4HANA
Transaktionen angereicherte Workload wird dann gegen das fertige Rollenset von SAP
gefahren, um Vorschläge für Berechtigungszuweisungen zu generieren. Ich war insgesamt
überrascht so viel Excel-Vorlagen auf den Folien zu sehen. Auch Themen wie Zuordnung und
Entwicklung von Frontend- und Backend-Rollen sind mit Eigenentwicklungen gelöst, die nur
im Rahmen der Nutzung dieses SAP Services zur Verfügung stehen. Und ein Test und Trace-
Abarbeitung bleibt natürlich trotzdem Pflicht. Wer übrigens "die neuen Sachen jenseits von
ADM940" wissen möchte: im Vortrag wurde der ADM945 SAP S/4HANA Authorization
Concept empfohlen.
Hier hat Herr Dr. Mäder einen interessanten Vortrag zur Roadmap der SAP Richtung
Integration von Cloud- und On-Premise-IDM und GRC-Szenarien gehalten. Nachdem ich
mich zuerst schon gefreut habe "endlich wächst zusammen, was zusammengehört" gab es
doch die kalte Dusche. SAP IDM und SAP GRC Access Control wachsen auch in der Cloud
nicht zu einem gemeinsamen Produkt zusammen. Für die Provisionierung on-premise muss
weiterhin SAP IDM oder SAP GRC Access Control on Premise verwendet werden. Man
entwickelt zwar die Cloud-Variante stetig weiter, aber es gibt noch keine Aussagen dazu,
wann ein Cloud-Identity-Management auch z.B. einen vollständigen Ersatz für On-Premise-
Lösungen sein könnte. Der Use-Case aus Sicht der SAP ist eher, neue Kunden die sich für die
S/4HANA Public Cloud und andere SAP Cloud Services entscheiden, nicht zu einem On-
Premise-IDM zu zwingen. Immerhin unterstützt die SAP mit SCIM offene Standards, mit der
on-premise Non-SAP IDM Systeme auch die SAP Cloud IDM fernsteuern kann.
Hendrik Heyn von Xiting ist kurzfristig für den eigentlichen Redner der Allianz
eingesprungen. Es ging in dem Vortrag darum, wie die Allianz es geschafft hatte, ein
zentrales Internes Kontroll System für die SAP-IT-Sicherheit aufzubauen unter Verwendung
der Xiting XAMS Suite. Die Herausforderungen lagen wie so oft in einer heterogenen
Systemlandschaft, unterschiedlichen Sicherheitsanforderungen und unterschiedlicher
Ausgangskonfiguration. Letztendlich hatte man es mit Hilfe der Nutzung des Moduls
Security Architect in einer Zentral-Installation auf dem Solution Manager geschafft, für mehr
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Externe Transportaufträge
importieren - geht das auch
einfacher?
von Luca Cremer - Beitrag vom 17. September 2018 - Artikel online öffnen
Transportaufträge hoch und runterladen ist in SAP nur kompliziert und umständlich über
das Betriebssystemverzeichnis lösbar. Ich zeige Ihnen in diesem Beitrag, wie es einfacher
geht!
1. Sie müssen wissen wie Ihr Verzeichnis für die Transportauftragsdateien lautet -
Dieses können Sie in der Transaktion AL11 einsehen, es lautet "DIR_TRANS"
2. Suchen Sie den Pfad zu dem "data"-Ordner
3. Jetzt müssen Sie den angegebenen Pfad kopieren und als Ziel in der Transaktion
CG3Z einfügen
4. Dahinter fügen Sie noch in korrekter Schreibweise die Angabe zur lokal abgelegten
data-Datei ein: "R12345.DEV"
Ihr Ansprechpartner
Wenn Sie also einen Transportauftrag importieren möchten, müssen Sie dieses Vorgehen
zweimal anwenden, damit Sie beide relevanten Dateien zur Verfügung haben. Danach
müssten Sie den Auftrag noch manuell an die Import-Queue Ihres Systems anhängen.
Das gleiche gilt natürlich auch für den Export der beiden Dateien mit der CG3Y.
Ihr Ansprechpartner
Danach können Sie die gewünschten Transportaufträge auswählen. Hier können Sie beim
Download einfach eine Liste von im System vorhandenen Aufträgen einfügen, wie im
folgenden Screenshot zu sehen.
In unserem Beispiel nehmen wir 7 Transportaufträge, von welchen ich nun die Dateien
benötige um Sie auf einem anderen System einzuspielen.
Bei einem Klick auf "Ausführen" fragt uns das Tool letztlich noch, wo es die Dateien ablegen
Ihr Ansprechpartner
soll. Ich wähle hier einen neuen Ordner auf meinem Desktop aus. Nachdem ich den Zugriff
auf meine Dateien gewährt habe läuft alles automatisch. Das Ergebnis sieht letztendlich so
aus:
In dem ausgewählten Ordner werden automatisch zwei Unterordner für jeweils data- und
cofiles-Dateien erstellt und die entsprechenden Dateien darunter abgespeichert. Die
Funktionsweise für den Upload der Dateien ist analog aufgebaut, mit dem Unterschied, dass
auf Wunsch die Dateien noch an die Import Queue Ihres Systems direkt angefügt werden.
So können Sie den Aufwand einer solchen Arbeit auf ein Minimum reduzieren.
Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit
welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?
Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich
freue mich auf Ihre Anfragen!
Ihr Ansprechpartner
Ihr Ansprechpartner
werden. Dieses liegt normalerweise unter /usr/sap/trans, kann aber je nach System auch
individuell geändert werden. Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis
arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter
"DIR_TRANS" angegeben ist. Dies ist das richtige Verzeichnis in dem wir arbeiten wollen.
Hier werden nun die vorhandenen Dateien hineinkopiert und zwar die cofiles-Datei
(K12345.DEV) in den cofiles-Ordner (/usr/sap/trans/cofiles) und die data-Datei (R12345.DEV)
in den data-Ordner (/usr/sap/trans/data).
Hinweis: Gerade bei Unternehmen mit mehreren Systemen auf mehreren Servern müssen
in diesem Fall noch die Zugriffsberechtigungen und der Datei-Owner geändert werden,
sodass der Import im Zielsystem keine Probleme macht.
Der Dataowner sollte der <sid>adm des Zielsystems sein, den können Sie (in der Unix-
Konsole) mit "chown <sid>adm K12345.DEV" ändern (respektive R12345.DEV für die data-
Datei).
Um die Zugriffsberechtigungen zu ändern, können Sie den Befehl "chmod 664 K12345.DEV"
benutzen.
In dem aufkommenden Popup müssen Sie den genauen Transportauftrag benennen. Der
richtige Name dafür bildet sich wie folgt: Die ersten drei Zeichen sind die Datei-Endung der
beiden Dateien, welche Sie in das Transportverzeichnis kopiert haben. Die letzten Zeichen
setzen sich aus dem Dateinamen der cofiles-Datei zusammen.
Bei unserem Beispieltransport würde der Transport also "DEVK12345" genannt werden
(Abzuleiten aus der cofiles-Datei K12345.DEV)
Das dürfte nun eine positive Meldung vom SAP zurückgeben und der Transport ist an die
Ihr Ansprechpartner
Importqueue angehängt. Nun können Sie diesen Transport wie jeden gewöhnlichen
Transportauftrag in das System importieren.
Schritt-für-Schritt Zusammenfassung
Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen, lassen Sie es mich
wissen!
Zukünftig werde ich weiterhin sporadisch auftretende Aufgaben eines SAP-Basis-
Administrators als kleine Tutorials als Blogbeitrag verfassen, haben Sie eventuell einen
Wunsch für das nächste Thema?
Ihr Ansprechpartner
Wer sich bereits einen eigenen SAP HANA DB Server installiert hat oder bereits einen HANA
DB besitzt, möchte eventuell auch mit einem Desktop-Client die Administration
durchführen. Hier bietet sich Eclipse an. Das Java-basierte Framework wird von der SAP
unterstützt und mit wenigen Handgriffen hat jeder seine Administrations- und Abfrage-
Oberfläche zusammen.
Inhalt
Eclipse installieren und HANA DB Software Repository einbinden
HANA DB Administration Console öffnen und Systemverbindung anlegen
Verbindung herstellen und testen
Hier auch ruhig gucken, ob es nicht mittlerweile ein neueres Release von SAP gibt, das auch
neuere Releases von Eclipse unterstützt.
Installer starten
Ihr Ansprechpartner
Eclipse Platform Paket auswählen, das ist auch etwas schlanker als die anderen Varianten.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Systemverbindung anlegen
Ihr Ansprechpartner
Oder aus der Workbench heraus die Perspektive Administration Console öffnen.
System hinzufügen
Ihr Ansprechpartner
Die IP-Adresse ggf. über "sudo ifconfig" als hxeadm herausfinden. In diesem Fall melden wir
uns direkt an der SYSTEM-Datenbank an. "Next"
Ihr Ansprechpartner
Ihr Ansprechpartner
Das System ist nun gelistet. Ein Doppelklick stellt die Verbindung her.
Übersichts-Infos, hier bin ich an eine HANA Express Edition 2.0 SPS03 angebunden.
Ihr Ansprechpartner
Test-SQL-Statement:
select * from SYS.DUMMY;
Über Button oder F8 ausführen.
Ihr Ansprechpartner
In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting
Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die
Frage, wie man eigentlich die verschiedensten Prüfanforderungen systematisch und
nachhaltig unter einen Hut bringen kann.
Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
-------------------------------
https://rz10.de/online-beratung-tobias-harmes/
-------------------------------
Ihr Ansprechpartner
-------------------------------
Kapitelmarken
00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?
06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security
Konzept?
10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?
16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?
18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?
-------------------------------
Ihr Ansprechpartner
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
WEB: https://rz10.de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Ihr Ansprechpartner
Steht bei Ihnen im Hause bald auch wieder eine Revision an? Dann empfehlen wir eine
korrekte Konfiguration des Security Audit Log.
In diesem Blog-Beitrag zeige ich Ihnen, wie unsere übliche Vorgehensweise zur
Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten
Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen
anstellen. Das Entscheidende hierbei ist jedoch, dass zuvor einerseits das Security Audit Log
selbst korrekt konfiguriert wurde und im Anschluss auch nutzbare Filter eingestellt sind.
Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen
wir den Parameter rsau/enable auf den Wert 1 zu setzen
Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für
den Parameter rsau/selection_slots für angemessen
Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt
werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch
zumindest der Stern als Wildcard genutzt werden kann
Ihr Ansprechpartner
Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:
Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und
aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.
Mich interessieren Ihre Erfahrungen, haben Sie andere Filter für Ihr Security Audit Log
gesetzt oder nutzen Sie komplett andere Vorgehensweisen?
Ihr Ansprechpartner
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie mit Hilfe eines Reports eine
Konsistenzprüfung von Objekten über mehrere Systeme durchführen können.
In den meisten Systemlandschaften herrscht viel Bewegung der Objekte in den einzelnen
Systemen. Oftmals erhält die Basisabteilung Anfragen einzelner Entwickler, dass ein
Transport in Folgesysteme transportiert werden soll. Ein Transport läuft auf einen Fehler,
der erst noch analysiert werden muss, bevor erneut transportiert wird. Es gibt vermutlich
noch hunderte weitere Gründe, weshalb es zu Inkonsistenzen von Objekten innerhalb einer
Systemlandschaft kommen kann. Im Folgenden möchte ich Ihnen ein Beispiel aus meinen
praktischen Erfahrungen geben:
Fallbeispiel
Eine Applikation, die aus mehreren hundert Transporten besteht, wurde vollständig durch
die komplette Systemlinie transportiert. Hierbei kam es zu Inkonsistenzen, da in einigen
Fällen die Reihenfolge der Transporte durcheinander geraten ist. Dies ist jedoch zunächst
unentdeckt geblieben, da die Applikation erst später getestet worden ist. Als es zu dem Test
kam, sind die Probleme aufgefallen und eine Rekonstruktion war äußerst kompliziert.
Ihr Ansprechpartner
Anhand des Ergebnisses kann abgelesen werden, ob es in einem der Systeme Schiefstände
gibt. Auf dem dargestellten Bild ist jedoch ein sauberer Stand dargestellt. Dieser gibt
Gewissheit über die Konsistenz der geprüften Objekte innerhalb der Systemlinie.
Mich interessieren Ihre Erfahrungen, hatten Sie bereits mit Inkonsistenzen zu kämpfen? Wie
Ihr Ansprechpartner
Ihr Ansprechpartner
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Gewissheit und Kontrolle über die Import-
Reihenfolge von Transporten in Ihrer SAP-Systemlandschaft erhalten.
In den meisten Systemlandschaften muss eine Vielzahl von Transporten durch die
Systemlinie oder sogar über verschiedene Systemlinien hinweg transportiert und importiert
werden. Hierbei ist es absolut notwendig, dass die Transporte in korrekter Reihenfolge
importiert werden. Dies zu verwalten stellt eine große und wichtige Anforderung an Basis-
Administratoren dar.
Wir haben des Öfteren die Erfahrung machen müssen, dass bei der Nutzung der STMS die
Import-Reihenfolge von Transporten nicht immer so eingehalten wurde, wie wir es erwartet
hätten.
In einem Fall sind zum Beispiel mehrere Systemlinien und auch andere externe
Transportaufträge im Spiel gewesen, die eingespielt werden mussten. Diese hatten
Abhängigkeiten zu bereits vorhandenen Objekten, wodurch eine korrekte Import-
Reihenfolge essentiell gewesen ist. In diesem Fall ist die Import-Reihenfolge nicht korrekt
gewesen, was zu inkonsistenten Objektständen geführt hat. Diese wurden erst im
Nachhinein entdeckt, waren schwer nachzuvollziehen und haben sich auch nur schwer
beheben lassen. Um dieses Problem dauerhaft zu vermeiden, haben wir eine geeignete
Lösung gesucht.
Ihr Ansprechpartner
Die eingefügte Liste von Transporten wird schrittweise mit den gewählten Optionen
abgearbeitet und ein Log geschrieben. Im Log werden Informationen über den Erfolg oder
Misserfolg beim Import-Vorgang festgehalten. Der Report selbst arbeitet auf Betriebssystem-
Ebene und nutzt den tp-Befehl, wie es auch im Transport-Management-System
gemacht wird - nur mit dem Unterschied, dass stets die Reihenfolge beibehalten wird
und somit Kontrolle über die Import-Reihenfolge von Transporten gegeben ist.
Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit
welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?
Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich
freue mich auf Ihre Anfragen!
Ihr Ansprechpartner
Vorbereitung
Damit Sie auf die gewünschten Daten zugreifen können, müssen diese zuvor auch
gespeichert worden sein. Im Security Auditlog können Sie über verschiedene Filter
bestimmen, für welche User auf welchen Mandanten welche Informationen geloggt werden.
Der Security Auditlog speichert, je nach Konfiguration, Anmeldungen, RFC-Aufrufe und
weitere Aktionen für bestimmte User. Diese Einstellungen können Sie in der Transaktion
SM19 vornehmen.
Hinweis: Das Loggen von Useraktivitäten muss den betroffenen Usern bewusst sein! Konfigurieren
Sie die SAL daher nur für technische User oder in Absprache mit Usern / Betriebsrat / etc.
Es lässt sich dort u.a. einsehen, wann der SAL aktiviert und zuletzt bearbeitet wurde (1). Sie
können hier außerdem die verschiedenen Filter auswählen (2), die Filter einzeln aktivieren
(3), Mandanten und Benutzer bestimmen (4) sowie festlegen, welche Aktivitäten geloggt
werden (5).
Ihr Ansprechpartner
Auswertung starten
Sie erhalten eine Übersicht der Anmeldungen des Users an den gewählten Mandanten des
Ihr Ansprechpartner
Systems.
Ergebnisübersicht
Haben Sie schon Erfahrungen mit SAL gemacht? Ich würde mich freuen in den
Kommentaren davon zu hören!
Ihr Ansprechpartner
Beim Löschen eines Users oder bei der Bearbeitung der Adresse eines Users kommt es zu
einem Dump MESSAGE_TYPE_X. Dies kann unterschiedliche Gründe haben. Wie Sie den
Dump richtig analysieren und die Ursachen ausfindig machen, erfahren Sie in diesem
Artikel.
Allgemein
Die Fehlermeldung MESSAGE_TYPE_X ist leider nicht eindeutig und kann verschiedene
Ursachen haben. Im Regelfall haben diese Fehler bei der Userbearbeitung jedoch gemein,
dass es sich um Inkonsistenzen in einer Tabelle für User- und/oder Adressdaten dreht.
Diese Inkonsistenzen können auf unterschiedliche Gründe zurückzuführen sein, bspw.
Fehler bei einer Client-Copy oder aber Programmierfehler in älteren SAP-Versionen.
SAP-Note einspielen
Zur Korrektur der Inkonsistenzen stellt SAP häufig ein kleines Korrekturprogramm zur
Verfügung, welches über die Entwicklung im System eingespielt werden muss.
Den Lösungsweg haben wir in zwei konkreten Beispielen beschrieben: Fehler beim Löschen
von Usern und Fehler beim Ändern von Telefonnummern.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ich spreche mit dem Leiter für Managed Services Maximilian Job über was die Bedeutung
von Managed Services und wann Unternehmen so etwas nutzen.
Inhalt
Video
Kapitelmarken
Video
Managed Services sind in aller Munde. Aber was ist das eigentlich? Wie unterscheidet sich
das von Outsourcing? Und warum kann Managed Services sogar die Attraktivität eines
Arbeitsplatzes steigern? In dem Video spreche ich mit Maximilian Job genau über diese
Themen.
Kapitelmarken
00:53 Managed Services im Alltag: Werkstattbesuch vs. Mobilitäts-Service
05:12 Top 3 Gründe von Kunden für Managed Services und der Unterschied zu Outsourcing
09:32 Lösungsansätze für die Top 3 Gründe und Auswirkungen auf die Personalakquise
Ihr Ansprechpartner
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Die Lastverteilung in Business Warehouse-Systemen ist sehr wichtig und in den meisten
Fällen passgenau konfiguriert. Da es sich meistens um Systeme handelt, welche rund um die
Uhr laufen - vor allem zu nicht-Betriebszeiten - sollten BW-Systeme in Fällen von
Wartungsmaßnahmen gesondert behandelt werden.
Die BW-Systeme, die ich bei meinen bisherigen Kunden kennengelernt habe, waren häufig
auf mehrere Applikationsserver verteilt, welche wiederum auch auf verschiedenen Hosts
verteilt waren. So kann sichergestellt werden, dass das System bei der Wartung einzelner
Hosts weiterlaufen konnte und die wichtigsten Jobs, wie bspw. Monatsabschlüsse, trotz
Wartungsmaßnahmen weiterlaufen konnten.
Aber auch bei dieser Lösung reicht es nicht, dass die Applikationsserver nur
heruntergefahren werden, sie müssen auch sauber aus der Lastverteilung genommen
werden, damit weitere anstehende Jobs nicht auf die heruntergefahrenen
Applikationsserver verteilt werden und dadurch möglicherweise abbrechen. Was alles von
technischer Seite zu beachten ist, habe ich Ihnen hier einmal aufgelistet:
Für Jobs, welche durch Hintergrundverarbeitung auf die Batch-Workprozesse der einzelnen
Applikationsserver aufgeteilt werden, werden sogenannte Servergruppen genutzt. Diese
können in der SM61 unter dem Button "Job-Servergruppen" verwaltet werden:
Ihr Ansprechpartner
Soll nun ein Applikationsserver abgeschaltet werden, ist es sinnvoll, diesen vorher aus
dieser Servergruppe (und eventuellen weiteren) herauszunehmen, damit keine neuen Jobs
mehr zugeordnet werden.
Um zu verhindern, dass Anwender, oder auch automatische Abfragen, nicht mehr durch
eine Anmeldung über Logon-Gruppen auf den herauszunehmenden Applikationsserver
geleitet werden, muss dieser Server auch aus den Logon-Gruppen entfernt werden.
Hierzu wird die Transaktion SMLG aufgerufen, in der die Logon-Gruppen verwaltet werden.
Auch hier gilt es, die Einträge für den betroffenen Applikationsserver herauszunehmen,
sodass keine Zuordnung mehr stattfinden kann.
Allerdings ist Vorsicht geboten, falls es Logon-Gruppen gibt, wo es keine Alternativ-Server
gibt. Sobald hier der letzte Applikationsserver herausgenommen wird, schlägt jeder Logon-
Versuch über die Logon-Gruppe fehl.
RFC-Server-Gruppen-Pflege:
Nun haben wir die weitere Verteilung über Hintergrundprozesse und über Logon-Gruppen
eingeschränkt, allerdings gibt es noch die RFC-Server-Gruppen, welche noch beachtet
werden müssen. Die Konfiguration hierfür können wir in der Transaktion RZ12 vornehmen.
Auch hier gilt es, den Applikationsserver zu entfernen, sodass nun auch keine Verteilung
mehr über RFC-Gruppen mehr stattfindet.
Ihr Ansprechpartner
der Dokumentation der Server wieder normal in die Lastverteilung mit aufgenommen
werden und das System kann wieder mit vollen Ressourcen arbeiten.
Hat Ihnen diese Anleitung geholfen oder haben Sie eine andere Vorgehensweise in solchen
Situationen?
Schreiben Sie mir gerne von Ihren Erfahrungen!
Ihr Ansprechpartner
In diesem Blog-Beitrag zeige ich Ihnen, warum und wie Sie mit möglichst wenig Aufwand
und der Xiting Authorizations Management Suite ohne Unterbrechung des Tagesgeschäfts
minimal berechtigte SAP Rollen aufbauen können.
Viele Unternehmen haben Nutzer in ihrem SAP-System, die mit zu vielen oder sogar
kritischen Berechtigungen ausgestattet sind. Aufgrund der schnell steigenden Komplexität
im Berechtigungswesen ist es keine einfache Aufgabe, die Berechtigungen eines Nutzers auf
ein Minimum zu beschränken, ohne diesen bei seinem Tagesgeschäft zu stören.
Ihr Ansprechpartner
Referenznutzer vor.
Der Referenznutzer
Zu jedem Nutzer in einem SAP-System kann ein Referenznutzer angegeben werden. Bei
einer Berechtigungsprüfung werden daraufhin sowohl die Berechtigungen des Nutzers, als
auch die des dazu definierten Referenznutzers geprüft. Damit die Berechtigungsprüfung
erfolgreich beendet wird, genügt es, wenn einer der beiden die geforderte Berechtigung
besitzt.
Phase 1
Ihr Ansprechpartner
In einer ersten Phase werden zunächst Tracedaten des Nutzers erstellt, auf dessen Basis im
Anschluss mit der Xiting Authorizations Management Suite eine entsprechende Rolle
generiert werden kann. Diese besitzt genau die Berechtigungen, die in den aufgezeichneten
Tracedaten vermerkt worden sind. Die Konfiguration zur Aufzeichnung der Tracedaten
geschieht in der ST03N.
Phase 2
In der zweiten Phase wird dem zu minimal berechtigendem Nutzer ein Referenznutzer
zugewiesen, der die im ersten Schritt erstellte Rolle zugewiesen hat. Hierdurch können
jegliche Berechtigungsprüfungen, die von dem Nutzer und seinem zugeschaltetem
Referenznutzer ausgehen, verglichen werden. Im Anschluss kann aus diesen Daten
ausgelesen werden, welche Berechtigungsprüfungen der Nutzer erfolgreich durchgeführt
hat, sein zugeschalteter Referenznutzer jedoch nicht. Auf Basis dieser Daten kann die neu
erstellte Rolle bei Bedarf noch erweitert werden.
Phase 3
In der dritten und letzten Phase wird dem Nutzer schließlich die neu erstellte SAP Rolle
zugewiesen. Die Xiting Authorizations Management Suite bietet als Airbag an, dass die alte
Rolle des Nutzers im Notfall nochmals als Referenznutzer zugeschaltet werden kann und
sichert somit die Fortführung des Tagesgeschäfts.
Haben Sie noch andere Vorgehensweisen zur Erstellung von minimal berechtigten SAP
Rollen? Konnten Sie dieses Vorgehen bereits ausprobieren und haben Wünsche oder
Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre
Kommentare!
Ihr Ansprechpartner
Notfallbenutzerkonzept in SAP -
Funktionsweise und Vorgehen
von Luca Cremer - Beitrag vom 27. Februar 2018 - Artikel online öffnen
Wir empfehlen die Entwicklung eines Konzepts zur kurzfristigen Vergabe der zusätzlichen
Berechtigungen. So kann die Umsetzung der oben genannten Szenarien sichergestellt
werden.
Ihr Ansprechpartner
Es sollte ein Prozess definiert werden, nach welchem die Vergabe von
Sonderrechten erfolgt.
Es muss festgelegt sein, welche User Sonderrechte erhalten können.
Der Zeitraum, für welchen die User einen Notfallbenutzer beantragen können, sollte
limitiert sein.
Bestenfalls wird für die Zeit, in welcher ein Notfallbenutzer im Einsatz ist, ein
gesondertes Protokoll über die getätigten Aktivitäten geschrieben, welches
anschließend ausgewertet werden kann.
Ihr Ansprechpartner
dargestellt:
Sobald dieser Antrag angestoßen wurde, wird für den User ein neuer Modus geöffnet, in
welchem er mit den erweiterten Rechten arbeiten kann. Zusätzlich, kann je nach
Konfiguration ein hinterlegter Workflow als Genehmigungsprozess angestoßen werden,
oder es werden vorher definierte Verantwortliche zur Überprüfung der Aktivitäten per Email
benachrichtigt.
Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen
eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten
Ihr Ansprechpartner
Diese Protokolle können auch im System angeschaut werden. Hier bekommen Sie nach
einer Selektion der User einen Überblick über alle gelaufenen Sessions. Es gibt zusätzlich die
Möglichkeit getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung
zu genehmigen. Hierdurch kann sich der Verantwortliche einen Überblick über die
getätigten Aktivitäten mit dem Notfallbenutzer verschaffen.
Wenn Sie dieses Notfallbenutzerkonzept verwenden und die genannten Schritte befolgen
können Sie folgende Punkte sicherstellen:
Jeder User auf dem Produktivsystem behält seine ursprünglich notwendigen Rechte.
Berechtigungen über das tägliche Aufgabenspektrum hinaus werden nur für
limitierte Zeiträume und unter Kontrolle vergeben.
Die Aktivitäten mit dem Notfallbenutzer werden revisionssicher protokolliert.
Haben Sie bereits ein Notfallbenutzerkonzept im Einsatz oder wollen gerne ein solches
einführen? Ich freue mich, wenn Sie Ihre Erfahrungen mit mir teilen! Sie können mir gerne
einen Kommentar hinterlassen oder mich per E-mail kontaktieren.
Ihr Ansprechpartner
Das manuelle Massenkopieren von mehreren hundert Rollen in der PFCG ist zeitraubend.
Neulich bin ich über einen interessanten Tipp von Julius von dem Bussche gestolpert. Im
Folgenden beschreibe ich zwei Varianten und die eigentlich richtige Lösung am Ende.
Ihr Ansprechpartner
Kopieren Sie die Sammelrolle in PFCG und wählen Sie die Option, die dazugehörigen
Einzelrollen ebenfalls zu kopieren
Ihr Ansprechpartner
Vergeben Sie neue Namen bei diesem Vorgehen, denn nur so sind die Ziel-Einzelrollen
tatsächlich vollständig angelegt
Ihr Ansprechpartner
Ihr Ansprechpartner
Wie immer beim Kopieren: hinterher müssen die Rollen noch generiert werden (Reiter
Berechtigungen ist gelb)
Nachteil: Orgebenen bzw. Beschreibungen werden nicht angepasst und wenn Sammelrollen
vorher schon verwendet wurden ist diese Funktion ausgeschlossen
Editieren Sie die Dateien mit einem Texteditor für die neuen Namen, Beschreibungen und
Orgebenen --> Achtung: Ist sehr fehleranfällig, da die Formatierung verlorengehen kann
Ihr Ansprechpartner
berechtigungen/rollen-umbennen-sap-download-upload/
Kennen Sie weitere Möglichkeiten (manuell oder Tools), SAP Rollen in einem größeren
Umfang einfach und zügig zu kopieren? Ich freue mich auf Ihr Feedback.
Ihr Ansprechpartner
Governance, Risk & Compliance: Welche Anforderungen und Vorteile bietet ein modernes
Identity-Management-System (IDM) im GRC-Kontext und worauf sollte man bei
Antragungsprozessen achten?
Ihr Ansprechpartner
In einem IDM werden IT-Geschäftsprozesse, das Anlegen, Ändern sowie das Löschen eines
Benutzers anhand eines eindeutigen Regelwerks zentral definiert. Anschließend laufen alle
notwendigen Schritte mittels automatisierter Workflows ab. Die Benutzerverwaltung muss
nicht mehr für jedes einzelne System separat administriert werden, sondern nur noch an
einer zentralen Stelle (Single Point of Administration).
Datenkonsistenz
In einer zentralen Benutzerverwaltung lassen sich Anwender effizient auf allen Systemen
sperren oder die Zugriffsrechte ändern. Durch die Anbindung an den Personalprozess wird
der Änderungsprozess automatisch angestoßen sobald in der Personalabteilung der
Stammdatensatz angepasst wird. Außerdem können durch Dokumentationslösungen alle
Ihr Ansprechpartner
Vorgänge lückenlos archiviert werden. Dadurch entsteht eine Transparenz die auch den
Nachweis eines funktionierenden und sicheren Berechtigungskonzepts bei
Revisionsprüfungen erleichtert.
Anforderungen an IDM-Systeme
Personen erhalten elektronische Identität
Qualitätsanforderungen
Verlässlichkeit: Missbrauchsverhinderung
Nachvollziehbarkeit: Dokumentation und Logging
Ausfallsicherheit: Back-up-Systeme
Datenschutzgesetz
Ihr Ansprechpartner
Ihr Ansprechpartner
Der Precalculation Server ist eine Standalone Anwendung, mit der es möglich ist auf Basis
der SAP BI Daten Excel Arbeitsmappen zu generieren und diese entsprechend zu verteilen.
Nutzen Sie den Precalculation Server bereits oder möchten seine Vorzüge in Zukunft für sich
nutzen? Gerne erläutere ich Ihnen die Schritte von der Installation des Precalculation
Servers bis zum schlussendlichen Start der Instanzen auf dem Zielsystem sodass Sie den
Precalculation Server für Ihre Zwecke nutzen können.
Als Leser unseres RZ10 Blogs interessieren Sie sich sicher für Tricks und Kniffe, die Ihnen die
Handhabe Ihres SAP-Systems erleichtern. Vielleicht kennen Sie die Situation, dass Sie selber
einen Precalculation Server installieren wollen. Bei uns erfahren Sie wie diese Aufgabe im
SAP Umfeld umgesetzt werden kann.
Voraussetzungen
Für den Betrieb des Precalculation Servers brauchen Sie beispielsweise eine Windows 7
oder eine Windows Server 2012 Instanz auf dem der Precalculation Server installiert wird.
Hierbei sind sowohl 32 als auch 64-Bit Versionen nutzbar. Zudem ist auf der Maschine
neben einer Microsoft Excel Installation (unbedingt 32-Bit version) eine .NET Installation zur
Ausführung des Precalculation Servers erforderlich.
Cleanup Phase
Ihr Ansprechpartner
Sollten Sie bereits eine bestehende Installation auf dem System haben, müssen Sie als
erstes alle Elemente deinstallieren um einen sauberen Host für den Precalculation Server zu
verwenden. Hierzu kann das Control Panel von Windows aufgerufen werden:
Die Reihenfolge ist gemäß der SAP Dokumentation einzuhalten. Daher die folgende
Vorgehensweise für die Deinstallation anwenden, es sollte keine Installation mehr von SAP
sichtbar sein:
Reihenfolge:
Hinweis: Während der Installation und Deinstallation einzelner Komponenten kann es dazu
kommen, dass der Status des Fortschrittsbalken an gewissen Stellen stehen bleibt. Dies ist
kein Grund zur Beunruhigung, sondern ein normales Verhalten. Oft bleibt es bei 92% oder
95% für etwa 10 Min stehen.
Im Anschluss werden die folgenden Ordner auf dem System komplett gelöscht:
Ihr Ansprechpartner
Der Fortschrittsbalkens bleibt oft bei ca.93% stehen. Es dauert ein paar Minuten, bis die
Installation abgeschlossen wurde.
Ihr Ansprechpartner
installieren.
Service
Durch die Installationen wird ein Service angelegt. Dieser kann unter Services aufgerufen
werden.
Den Startup Type des Services auf "Automatic" stellen (Standard Manual)
Login Credentials eingeben
Recovery für First und Second Failure auf "Restart the Service" stellen
Service starten
Logon SAP
Es folgt ein Login auf das SAP System mit dem entsprechenden Mandanten vom
Precalculation Server aus. Hierfür kann der eigene Login des SAP-Systems genutzt werden.
Achtung: Es müssen Rechte für die Transaktion RSPRECALCADMIN und SM51 vorhanden
sein. Die Transaktion SM51 wird im Anschluss aufgerufen. Vor dem Anlegen der Instanzen
muss sichergestellt sein, dass der korrekte Applikationsserver angewählt ist, da es sonst
später zu Problemen mit den Instanzen in der Anwendung der Nutzer kommen kann.
Anschließend wird die Transaktion RSPRECALCADMIN aufgerufen. Angezeigt wird eine
gewisse Anzahl von Instanzen. Diese sollen alle markiert und gelöscht werden bis die
Ansicht wieder leer ist. Anschließend werden diese wieder neu angelegt mit einer
fortlaufenden Nummerierung um diese später unterscheiden zu können. Eingegeben
werden muss nur die ID und die Beschreibung. Der Rest wird automatisch vergeben.
Nun wird der Service neu gestartet und alle Instanzen sollten grün angezeigt werden. Dies
kann mitunter 2-3 Minuten dauern. Wichtig ist: Am Ende müssen alle Instanzen grün sein.
Damit ist die Erstellung und Konfiguration abgeschlossen.
Ihr Ansprechpartner
Haben Sie ähnliche Erfahrungen mit der Installation des Precalculation Servers gemacht
oder kennen einen alternativen, noch einfacheren Weg? Ich freue mich auf Ihr Feedback und
lade Sie herzlich dazu ein diesen Beitrag zu kommentieren.
Ihr Ansprechpartner
Auf dem DSAG Jahreskongress 2018 habe ich mit Sebastian Schreiber von der Firma IBS
Schreiber über Prüfregelwerke für SAP gesprochen. Was sind typische Herausforderungen
bei der Prüfung mit Tools? Wann lohnt es sich, das Prüfregelwerk eines Tools zu
aktualisieren?
Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!
Ihr Ansprechpartner
Vorstellung des Easy Content Service von IBS Schreiber am Beispiel von SAP Access Control.
(PDF-Download, 18 Folien, ca. 15 Minute Lesezeit)
IBS Schreiber / Easy Content Service for SAP Acces Control Produktseite
https://www.ibs-schreiber.de/sap-sicherheit/ecs-for-sap-access-control/
-------------------------------
Kapitelmarken
01:15 Prüfregelwerke - warum ist gerade jetzt relevant?
02:25 Was setzen die Kunden für Tools zur Prüfung ein?
04:05 Gründe für ein Update von Prüf-Regelwerken
08:20 Wie kann ich Funktionstrennungskonflikte besser verstehen?
13:10 Anpassung von Regelwerken an Organisation und Branchenlösungen
17:55 Ab welcher Unternehmensgröße brauche ich automatisierte Prüfung?
20:31 Was kommt demnächst?
-------------------------------
Ihr Ansprechpartner
Bis ein Programm in den Produktivbetrieb übernommen werden kann, sind einige Schritte
notwendig. Ein häufig vernachlässigter ist dabei das Testen. Dabei kann ein gutes
Testmanagement im Nachhinein hohe Wartungs- und Supportkosten verhindern oder
zumindest verringern. In diesem Artikel finden Sie einige Regeln, die Sie für ein erfolgreiches
Testmanagement beachten sollten.
Bevor Sie das erstellte Konzept in Tests umsetzen, müssen diese vorbereitet werden.
Besonders wichtig sind dabei die benötigten Testdaten, Zugänge für die Tester und die
Einweisung dieser. Je besser das Testen vorbereitet wird, desto besser wird der Start
gelingen.
Stellen Sie beim Durchlaufen des Tests fest, dass diese nicht alle erforderlichen Funktionen
oder Varianten berücksichtigt werden, muss der Test angepasst werden. Damit solche
Informationen nicht verloren gehen, ist es besonders wichtig mit den Testern zu reden und
Auffälligkeiten zu dokumentieren. Durch diesen sukzessiv besser werdenden Test werden
zukünftig mehr Fehlerquellen in ihrem Programm abgedeckt.
Ihr Ansprechpartner
Automatisieren Sie
Nutzen Sie die Möglichkeiten, die Ihnen Automatisierungstools bieten. Je mehr Tests Sie
automatisiert durchführen können, umso mehr Ressourcen haben Sie für anderweitige
Tätigkeiten zur Verfügung. Ein weiterer Vorteil von automatisierten Tests ist, dass sie in
sekundenschnelle genaue Ergebnisse liefern können und nicht so fehleranfällig sind wie die
manuelle Durchführung. Natürlich müssen diese Tests erst mal erstellt werden, die
eingesetzte Zeit hat man jedoch schnell wieder zurückgewonnen.
Konnte dieser Beitrag Ihnen bei ihrem Testmanagement helfen? Hinterlassen Sie gerne
einen kurzen Kommentar.
Ihr Ansprechpartner
Revisionssicheres
Berechtigungskonzept toolgestützt
generieren und überwachen
von Jonas Krueger - Beitrag vom 6. Februar 2018 - Artikel online öffnen
Die Erstellung eines Berechtigungskonzepts von Grund auf ist häufig eine zeitraubende
Aufgabe. Weiterhin fehlt oft das Know-how, welche Aspekte in einem Berechtigungskonzept
behandelt werden sollten und wie die entsprechenden Prozesse praxistauglich und
gleichzeitig revisionssicher aussehen können.
Ihr Ansprechpartner
Haben Sie bereits ein schriftliches Berechtigungskonzept für Ihr System toolgestützt
generiert? Teilen Sie gerne Ihre Erfahrungen in einem Kommentar oder einer E-Mail mit mir.
Ich freue mich auf Ihre Nachricht.
Ihr Ansprechpartner
RFC-Callback Positivliste
generieren
von Tobias Koch - Beitrag vom 8. Oktober 2018 - Artikel online öffnen
Die RFC-Callback-Funktion kann in einigen Fällen sehr nützlich sein, bietet jedoch auch ein
großes Risikopotential, wenn es ohne Einschränkung zur Verfügung steht. Um das Risiko
eines Angriffs zu minimieren, bietet SAP die Erstellung von Whitelists, bzw. im "SAP-Sprech"
die Positivlisten an. Im Folgenden erkläre ich Ihnen, wie Sie diese konfigurieren und
aktivieren können.
Ihr Ansprechpartner
Damit die Protokollierung im Simulationsmodus auch stattfinden kann, muss das Security
Audit Log auch aktiviert sein. Wie Sie das erledigen, können Sie aus diesem Beitrag
entnehmen.
Der derzeitige Status des Parameters lässt sich auch in der SM59 bildlich anzeigen. Ist
oberhalb der RFC-Verbindungen die Ampel auf rot, dann ist der Parameter auf dem Wert 0
oder 1. Bei gelben Anzeiger befindet sich das System in der Simulationsphase (2) und bei
grünem Anzeiger befindet sich der Parameter auf 3 und die Callbacks werden blockiert.
Es empfiehlt sich vor dem Blockieren aller Nicht-Whitelist einträge (Parameterwert 3) die
eigentlichen Aufrufe zu protokollieren. Wenn Sie den rfc/callback_security_method
Parameter auf 2 gestellt und damit den Simulationsmodus gewählt haben, können Sie alle
Callback Aufrufe in der SM20 nachvollziehen. Dazu müssen Sie über Detailauswahl unter
der Auditklasse „RFC Funktionsaufruf“ die folgenden 3 Optionen anhaken:
Ihr Ansprechpartner
Nach einer gewissen Laufzeit im Simulationsmodus bietet SAP die Möglichkeit, über die
SM59 eine Whitelist / Positivliste zu generieren. Dazu die SM59 öffnen und den Button „RFC-
Callback-Positilisten generieren“ auswählen. Im nächsten Dialog den gewünschten Zeitraum
einstellen. Falls Sie das Feld leer lassen, werden sämtliche Einträge ohne zeitliche
Beschränkung durchsucht. Im nächsten Dialog bietet SAP eine Übersicht über alle
gefundenen Aufrufe. Unerwünschte Callback-Aufrufe können hier aussortiert werden. Die
Positivliste kann anschließend über “Positivlisten-Generierung und Aktivieren” generiert und
aktiviert werden.
Um sich die aktuellen Einträge der Positivliste einzusehen, rufen Sie in der SE16 die Tabelle
RFCCBWHITELIST auf. Dort sind alle Einträge gelistet. Um zu sehen, welche Verbindungen
auch aktiv sind, reicht ein Blick in die Tabelle RFCCBWHITELIST_A.
Ist die globale Positivliste zu Ihrer Zufriedenheit gepflegt, können Sie den Parameter auf 3
setzen.
Es können dabei auch separate Callback-Positivlisten pro Verbindung gepflegt werden. Dazu
die Verbindung auswählen und im Tab Anmeldung und Sicherheit die Positivliste pflegen.
Ihr Ansprechpartner
Mit Hilfe von Profilparametern können wir im SAP System alles konfigurieren. Dabei sind
einige Parameter dynamisch änderbar, das heißt, dass sie geändert werden können ohne
das System neu zu starten. Diese Änderungen sind dann aber nicht permanent, das heißt,
nach einem Systemneustart, werden wieder die vorher eingestellten Profilparameter
verwendet. Andere Parameter hingegen sind statisch, also nur mit einem Neustart und nur
permanent änderbar.
Die meisten Profilparameter für die Speicherallokation sind eigentlich statisch. Es gibt
jedoch die Möglichkeit diese mit dem Report RSMEMORY dynamisch anzupassen. Lesen Sie
hier wie Sie herausfinden, ob ein Parameter statisch oder dynamisch ist und wie sie den
Report RSMEMORY verwenden um die Speicherallokationsparameter dynamisch
anzupassen.
abap/heap_area_total
abap/heap_area_dia
abap/heap_area_nondia
ztta/roll_extension_dia
ztta/roll_extension_nondia
Wenn Sie mal nicht genau wissen, wie ein Parameter heißen könnte, lohnt es sich an dieser
Stelle auch die F4-Hilfe zu verwenden.
Für den Parameter abab/heap_area_dia gibt die RZ11 beispielsweise folgendes aus:
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Bei der Absicherung von SAP Systemen beschäftigen wir uns oft hauptsächlich mit
Berechtigungen. In diesem Artikel möchte ich anhand einiger Beispiele aufzeigen, welche
Ansatzpunkte es jenseits von Berechtigungen gibt, um die Sicherheit eines SAP Systems zu
steigern.
In diesem Zusammenhang möchte ich zwei Aspekte beleuchten, die nach meiner Erfahrung
häufig vernachlässigt werden:
Wenn Sie auf diese Fragen mit einem Verweis auf Ihr SAP Sicherheitskonzept antworten
können, haben Sie vieles richtig gemacht. In den meisten Fällen erlebe ich aber, dass diese
Prozesse zwar existieren und mehr oder weniger streng gelebt werden, aber nirgends
niedergeschrieben wurden. Dies lässt keinen Review dieser Prozesse zur Erkennung
potenzieller Sicherheitslücken zu. Wie kann beispielsweise die wahre Identität eines
Anfragestellers zuverlässig verifiziert werden?
Wenn Unternehmen wachsen kennt nicht mehr jeder jeden, schon gar nicht an der Stimme
am Telefon. Rufnummern und E-Mail-Absender können von Hackern schnell gefälscht
werden. Dies stellt IT-Mitarbeiter vor eine Herausforderung und eröffnet Angriffspunkte. Auf
die Herausforderungen im Zusammenhang mit der Benutzerentsperrung und dem
Passwort-Reset bin ich in einem früheren Beitrag schon eingegangen und habe technische
Lösungen aufgezeigt.
Ihr Ansprechpartner
Hinterfragen Sie die kritischen Prozesse in Ihrer Systemlandschaft? Wie haben Sie diese
Herausforderung gelöst? Teilen Sie Ihre Erkenntnisse gern in den Kommentaren.
Sicherheitsrelevante Systemparameter
Die Auswirkungen solcher Einstellungen kennen die meisten SAP User: beispielsweise
Vorgaben zur regelmäßigen Kennwortänderung. Über die Vor- und Nachteile hiervon kann
gestritten werden, jedoch ist diese Einstellung ohne Frage sicherheitsrelevant.
Darüber hinaus gibt es jedoch noch eine Vielzahl weiterer Einstellungsmöglichkeiten im SAP
System, die die Sicherheit betreffen. So können bestimmte Zeichenkombinationen im
Passwort verboten werden, indem sie in der Tabelle USR40 erfasst werden. Hier ist meine
Empfehlung, leicht zu erratende Zeichenfolgen wie *passwor*, *h*llo*, *123* oder den
Namen der Firma oder des bekanntesten Produktes zu erfassen.
Auch die Einstellung zu maximalen Loginversuchen bevor der Benutzer wegen Fascheingabe
des Passwortes gesperrt wird (login/fails_to_user_lock), oder die automatische Entsperrung
dieser Nutzer um Mitternacht (login/failed_user_auto_unlock) sind sicherheitskritische
Parameter.
Wie gehen Sie das Thema an? Setzen Sie auf Security jenseits von Berechtigungen und
konnten Sie hierdurch bereits einen Schaden verhindern? Ich freue mich über Ihre
Kommentare und Fragen rund um das Thema SAP absichern.
Ihr Ansprechpartner
Ein BW-System spielt häufig in größeren Unternehmen eine sehr zentrale Rolle. Hier werden
die Daten von den verschiedenen angebundenen Quellsystemen zentral ausgewertet und
reportet. Ein früherer Kunde von mir hatte ein BW-System, an welches insgesamt über 20
andere SAP-Produktivsysteme angeschlossen waren. Bei so einer großen und meist
lebendigen System-Landschaft ist es normal, dass von Zeit zu Zeit einzelne Systeme
zurückgebaut werden.
Mit diesem Blogbeitrag zeige ich Ihnen einen Workaround, wie sie ein Quellsystem sauber
von einem BW-System trennen können mit Hilfe der Funktionsbausteine
RSAR_LOGICAL_SYSTEM_DELETE und RSAP_BIW_DISCONNECT.
Falls Sie die Hintergründe überspringen wollen und eine direkte Schritt-für-Schritt-Anleitung
bevorzugen, können Sie direkt in den letzten Abschnitt springen.
Vorbereitung
Für diesen Workaround benötigen Sie vor allem Zugänge auf sowohl das Quellsystem als
auch das BW-System. Zusätzlich müssen sie berechtigungstechnisch die Möglichkeit haben,
die SE37 aufzurufen und dort Funktionsbausteine auszuführen. Gerade in
Produktivsystemen ist dies allerdings eine sehr kritische Berechtigung. Gehen Sie also davon
aus, dass sie eventuell einen Firefighter-Nutzer für diese Aktion benötigen.
Ihr Ansprechpartner
Arbeiten im BW-System
Nun, da die Vorbereitungen abgeschlossen sind müssen Sie jeweils auf dem BW-System und
auf dem Quellsystem einen FuBa aufrufen, welcher auf der jeweiligen Seite die Verbindung
löst.
Beginnend auf dem BW-System begeben Sie sich nun in die Transaktion SE37 und rufen den
Funktionsbaustein "RSAR_LOGICAL_SYSTEM_DELETE" auf:
RSAR_LOGICAL_SYSTEM_DELETE
Hier geben Sie nun die benötigten Werte ein. Folgende Tabelle hilft ihnen bei der
Ausfüllung:
Feld Beschreibung
I_LOGSYS Der Logische Name des Quellsystems. Hier wird der Name des Quellsystem
eingetragen werden, wie er in der RSA1 zu finden ist.
Zusätzlich kann dieser Name auch in der DB-Tabelle TBDLT gesucht werden
I_FORCE_DELETE Boolean, X = Löschen trotz Fehlermeldungen
I_NO_TRANSPORT Boolean, X = Diese Änderung soll nicht in nachfolgende Systeme transportie
werden
I_NO_AUTHORITY Boolean, X = Ignorieren von Berechtigungsprüfungen
Ihr Ansprechpartner
Arbeiten im Quellsystem
In dem Quellsystem begeben Sie sich nun auch in die Transaktion SE37 und rufen hier den
Funktionsbaustein "RSAP_BIW_DISCONNECT" auf:
Folgendes sind die Beschreibungen zu den jeweiligen Feldern. Diese können in der
Quellsystem-Verbindungstabelle RSBASIDOC entnommen werden
Feld Beschreibung
I_BIW_LOGSYS Der logische Name des BW-Systems. In der Tabelle RSBASIDOC ist der richt
Wert in der Spalte "RLOGSYS" zu finden.
I_OLTP_LOGSYS Der logische Name des Quellsystems. Die Spalte "SLOGSYS" in der Tabelle
RSBASIDOC .
I_FORCE_DELETE Der logische Name des BW-Systems. In der Tabelle RSBASIDOC ist der richt
Wert in der Spalte "RLOGSYS" zu finden.
Ihr Ansprechpartner
Abschluss
Im Endeffekt müssen Sie also jeweils im BW- und Quellsystem den jeweiligen
Funktionsbaustein aufrufen, die Parameter ausfüllen und den Funktionsbaustein ausführen.
Hier finden Sie noch eine kurze Schritt-für-Schritt Anleitung für den Wiedergebrauch:
Im Quellsystem:
Aufruf SE37
Funktionsbaustein RSAR_LOGICAL_SYSTEM_DELETE aufrufen
Parameter eingeben
Funktionsbaustein ausführen
Wenn Sie weitere Fragen oder Themen-Vorschläge zum Thema SAP Business Warehouse
haben, lassen Sie sehr gerne einen Kommentar hier oder kontaktieren Sie mich per Email.
Ihr Ansprechpartner
Sie benötigen eine SAP Gateway Installation, um zum Beispiel SAP Fiori einzuführen? Es gibt
verschiedene Deployment Optionen, die jeweils ganz spezifische Vor- und Nachteile haben.
Wir bieten Ihnen hierfür eine Übersicht, damit Sie eine perfekte Wahl für Ihre existierende
Systemlandschaft treffen können.
Insgesamt existieren vier verschiedene Varianten, wie Sie ein SAP Gateway installieren
beziehungsweise einrichten können. Sie können es entweder losgelöst von Ihrer Business
Suite als Standalone Gateway (Hub Deployment) nutzen oder auf das in der Business Suite
enthaltene Gateway (Embedded Deployment, ab NetWeaver 7.40) zurückgreifen. Im Falle
eines Hub Deployments können Sie zusätzlich die Entscheidung treffen, ob Sie auf dem
Gateway oder der Business Suite entwickeln wollen. Als vierte Variante gibt es die
Möglichkeit, das SAP Cloud Platform OData Provisioning (kurz: OData provisioning) zu
nutzen. Im Folgenden werden alle vier Optionen kurz vorgestellt.
Ihr Ansprechpartner
Bei einer Entwicklung im SAP Gateway Hub müssen die SAP Gateway Komponenten im
Backend nicht installiert beziehungsweise aktualisiert werden. Jedoch liegt der
entscheidende Nachteil darin, dass das DDIC nicht vorhanden ist und nur Remote-
verfügbare Interfaces wie RFC zur Verfügung stehen.
Von Option 3, dem Embedded Deployment mit Entwicklung in der SAP Business Suite, raten
Ihr Ansprechpartner
wir ab. Bei dieser Variante wäre das Backend direkt mit dem Internet verbunden, wodurch
ein Sicherheitsrisiko gegeben ist. Außerdem können auch nicht mehrere Business Suites
angebunden werden.
Sofern Sie keinen Zugriff auf Ihr DDIC benötigen, käme Option 2 (Hub Deployment mit
Entwicklung im SAP Gateway Hub) noch in Frage. Sie bietet den Vorteil, dass keine
Veränderungen am Backend notwendig sind. In vielen Fällen ist das DDIC jedoch über kurz
oder lang von Nöten, weshalb auch diese Option nur selten empfehlenswert ist.
Die verbleibenden Optionen 1 (Hub Deployment mit Entwicklung in der SAP Business Suite)
und 4 (OData provisioning) bieten beide sehr identische Vorteile. So können mehrere
Business Suites angebunden werden und auch der Zugang zum DDIC ist vorhanden. Sofern
die in SAP Note 1830712 erwähnten Einschränkungen bezüglich des OData provisioning für
Sie kein Problem darstellen, können Sie zwischen den beiden Optionen frei entscheiden.
Weitere Informationen zur Einrichtung von SAP Gateways finden Sie hier.
Haben Sie noch Anmerkungen oder weitere Ideen zur Vorgehensweise bei der Einführung
eines SAP Gateways? Lassen Sie es mich wissen! Ich freue mich über Ihre Kommentare!
Ihr Ansprechpartner
Ich spreche mit dem SAP Experten Rico Magnucki über das SAP Gateway und was ich für
Infrastruktur für SAP Fiori benötige. In unserem Gespräch geht Rico auch auf typische
Fragen im Zusammenhang mit Gateway und Fiori ein.
Inhalt
Video
Überblick
Kapitelmarken
Downloads & Links
Video
Rico und ich gehen darauf ein, was das SAP Gateway ist und wofür es benötigt wird.
Außerdem reden wir über eine typische Gateway-Architektur und gehen auch auf
Implementierungs-Beispiele ein. Auch im Zusammenhang mit angeschlossenen Backend-
Systemen und Webdispatchern. Zuletzt schauen wir dann auch auf eine Variante in
Verbindung mit den Cloud Services der SAP.
Ihr Ansprechpartner
Kapitelmarken
00:51 Was ist SAP Gateway und wofür braucht man das?
03:33 SAP Gateway Architektur
09:40 Beispiel-Implementierung SAP Gateway 1
14:36 Beispiel-Implementierung SAP Gateway 2 (abgesetzter Web Dispatcher)
14:51 Beispiel-Implementierung SAP Gateway 3 (zusammen mit Cloud Services)
19:31 Der eine Tipp zum Schluss
Downloads
Download e-Book SAP Fiori: https://mission-mobile.de/download/e-book-sap-fiori/
Links
Alle aktuellen Infos zu SAP Fiori: https://mission-mobile.de/sap-fiori/
Mobile Infrastruktur: https://mission-mobile.de/mobile-infrastruktur/
Auf dem Laufenden bleiben:
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
Ihr Ansprechpartner
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Eine Umstellung auf die HANA DB ist eine der notwendigen Schritte, wenn ich mein SAP-
System S/4HANA Ready machen will. Um schon mal Knowhow für die HANA DB zu sammeln,
wäre eine Test-Datenbank ganz praktisch. Freundlicherweise steht mit der HANA 2.0
Express Edition eine kostenlose Version zur Verfügung, die innerhalb von zwei Stunden inkl.
Download und Installation online sein kann. Und das ganze gerade noch passend für einen
(gut ausgestatteten) Laptop und ohne die Notwendigkeit, dafür einen neuen Serverschrank
zu kaufen.
Zutatenliste
Downloads
Downloads
Ihr Ansprechpartner
Ich habe hier VirtualBox genommen. Herunterladen und installieren. Achtung: VirtualBox
funktioniert nicht zusammen mit Windows Hyper-V, das muss dann deinstalliert werden.
https://www.virtualbox.org/
Wenn kein JAVA installiert: JAVA JRE (SAPJVM) herunterladen, den brauchen wir für den
HANA Download Manager.
https://tools.hana.ondemand.com/#cloud
Ihr Ansprechpartner
https://www.sap.com/developer/tutorials/hxe-ua-register.html
HXEDownloadManager_win.exe
Danach die Datei ausführen, die benötigt die JAVA JRE. Falls die Umgebungsvariable
JAVA_HOME nicht sauber zieht, entweder das Programm aus einem neuen Command-
Fenster öffnen (Start->Ausführen->cmd) oder Windows neustarten (:
Ihr Ansprechpartner
Ich habe hier die größere Variante inklusive WebIDE gewählt, diese benötigt mindestens
16GB Hauptspeicher auf dem Rechner. Die "Server only virtual machine"-Version
funktioniert ab 8 GB Hauptspeicher, dort muss dann den Client selbst liefern, z.B. Eclipse mit
entsprechendem Plug-in.
Erfolgsmeldung.
Ihr Ansprechpartner
Die Download-Dateien, die HANA DB VM ist hier noch 11 GB groß. Nach der Installation ca.
35GB. Platz sollte aber für 120GB sein.
Ihr Ansprechpartner
Appliance importieren…
Ihr Ansprechpartner
Hier habe ich die Standardeinstellungen übernommen. Da der Rechner nur 16GB hat, war
der RAM automatisch auf 12GB limitiert.
Ihr Ansprechpartner
VM starten
Ihr Ansprechpartner
Wichtig: Die IP-Adresse notieren, damit kommen wir auf die Management-Oberfläche.
Ihr Ansprechpartner
Das Masterkennwort wird dann für Zugänge wie SYSTEM oder andere Accounts verwendet.
Ihr Ansprechpartner
Installation erfolgreich. Der Speicher ist voll, aber das System rennt.
Funktionstest
Dazu einen Browser öffnen und folgendes in die Adresszeile eintippen: <ip Adresse>:8090
z.B.: http://192.168.0.29:8090
Ihr Ansprechpartner
Wenn dieser Status erscheint, ist die Einrichtung abgeschlossen und der HANA Server kann
benutzt werden.
Jetzt den Hostnamen und die IP in die Hosts-Datei von Windows eintragen. So kann der
Ihr Ansprechpartner
Name "hxehost" auch im Browser verwendet werden. Die Änderung der hosts-Datei von
Windows benötigt immer Admin-Rechte und sehr oft das kurzzeitige Ausschalten von
Malware-Scannern. Die halten da (aus naheliegenden Gründen) oft den Daumen drauf. Die
Datei liegt unter C:\Windows\System32\drivers\etc\hosts
>xs-admin-login
ausführen, damit komme ich auf die XSA-Admin ebene und bekomme auch die URL der XSA-
Ihr Ansprechpartner
Web-Consolehttps://hxehost:39030
Beispieluser: Login mit User XSA_DEV mit dem zuvor definierten Masterpasswort
Shutdown
Ihr Ansprechpartner
>HDB stop
Danach ein
>shutdown -h now
Ihr Ansprechpartner
War das hilfreich? Ich freue mich über Feedback, Anregungen und Kommentare unter
diesem Beitrag oder gerne auch per Mail. Und jetzt viel Spaß mit der HANA DB.
PS: die SAP hat hier sehr gute (englische) Beschreibungen online gestellt:
https://www.sap.com/developer/groups/hxe-install-vm.html
https://www.sap.com/developer/tutorials/hxe-ua-getting-started-vm-xsa.html
Ihr Ansprechpartner
SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der
letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management.
Zeit mal wieder einen "neuesten Stand" zu ziehen: ein SAP Identity Management FAQ mit
den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und
Berechtigungsmanagement im SAP.
Hinweis: Hier sind häufig gestellte Fragen zusammengefasst, über die ich im Rahmen
meiner Beratungstätigkeit gesprochen habe. Wer zu SAP Identity Management selbst
Grundlagen wissen will, dem empfehle ich diesen Artikel.
Ist für uns SAP IDM oder SAP GRC Access Control
besser geeignet?
Das ist ohne Analyse der Umgebung nicht leicht zu sagen. Generell gilt: wenn die
Anforderung für eine Identity Management stärker aus den Reihen der IT und des
Ihr Ansprechpartner
Managements kommt, dann ist eher SAP IDM der geeignete Kandidat. Hier spielen
Funktionen wie Multi-User – Multi-System-Management, Skalierbarkeit über viele Systeme
und Unterstützung von Mobile und Cloud-Szenarien eine gewichtige Rolle. Wenn dagegen
die Anforderungen eher aus dem Bereich der Compliance kommt, dann spielen Themen wie
Mehr-Wege-Zugriff, Funktionstrennung (Segregation of Duties, SoD) und Data-Loss-
Prevention eine größere Rolle. Und da spielt SAP GRC Access Control seine Stärken aus.
Dieses Produkt ist wie IDM auch in der Lage, Benutzeranforderungsprozesse abzubilden.
Nur das diese dann auch zusätzliche Compliance-Prüfungen durchlaufen. Wer diesbezüglich
mehr wissen will, siehe den Beitrag Potentielle Sicherheitsrisiken bei Antragsprozessen in
IDM-Systemen. SAP betont, dass diese beiden Produkte komplementär sind, das heißt sie
ergänzen sich gegenseitig. Einen parallelen Betrieb beider Lösungen kommt aus meiner
Erfahrung nur für große Umgebungen bzw. sehr hohen Compliance-Anforderungen in
Frage.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Wenn ich Fiori Apps von SAP berechtigen möchte, dann kann ich in der Regel auf
ausgelieferte Standardrollen zurückgreifen. Die richtige Rolle kann ich über die SAP Fiori
apps reference library finden.
Neben dem Finden der richtigen Rolle, müssen die Rollen auch an der richtigen Stelle
zugeordnet werden. So benötige ich in der Regel auf dem Frontend (das SAP Gateway)
andere Rollen als auf dem Backend (z.B. dem ERP-System mit den relevanten
Geschäftsdaten). Das Bild zeigt die verschiedenen Zugriffsarten in der Übersicht.
Wenn ich weiß, welche App und für was (Frontend oder Backend) ich berechtigen will, dann
kann ich in der SAP Fiori app reference library suchen. Diese enthält technische
Informationen zu allen Fiori Apps, unter anderem welchen Rollen dazu ausgeliefert werden.
Ihr Ansprechpartner
Ihr Ansprechpartner
(1)Ich suche nach dem Namen der App oder nach einem passenden Stichwort, wie z.B. HCM
und wähle dann die passende App aus. Hier auch aufpassen, die richtige Version der App
auszuwählen.
(2) Implementation Information auswählen
(3) Configuration aufklappen
Fleißig scrollen ;-)
(1) Das ist die Vorlage für die Back-End PFCG-Berechtigungsrolle.(2) Das ist die technische
Rolle für den Zugriff auf das SAP Fiori Launchpad (Technischer Katalog)
Ihr Ansprechpartner
(3) Das ist die Business Rolle für den Zugriff auf diese Fiori App. Diese ist unter diesem
Namen ebenfalls in der PFCG zu finden.
Wenn ich sehen will, welche Business Rollen auf meinem Frontend-Server schon verfügbar
sind, dann kann ich nach "*_BCR_*" in der PFCG suchen.
War das hilfreich? Ich freue mich über ein Feedback bzw. einen Kommentar unter diesem
Beitrag.
Ihr Ansprechpartner
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, z.B. durch
die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor
Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das
Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen
Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind
sogenannte Access-Control-Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen
können, um Ihr SAP System noch besser zu schützen.
Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei
können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum
Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche
externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine
weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network
Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für
das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACL-Dateien wie die
secinfo und reginfo-Dateien.
Ihr Ansprechpartner
Netzwerkbasierte ACL
Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische
Clients. Es ist möglich für jede Regel in der ACL-Datei ein Trace-Level anzugeben, um jeden
Kommunikationskanal individuell zu überwachen. Sie lässt sich ohne weitere Konfiguration
mit SNC verwenden. Die Verwendung der Datei wird über den Parameter gw/acl_file
gesteuert, indem er einfach auf den entsprechenden Dateinamen gesetzt wird.
Außerdem gibt es die ACL-Datei secinfo, mit der es möglich ist zu konfigurieren, welche
User ein externes Programm starten können. Hier werden also Regeln definiert, die
bestimmten Usernamen aus dem SAP System erlauben bestimmte externe Programme zu
verwenden. Zusätzlich können auch hier die Hosts definiert werden auf denen diese
Programme ausgeführt werden. So ist es zum Beispiel möglich einem User zu erlauben das
Programm "BSP" auf dem Host "XYZ" auszuführen, aber nicht auf dem Host "ABC". Diese
Datei wird über den Parameter gw/sec_info gesteuert.
Ihr Ansprechpartner
Die Syntax der verschiedenen ACL-Dateien kann je nach Release-Stand abweichen. Es ist
deshalb ratsam sie vor der Aktivierung der ACL-Dateien in der entsprechenden SAP
Dokumentation nachzulesen. Weitere Unterstützung bei der Verwendung von ACL-Dateien
finden Sie auch im SAP Community Wiki. Haben Sie schon Erfahrungen mit der Verwendung
von ACL-Dateien zum Schutz Ihres SAP Systems gemacht oder haben Sie Fragen? Ich freue
mich über Ihre Kommentare!
Ihr Ansprechpartner
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Wann
muss ich auf S/4HANA gehen? Wir gehen dabei auch darauf ein, was das Ende für ERP 6.0 im
Jahr 2025 für die Projektplanung heute bedeutet.
Inhalt
Video
Kapitelmarken
Links & Downloads
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Wann muss ich auf S/4HANA
gehen?
Kapitelmarken
00:50 Ich habe da was gehört mit 2025...
01:06 Auf S/4HANA gehen - was bedeutet das?
03:10 Was bedeutet "bis Ende 2025"?
05:08 Ab wann sollte ich starten?
09:10 Wann und womit starten andere?
Ihr Ansprechpartner
Ihr Ansprechpartner
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Diesmal die
Frage: Was ist eigentlich dieses HANA? In unserem Gespräch geht Ingo auf die
verschiedenen Aspekte von SAP HANA ein und vor allem, was alles bei SAP den Namen
HANA trägt.
Inhalt
Video
HANA Überblick
Kapitelmarken
Downloads & Links
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Was ist HANA?
HANA Überblick
In dem Video werden alle aktuellen Komponenten der Cloud angesprochen. In dem Bild gibt
es einen kleinen Überblick.
Ihr Ansprechpartner
Kapitelmarken
0:21 Was ist HANA? - Einführung
01:39 ERP mit AnyDB - ERP mit HANA DB
03:23 ERP mit HANA DB - Simple Finance // S/4 Finance
05:07 S/4 HANA
06:57 HANA Enterprise Cloud (HEC)
08:40 S/4HANA Cloud Edition
09:56 Cloud Services: Success Factors, SAP C4C / SAP C/4HANA
10:35 SAP Cloud Platform
11:36 SAP Cloud Connector
12:02 Was ist HANA? - Zusammenfassung
Downloads
SAP HANA Infografik: https://erlebe-software.de/download/infografik-sap-hana/
Checkliste Voraussetzungen
S/4HANA: https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/
Ihr Ansprechpartner
Links
Alle aktuellen Infos zu SAP HANA:
https://erlebe-software.de/sap-hana/
Auf dem Laufenden bleiben:
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Ist das
noch ABAP? Wir gehen auf den Technologiestack ein, den SAP in der neuen ERP-Version
S/4HANA im Standard verwendet. Und inwiefern das sowohl Nutzer, Entwickler als auch die
SAP Basis betrifft.
Inhalt
Video
Kapitelmarken
Links & Downloads
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Ist das noch ABAP? Spoiler:
ja, es ist noch ABAP. Aber die Tage der SE80 sind wohl gezählt. Und auch das SAP Basis &
Security Team muss sich auf neue Anforderungen einstellen.
Kapitelmarken
04:56 Datenbank: SAP HANA DB, in memory Technologie
05:20 Datenmodellierung: Core Data Services (CDS) - Layer mit Meta-Daten
07:24 Transaction Services: Business Object Process Framework (BOPF) Kapselung von
Geschäftsobjekten - Standard Design-Patterns dem Framework überlassen
09:42 Geschäftslogik: moderne ABAP Software-Entwicklung, SE80 vs. ABAP in Eclipse, ABAP
OO
13:43 Daten-Bereitstellung: SAP Gateway, ODATA Services, Unterschiede zu SOAP-
Ihr Ansprechpartner
Ihr Ansprechpartner
YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Salesforce ist einer der weltweiten Marktführer für CRM-Lösungen. Ein CRM ohne ERP
funktioniert allerdings auch nicht so richtig rund. Grund genug um mit meinem Kollegen
und Salesforce Experten Robert Richter über das Thema SAP Salesforce Integration und
Schnittstellen zwischen SAP und der Salesforce Cloud zu sprechen.
Wenn sich ein Unternehmen für Salesforce als CRM-Lösung interessiert kommt unweigerlich
die Frage hoch: wie kann ich meine bestehende Landschaft mit so einer Cloud-Only-Lösung
koppeln? Was sind auch Best Practices, die wir empfehlen können? Das ist genau unser
Gesprächsthema.
Datenintegration
UI integration
Prozessintegration
Ihr Ansprechpartner
Datenintegration
UI Integration
Prozessintegration
Ihr Ansprechpartner
Ihr Ansprechpartner
Links
Salesforce SAP Integration |
https://mind-force.de/salesforce-integration/
Ihr Ansprechpartner
Seit den letzten Jahren ist SAP HANA eines der großen Themen im SAP Umfeld. Viele Kunden
stehen aktuell vor der Frage, ob Sie Ihr SAP System migrieren sollen oder nicht. Neben der
eigentlichen Umstellung an sich, gibt es aber zahlreiche andere Themen bei denen Sie sich
vorab schon informiert haben sollten, da diese den Erfolg von SAP HANA bei Ihnen
beeinflussen. Was wissen Sie bereits über SAP HANA? Gerne möchte ich Sie mit dem
folgenden Artikel dazu anregen sich Gedanken zu Thematik der Sicherheit zu machen.
Möchten Sie etwas über die Architektur von HANA erfahren, empfehle ich Ihnen einen
Beitrag unserer Kollegen von erlebe Software.
Ihr Ansprechpartner
Ihr Ansprechpartner
2. Einstellungen
Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden
Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles
abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue
Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway,
welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein
Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen
und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere
Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo
möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert.
Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten die
archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen
Ihr Ansprechpartner
gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten
nur wenig Nutzer Zugriff darauf haben.
3. Anwendungen
Ein SAP HANA System lebt von Anwendungen. Wenn Sie diese Anwendungen entwickeln,
sollten Sie frühzeitig daran denken, diese absichern. HTTPS zu verwenden statt HTTP gehört
zu den Basics. Darüber hinaus sorgen Sie für eine sichere Authentifizierung und
implementieren einen Secure Software Development Lifecycle um die Sicherung in Ihren
Eigenentwicklungen sicher zu stellen. Bei Ihren Anwendungen fangen Sie besser früh an,
diese auf Risiken zu untersuchen und betreiben diesen Sicherungsprozess regelmäßig. Den
Zugriff auf Quelltexte können Sie im weiteren Verlauf analysieren und einschränken. Bauen
Sie sich ein Risikoregister auf und behandeln sie Sicherheitslücken risikobasiert. Je später
Sie ein Risiko entdecken, desto teurer wird die Behebung.
Weitere Informationen zum SAP Security ergänzend zum Artikel finden sie hier. Haben Sie
weitere Fragen oder Anregungen zur Thematik? Möchten Sie, dass wir weiter auf die
Thematik eingehen? Ich freue mich auf Ihr Feedback!
Ihr Ansprechpartner
In vielen Unternehmen gibt es aktuell die Strategie, den SAP Support über sogenannte
"managed Services" zu strukturieren. Managed Services unterscheiden sich von den
klassischen IT-Dienstleistungen und sind eine gute Möglichkeit für Unternehmen,
wiederkehrende Aufgaben und Services auszulagern, um sich wieder mehr auf das
Kerngeschäft zu fokussieren.
Viele Unternehmen stehen vor der Herausforderung, dass ihre Top-Mitarbeiter stark im
Tagesbetrieb eingebunden sind und so ihr Potential nicht voll entfalten können. Somit fehlt
das Potential dieser Mitarbeiter, um das Kerngeschäft des Unternehmens voranzubringen
und zu Verbessern. Das Ausgliedern dieser Standard-Aufgaben an einen außenstehenden
Dienstleister ist somit der nächste logische Schritt zu einer besseren Effektivität im eigenen
Unternehmen. Bei managed Services wird genau diese Herausforderung adressiert.
Im SAP-Support kann so eine Vereinbarung zum Beispiel für den Betrieb von mehreren SAP-
Linien getätigt werden. Der Dienstleister wäre beispielsweise zuständig, dass aufkommende
Probleme mit dem SAP-System schnell und effizient bearbeitet werden. Zusätzlich hält er
sich bei der Bearbeitung an die vorher abgestimmten Zeiten zur Beantwortung,
Lösungsfindung und Analyse aufgekommener Probleme. Auch regelmäßig auftretende
Aufgaben wie Upgrades, Notfall-Tests oder das Bereinigen der Berechtigungen im System
können nach Abstimmung Teil eines Managed Services werden.
Ihr Ansprechpartner
Neben der Entlastung der eigenen Mitarbeiter vom Tagesbetrieb bieten managed Services
noch weitere Vorteile. So können auch stark schwankende Anforderungen an die IT-
Abteilungen durch einen managed Services-Vertrag abgefangen werden. Gibt es bspw. feste
Zeitpunkte in einem Kalenderjahr, wo mit erhöhtem Arbeitsvolumen gerechnet wird, muss
bei einem managed Services-Vertrag der Dienstleister dafür sorgen, dass er genug
Ressourcen bereithält, die im Notfall unterstützen können.
Ein weiterer Vorteil ist die klare Strukturierung des Supports durch die festgelegten SLAs.
Dadurch, dass genau feststeht, wann welche Aufgaben zu erfüllen sind, wird eine starke
Klarheit und Transparenz geschaffen. Dies hilft dem Management, einen Überblick zu
halten, wie der aktuelle Stand der Abteilung ist und auch hier kann der Fokus somit mehr
auf dem Kerngeschäft und auf strategischen Projekten liegen.
Das "klassische" Time & Material-Geschäft im Bereich der IT-Dienstleistungen sieht vor, dass
ein Unternehmen externe Ressourcen für einen bestimmten Zeitrahmen einkauft und diese
unterstützen das Unternehmen dann im Rahmen ihrer Möglichkeiten. Dies ist besonders
effizient, wenn es darum geht, noch nicht vorhandenes Know-How in das Unternehmen zu
holen um besonders schwierige Projekte zu meistern. Bei der Übernahme von
Regelaufgaben ist das Time & Material-Geschäft allerdings leicht im Nachteil, da sich (je nach
Teamgröße) der Koordinationsaufwand des Unternehmens sehr schnell steigern kann und
somit zu einer weiteren Belastung werden kann. Dies ist sowohl bei der fachlichen
Koordination ein großer Punkt, aber auch in der Budgetplanung kann es schnell Verwirrung
geben.
Beide Punkte sind durch managed Services abgedeckt. Die Verantwortung der Einhaltung
und der Koordination liegt bei dem Dienstleister. Und auch die Budget-Planung gestaltet
sich mit einem managed Services-Vertrag einfacher, da der Service zu einem festen Preis
eingekauft wird und es keine schwankenden Kosten gibt.
Um es zusammenzufassen...
Managed Services sind eine gute Möglichkeit für Unternehmen, ihre internen Ressourcen
wieder dort einzusetzen, wo sie ihre größte Wirkung entfalten: In strategischen Projekten,
die die Zukunft ihrer IT ausbauen und verbessern. Zusätzlich werden durch klar gegebene
Abstimmungen die internen Prozesse entschlankt und eine gute Möglichkeit der
Ihr Ansprechpartner
Falls Sie Interesse an weiteren Informationen zu diesem Thema haben, schauen sie gerne
bei unserer Abteilung für Managed Services vorbei.
Dies sind meine Erfahrungen im Bereich der managed Services. Wie sieht es bei Ihnen aus,
haben Sie schon Erfahrungen in dem Bereich gemacht?
Berichten Sie mir gerne!
Ihr Ansprechpartner
Im Oktober und November 2018 ist ja die SAP TechEd gelaufen - in Las Vegas, Barcelenoa
und Bengalore. Und mittlerweile sind viele der Sessions auch online verfügbar inklusive der
Folien. Hier meine Video Empfehlungen.
So, ich bin nach meinem Urlaub aus dem Winterschlaf erwacht. Vor dem Jahreswechsel
habe ich es nicht mehr geschafft, daher sei es hier nachgereicht. Meine Empfehlungen aus
der Mediathek der TechEd 2018 Aufzeichnungen. Auf den Session-Seiten kann sich jeder
auch die Folien des Vortrags herunterladen.
Aktuell für Node.js als Beta verfügbar wird auch an einer Java und auf der Roadmap auch an
Ihr Ansprechpartner
einer Lösung für ABAP entwickelt. Die Idee finde ich schon ziemlich cool und könnte als
zusätzliche Verteidungslinie vor Programmier-Fehlern schützen.
Ihr Ansprechpartner
Ein Tipp
Wer sich bezüglich der Namensgebung etwas verloren fühlt (so wie ich): über den Agenda-
Builder der noch online ist, ist die Agenda zu den Abkürzungen der Videos hinterlegt. Zum
Beispiel der Prefix SEC für Security by default oder INT für Integration out of the box.
Ich denke es lohnt sich auch noch weiter in der Mediathek der TechEd 2018 Aufzeichnungen
zu stöbern. Gerade was die Entwicklung auf der SAP Cloud Plattform angeht, ist wirklich
einiges dabei, was vermutlich demnächst dann auf dem Tisch der SAP Basis liegt. :)
Was sind Ihre Tipps und Empfehlungen? Ich freue mich auf Feedback, gerne hier unter
diesem Beitrag oder per Formular.
Ihr Ansprechpartner
Falls Anwendungen Ihres SAP-Systems aus dem Internet erreichbar sind, setzen Sie im
Idealfall einen SAP Web Dispatcher ein, um Ihr System gegen Angriffe von außen zu
schützen. Der SAP Web Dispatcher bildet die Schnittstelle zwischen dem Internet und Ihrem
SAP-System. Ist diese nicht korrekt abgesichert, können sich potentielle Angreifer Zugriff auf
ihr SAP System und die darin enthaltenen sensiblen Daten verschaffen. Erfahren Sie hier,
wie Sie den Admin-Zugriff Ihres SAP Web Dispatchers zusätzlich absichern können.
Ihr Ansprechpartner
icm/HTTP/admin_0 = CLIENTHOST=Admin-
Client, HOST=Web Dispatcher Host, PORT=HTTPS Port
Selbstverständlich ist es möglich hier eine Liste von Hosts anzugeben. Damit der Parameter
wirksam wird, müssen Sie anschließend den SAP Web Dispatcher neustarten.
Wenn also Ihre SAP Administratoren die IPs 152.12.23.1 und 152.12.23.2 haben und ihr SAP
Web Dispatcher unter der Adresse 168.12.23.4 erreichbar sein soll, wäre die richtige
Konfiguration:
Mit dem Stichwort localhost lassen Sie dabei den Zugriff auf die Adminkonsole vom Host
des SAP Web Dispatcher aus zu. Auch wenn die Angabe des HTTPS Ports hier optional ist,
wird es dringend empfohlen, da im Falle eines HTTP-Zugriffs die Passwörter Ihrer
Administratoren im Klartext übertragen werden.
Erfahren Sie im SAP Help Portal mehr über diesen Parameter.
Haben Sie Fragen zu dieser Sicherheitseinstellung oder haben Sie bereits Erfahrungen mit
dieser Konfiguration sammeln können? Ich freue mich über Ihre Kommentare!
Ihr Ansprechpartner
Verwenden Sie Webanwendungen auf der Basis von Web Dynpro ABAP/Java oder SAPUI5?
Hat Ihr SAP System mehrere Applikationsserver auf denen diese Webanwendungen laufen?
Oder wollen Sie einfach den Internetbasierten Zugriff zu Ihrem SAP System absichern? Der
SAP Web Dispatcher liefert genau die Funktionen, die Sie benötigen und noch einiges
darüber hinaus.
Bei der Verwendung von SAP Webanwendungen, ergeben sich aus technischer Sicht vor
allem zwei Fragen: "Wie kann die Last, die durch Webanwendungen verursacht wird, auf die
verschiedenen Applikationsserver meines SAP Systems verteilt werden?" oder "Wie kann ich
sicherstellen, dass die Applikationsserver zwar aus dem Internet erreichbar sind, dadurch
aber nicht gefährdet? Die Antwort auf beide Fragen lautet: mit dem SAP Web Dispatcher.
Ihr Ansprechpartner
Übersicht über die Netzwerke Ihres SAP Systems bei Verwendung des SAP Web Dispatchers.
(Quelle: SAP Help Portal)
Ihr Ansprechpartner
Der SAP Web Dispatcher kennt die aktuelle Last, die jeder einzelne Applikationsserver trägt,
und kann die Anfragen so gleichmäßig verteilen und berücksichtigen auf welchem Server
welche Anfragen überhaupt verarbeitet werden können. Wenn Sie zum Beispiel nur auf
einen Applikationsserver mit einem Java Stack haben, so ist es wenig sinnvoll, die Web
Dynpro Java Anfragen an die anderen Applikationsserver zu senden.
Ihr Ansprechpartner
eingesetzt werden?
Die eigentliche Frage sollte an dieser Stelle also lauten: Welche Systeme haben einen Nutzen
von Lastverteilung für Webanwendungen und sollten gegen schädliche Zugriffe aus dem
Internet geschützt sein? Die Antwort ist kurz: Alle Systeme, in denen mehrere
Applikationsserver Webanwendungen bereitstellen. Falls Sie mehrere Systeme besitzen, ist
es möglich nur einen einzigen Web Dispatcher für alle Systeme zu verwenden. Ob das in
Ihrem Fall ratsam ist, hängt von der Anzahl, Version und Größe der jeweiligen Systeme ab.
Haben Sie Erfahrungen mit dem SAP Web Dispatcher, die Sie mit uns teilen möchten,
oder haben Sie Fragen zur Installation und Einrichtung Ihres SAP Web Dispatchers? Ich freue
mich über Ihre Kommentare.
Ihr Ansprechpartner
SAP-Berechtigungskonzept vs.
Datenschutz-Folgenabschätzung
von Markus Krieger - Beitrag vom 13. Juni 2018 - Artikel online öffnen
Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO)
in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr
Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-
Berechtigungskonzepts zu, die es zu überwinden gilt.
Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen
Datenschutzgesetze umgesetzt werden müssen, was jedoch in der Praxis auch aufgrund der
im Verhältnis geringen Strafandrohungen nur stiefmütterlich realisiert wurde. Speziell die
durch Art. 35 festgehaltene Datenschutz-Folgenabschätzung bringt große
Herausforderungen mit sich. Haben Sie sich in Ihrem Unternehmen bereits damit
auseinandergesetzt?
Mit Aktiv werden der DSGVO können Sie bis zu einer Geldbuße von 20.000.000 € oder 4%
Ihres weltweiten Umsatzes bestraft werden, was für viele Unternehmen einer
Bankrotterklärung gleich käme. Diese Sanktionierungsmaßnahmen durch die EU gilt es zu
vermeiden, ein erster wichtiger Schritt ist dabei ein angepasstes Berechtigungskonzept in
Ihrem SAP-Umfeld.
Dabei ist besonderer Fokus auf die Datenschutz-Folgenabschätzung zu legen. Diese erinnert
in ihren Grundzügen stark an die im alten deutschen Datenschutzgesetz festgehaltene
Vorabkontrolle, birgt jedoch noch weitere Herausforderungen in sich.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Wie viel Zeit verbringen Ihre Basis- oder Benutzeradministratoren mit einfachen, sich
wiederholenden Aufgaben wie dem Entsperren von SAP Benutzern und der
Passwortänderung? Mit steigender Anzahl der Dialogbenutzer steigt auch die Anzahl
vergessener Passwörter erheblich an.
Ein vergessenes Passwort ist nicht nur das vielleicht häufigste Problem im Alltag der
Anwender, sondern es stellt auch die IT vor einige besondere Herausforderungen. So sind
derartige Anfragen oft zugleich simpel wie auch zeitkritisch. Die Bearbeitung soll
schnellstmöglich erfolgen, da der betroffene Mitarbeiter ohne Systemzugang meist nicht
arbeiten kann.
Ihr Ansprechpartner
Auch Ihre Mitarbeiter können sich nur wenige solcher Passwörter merken und neigen dazu,
sie aufzuschreiben und bei Änderungen nur geringfügig zu variieren. Daher ist es nicht
empfehlenswert, eine regelmäßige Passwortänderung zu erzwingen. Besonders eine
Passwortänderung vor längeren Abwesenheiten durch Urlaub, Krankheit oder Fortbildung
führt häufig zum Vergessen der Zugangsdaten.
Mit diesem Werkzeug können Anwender ihr Passwort selbstständig zurücksetzen. Dies
funktioniert über einen Webservice und eine anschließende Bestätigung über die im SAP
System hinterlegte E-Mail-Adresse. Die Nutzer kennen diese Vorgehensweise häufig schon
von Online-Diensten wie Amazon oder Facebook. Die Nutzer benötigen dazu keinerlei
zusätzliche Berechtigungen (SU01 oder Ähnliches).
Auch mit dem Tool CheckIDM können Nutzer ihr Passwort selbstständig und sicher
zurücksetzen. Neben vergessenen Passwörtern unterstützt es auch bei weiteren häufigen
Fragen in der Benutzerverwaltung und im Berechtigungssupport:
Ihr Ansprechpartner
CheckIDM hält für diese Anfragen sichere und individuell anpassbare Workflows und
Genehmigungsverfahren bereit, die auf Wunsch auch mehrstufig und unter
Berücksichtigung einer Funktionstrennung gestaltet werden können. Es arbeitet komplett
im SAP System und erfordert keine zusätzliche Infrastruktur.
Verbringen Sie oder Ihre Mitarbeiter viel Zeit mit dem entsperren von SAP Usern und dem
Kennwörter zurücksetzen? Erzählen Sie mir von Ihren Erfahrungen in der Bearbeitung
derartiger Anfragen gerne in einer Nachricht oder als Kommentar.
Ihr Ansprechpartner
SoD-Troubleshooting -
Funktionstrennungskonflikte in
SAP
von Tobias Harmes - Beitrag vom 29. Juni 2018 - Artikel online öffnen
Die Bereinigung von Funktionstrennungskonflikten muss kein Grund für ein Burn-out
werden. Ich zeige hier in dem Beitrag und dem Video, wie ich üblicherweise an SoD-
Feststellungen herangehe.
Ihr Ansprechpartner
Vorgehensweise
Mein Rezept um Funktionstrennungskonflikte aufzulösen sieht wie folgt aus:
Ihr Ansprechpartner
Ursache identifizieren
Typischerweise entsteht die problematische Berechtigung durch eine Kombination von
mehreren Rollen in dem Benutzer. Dadurch ist es oft auch nicht möglich, eine einzige Rolle
als Ursache zu bestimmen. Ich verwende tatsächlich eine Old-school Transaktion dafür: die
SU56. Diese kann für einen User den kompletten Benutzerpuffer anzeigen. In dieser
Übersicht kann ich über STRG+F nach Berechtigungsobjekten und Werten suchen. Und ich
sehe, aus welchen Profilen und Rollen diese Berechtigungen kommen.
Ich würde bei der Analyse auch immer empfehlen, mit der selteneren Funktion anzufangen.
Also bei "Bankenstammdaten ändern vs. Zahllauf ausführen" würde ich nach Rücksprache
mit der Fachabteilung versuchen, den Teil "Zahllauf ausführen" zurückzubauen. Weil diese
Funktion üblicherweise an weniger User vergeben wird. Alle Rollen mit entsprechende
Berechtigungen kommen in eine Arbeitsliste, die dann in der Bereinigung abgearbeitet
werden muss.
Bereinigen
Wenn die Arbeitsliste aus der Ursachen-Analyse steht, muss natürlich noch mal geguckt
Ihr Ansprechpartner
werden, was die Seiteneffekte sind. Nicht dass der Ausbau von Berechtigungen negative
Auswirkungen auf andere User hat. Hier muss dann im schlimmsten Fall sogar mit
Rollenkopien gearbeitet werden. Aber ansonsten benötigt dieser Teil vor allem Geduld und
Genauigkeit - also wie immer bei der Berechtigungsentwicklung.
War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem
Beitrag als Kommentar. Vielen Dank!
Ihr Ansprechpartner
Die Umsetzung der Verordnung ist somit gesetzliche Vorschrift und daher ein Thema mit
dem Sie sich jetzt beschäftigen sollten. Damit Sie wissen, was auf Sie zukommt und konkrete
Lösungsansätze erhalten, widmen sich unsere Experten dem Thema in unserem
Tagesworkshop. Darüber hinaus beraten und informieren wir Sie über aktuelle
Berechtigungsthemen, womit wir Ihnen das nötige Know-How für ein erfolgreiches Jahr
2018 vermitteln.
Eintritt: 250,-€
„Der Workshop war sehr interessant und hilfreich! Es ist spannend zu erfahren wohin sich
die digitale Welt entwickelt und wie andere Firmen mit der Digitalisierung umgehen.“ –
innogy SE
„Die Erwartungen an den Tag wurden vollumfänglich erfüllt; eine gelungene Veranstaltung
von sachkundigen Experten“ – thyssenkrupp Rasselstein GmbH
Ihr Ansprechpartner
Sebastian Eßling
SAP HR Consultant
Activate-HR
Ihr Ansprechpartner
SAP HANA hält überall Einzug und somit bietet auch der SAP Solution Manager einige
Szenarien für HANA-Systeme an (z.B. HANA Monitoring), die eine ordnungsgemäße
Anbindung voraussetzen
Bei der Anbindung eines HANA 2.0-Systems über die bekannte Guided-Procedure in der
Konfiguration der verwalteten Systeme gibt es ein paar Besonderheiten, die zu beachten
sind und welche ich in diesem Blogartikel zusammengefasst habe.
Veraltete CIM- Modelle und ein nicht aktuelles Content-Repository (CR) können dazu führen,
dass bei der Anbindung eines HANA-Systems einzelne Systemkomponenten dem SLD nicht
bekannt sind und somit nicht klassifiziert werden können. Um dies zu vermeiden, empfiehlt
es sich, das SLD auf den aktuellsten Stand zu bringen.
Ihr Ansprechpartner
https://<HANAServerHostname>:<Port>/lmsl/HDBLCM/<SID>
Ihr Ansprechpartner
https://launchpad.support.sap.com/#/softwarecenter
Die Installation auf dem Host dauert weniger als 1 Minute und kann in zwei verschiedenen
Modi durchgeführt werden:
GUI:
hdbsetup -a
Commandline:
hdbinst -a
4. Weitere Empfehlungen
Aktualisierung der Templates/Views gemäß Note 2403493
MAI-Content aktualisieren (Komponente ST_CONT)
Hier empfiehlt sich die das aktuellste SP-Level
Anlage eines Monitor-Users auf der HANA-DB (wird während des Setups unter
"Systemparameter" eingetragen")
Diesen benötigen Sie, sofern die Datenbank innerhalb eines Monitoring-Szenarios
überwacht werden soll.
Wenn Sie also die oben zusammengefassten Aktivitäten berücksichtigen, steht einer
problemlosen Anbindung ihrer HANA-Landschaft an den SAP Solution Manager nichts mehr
im Wege.
Auf welche Besonderheiten bei der Anbindung sind Sie gestoßen? Stoßen Sie gerne einen
Erfahrungsaustausch an!
Ihr Ansprechpartner
Toolgestützt Funktionsrollen
entwickeln
von Luca Cremer - Beitrag vom 8. Juni 2018 - Artikel online öffnen
Ein nachhaltiges Bereinigen von SAP Berechtigungen beginnt mit der fachlichen Perspektive
auf Rollen und Arbeitsplätze - es werden Funktionsrollen entwickelt, welche später technisch
mit Berechtigungen ausgeprägt und in den produktiven Betrieb überführt werden können.
Eine Funktionsrolle steht für eine Berechtigungsrolle aus fachlicher Sicht. Hier werden auf
erster Ebene die notwendigen SAP Transaktionen gesammelt die basierend auf einer
Arbeitsplatzbeschreibung im täglichen Betrieb aufgerufen werden. In diesem Blogbeitrag
gehe ich auf die Erstellung von solchen Funktionsrollen ein. Hierbei verwenden wir in
unseren Projekten einen toolgestützten Ansatz, welchen ich Ihnen ebenfalls kurz vorstellen
werde.
Top-Down
Bottom-Up
Ihr Ansprechpartner
fachliche Perspektive völlig außen vor. Fehlende fachliche Ansprechpartner und benötigte
Transaktionen welche außerhalb des betrachteten Nutzungszeitraums aufgerufen worden
sind, werden vergessen und sorgen für viel Aufwand in der Nachbereitung.
Hier ein kleiner Tipp vorab: Wenn Sie bereits über eine Bereinigung von SAP
Berechtigungen nachdenken, sollten Sie als aller erstes den Aufzeichnungszeitraum der
ST03N erhöhen. Umso länger die Daten hier aufgezeichnet werden, umso sicherer ist das
Ergebnis des Redesigns zum Abschluss des Projektes.
Ihr Ansprechpartner
Diese Kombination der Ansätze wird in unseren Projekten durch den Einsatz der XAMS
Ihr Ansprechpartner
In diesem Screenshot ist zu sehen, wie die Arbeit mit dem Tool aussehen kann. Auf der
linken Seite sind die virtuellen Rollen zu erkennen, welche per Drag&Drop mit
Transaktionen gefüllt werden können.
Auf der rechten Seite sind die betrachteten User im System zu sehen. Diese Benutzer sind
hier bereits nach Funktionen / Abteilungen gruppiert. Das ermöglicht später eine einfachere
Zuweisung. Ebenfalls durch Drag&Drop können die neu designten Rollen den Benutzern
Ihr Ansprechpartner
oder Benutzergruppen zugewiesen werden (rein virtuell). Ganz rechts ist nun ebenfalls zu
erkennen zu wie viel Prozent der User im Vergleich zu seiner Verwendungshistorie
berechtigt ist. Der User EXT_ hat im Betrachtungszeitraum 13 Transaktionen verwenden und
ist mit den zugewiesenen Rollen zu 100% berechtigt und wird in diesem Screenshot deshalb
in grün dargestellt.
Die darunter befindlichen User sind erst zu 3,03 bzw. 1,05 Prozent berechtigt und sollten
daher noch einmal überarbeitet werden.
Denken Sie über eine Bereinigung von Ihren SAP Berechtigungen nach oder haben bereits
Ihr Ansprechpartner
Erfahrungen gemacht? Sie können mir gerne einen Kommentar hinterlassen oder mich per
E-mail kontaktieren.
Ihr Ansprechpartner
Ich spreche mit SAP Spezialisten Jeremia Girke über die Top 3 Basis-Fragen zur Einführung
von Adobe Forms in SAP. Es geht um die Infrastruktur, das Sizing für die Systemlandschaft
und auch um die benötigte Software und die Lizenzen.
Inhalt
Video
Kapitelmarken
Downloads & Links
Video
Kapitelmarken
00:39 Frage 1: Was brauche ich für eine Infrastruktur für Adobe Forms?
04:01 Frage 2: Wie kann ich eine robuste Systemlandschaft für Form Processing aufbauen?
Wie muss das Sizing aussehen?
10:30 Frage 3: Woher bekomme ich die Software und die Lizenzen?
12:48 Zusatzfrage: Was kosten Adobe Forms eigentlich?
Ihr Ansprechpartner
US/3a62c0dbf6da426790ecf3186b37f512.html
Checking ADS Configuration in an ABAP Environment:
https://help.sap.com/viewer/d2e18615eb27460d9c0b6533aa01d8a0/7.5.7/en-
US/4b94e945ea576e82e10000000a421937.html
ADS Configuration in Netweaver 7.5:
https://blogs.sap.com/2016/11/02/ads-configuration-in-netweaver-7.5/
Anleitung Download Adobe LifeCycle Designer:
https://mind-forms.de/sap-formulartechnologien/adobe-forms/adobe-livecycle-designer-
downloaden/
Kostenloses Ebook zum Download:
https://mind-forms.de/download/e-book-sap-adobe-forms/
Ihr Ansprechpartner
Die SAP Connect ist die größte Partnerveranstaltung der SAP und sie gastierte diesmal am
06.-07.11.2018 in Düsseldorf. Eine gute Gelegenheit sein Netzwerk zu pflegen und der SAP
abseits von Marketing-Folien in die Karten zu gucken. Beteuert doch die SAP, dass die SAP
ohne Partner-Ökosystem wie ein Topf ohne Deckel ist.
"Die SAP" ist sowieso nicht korrekt – die Vorträge, die ich gesehen habe, waren sorgfältig
vorbereitet, persönlich und interessant. Die BPM-Rate (Buzzwords per Minute) war
naturgemäß relativ hoch – in einem Vortrag wurde das sogar augenzwinkernd als Input für
den Prozess in die Folien geschrieben. Nun, sobald es um Cloud und Plattformen geht, ist
das wohl so.
Ihr Ansprechpartner
Die SAP möchte als Integrationsplattform agieren. Egal wo ich Cloud-Services anmiete (AWS,
Microsoft,…), egal was ich verwende (ja, sogar SalesForce) – ich kann es mit SAP integrieren.
Vorzugsweise natürlich mit dem S/4HANA Digital Core. Oder C/4HANA. Hier sieht Hartmut
Thomsen in der Keynote ein sehr großes Thema für SAP – und den festen Willen diesen
Markt nicht Salesforce & Co. zu überlassen. Ob das CRM-Geschäft das ERP-Geschäft 2019
wirklich überholen wird – ich bin gespannt.
Ein sehr großes Thema war die Einstiegshürden für die SAP Cloud Plattform. Mehre Sessions
haben aktiv Feedback eingefordert. Hier kam hoch: die SAP Cloud Platform-Trial ist zu
limitiert, ein ernsthaftes Setup mit Backend-ERP für mittelständische Softwareentwickler zu
teuer bzw. aktuell kaum lohnend. Gute Ideen wie Per-per-Use-Modelle sind noch nicht
großflächig ausgerollt. Und andere Anbieter wie zum Beispiel die IBM bieten hier günstigere
Möglichkeiten während der Entwicklungsphase. Hier will die SAP nachbessern und bietet
schon jetzt verbesserte Einstiegspakete zumindest für den Cloud Platform-Teil für Partner
an. Dann dürfte sich der App-Store von SAP auch füllen.
Beim Umgang mit Massendaten für meine Plattform, der Integration von IoT-Devices, der
Nutzung von Industrieanlagen, die an den Kunden Twittern (Function as a service) – da
suche ich dann schon mal nach dem Thema Datenschutz und Security. Ja, ich weiß. Hashtag
#GermanAngst. Return of the Spielverderber. Virtual Forge war hier der einzige Name, der
hier die Flagge der Security sichtbar hochgehalten hat. Wenn die Einführung der Cloud-
Ihr Ansprechpartner
Lösung vorbei ist und die ersten Z-Applikationen aus der Cloud Plattform in SuccessFactors
und andere Apps integriert werden. Mal gucken, wer dann das passende Security-Konzept
aus der Tasche ziehen muss. In der PFCG geht das jedenfalls nicht.
Doch so pessimistisch will ich gar nicht schließen. Passend zur Strategie: die App zur
Veranstaltung war wirklich prima und sehr hilfreich. Und letztendlich ging es ja auch darum,
miteinander ins Gespräch zu kommen. Auf analoger Ebene funktioniert die Integration also
schon mal.
Ihr Ansprechpartner
Manchmal kommt es vor, dass eine Transaktion aus dem Menü einer Rolle gelöscht wurde,
die Transaktion für den User jedoch trotzdem noch abrufbar ist. Dies kann an
verschiedenen Gründen liegen. Im Folgenden werden drei mögliche Situationen gezeigt, bei
denen der TCode noch abrufbar ist.
Ihr Ansprechpartner
vorhanden. Der einfachste Weg ist hier die Suchfunktion zu benutzen. Dies geht entweder
über das Fernglas-Symbol oder über STRG+F. In der Statusleiste ist nach der Suche einer
Transaktion sichtbar, ob und wie oft die Transaktion gepflegt wurde. Wenn nun der
Löschbutton betätigt wird, werden alle vorkommenden Einträge entfernt und die
Berechtigungen damit entzogen.
Ihr Ansprechpartner
werden oder die die SU24 für die Transaktion überarbeitet werden.
Ihr Ansprechpartner
Dann dürfen wir uns nämlich entspannen und ungestört unserem (Zweit-)Lieblingsthema
zuwenden: SAP. Wer nach dem ersten Tag Präsentations-Marathon vielleicht doch Lust auf
Gespräche und weniger auf allein im Hotel, Bildschirm und Mails abarbeiten hat: meine
Firma mindsquare und ich veranstalten auch dieses Jahr wieder unsere kleine aber feine
Warm-Up Party am Abend des ersten Kongresstags. Hier können wir entspannt den ersten
Tag bei Bier, Cocktails, Wein und vielfältigen Speisen Revue passieren zu lassen, networken,
Kontakte knüpfen und mit SAP Anwendern und SAP Experten von uns und anderen
Unternehmen austauschen. Lasershow und Techno gibt es ja dann am zweiten Tag auf der
offiziellen DSAG Abendveranstaltung ;-)
Datum: 16. Oktober 2018
Start: 20 Uhr
Ort: Barfusz Club, Leipzig
Also: wer Lust und Zeit hat, hier geht es zu unserer Anmeldeseite:
https://mindsquare.de/dsag-warm-up-party/
Ich freue mich schon!
Ihr Ansprechpartner
Alle Welt setzt den SAP Web Dispatcher ein, um Web-Apps und Webservices aus dem SAP
für das Internet erreichbar zu machen. Allerdings gibt der Web Dispatcher im Standard alles
frei, was das SAP System zu bieten hat. Ein URL Filter für den SAP Web Dispatcher hilft, die
Tür nur so weit aufzumachen, wie wirklich nötig.
Der Bedarf für die Anbindung von SAP Systemen an das Internet ist in den letzten Jahren
sprunghaft gestiegen. Apps und Webservices entwickelt und veröffentlicht auf dem SAP
System werden zum Internet hin freigegeben. Eine praktische Methode das zu tun ist der
SAP Web Dispatcher - er fungiert als Reverse Proxy und kann Anfragen aus dem Internet an
das interne SAP System durchreichen. So muss das interne ERP System nicht direkt mit dem
Internet verbunden werden.
Inhalt
Ihr Ansprechpartner
Testwebservices, Webdynpros und auch System-Programme. Und natürlich auch die SAP
WebGUI mit voller Anmeldung. Alles nützlich um mehr von Ihrem Unternehmen zu erfahren
und im schlimmsten Fall diese Informationen zu stehlen und/oder gegen Sie zu verwenden.
Unter Umständen muss man einmal bestätigen, dass man kein Roboter ist – diese Art von
Anfragen wird halt tatsächlich von Bots durchgeführt, die das Internet durchforsten nach
leichter Beute. Und jetzt kann man überlegen, ob die Ergebnisse nicht angepasst werden
können. Man könnte URL-Bingo spielen und neue URLs formen. Z.B. den seit mehr als 10
Jahren bekannten Klassiker - aus /sap/bc/bsp ein /sap/public/info machen (siehe Bild).
Nur weil bei Ihnen da nichts angezeigt wird, muss es natürlich nicht heißen, das nicht doch
etwas da ist. Vielleicht kennen Sie nur die richtige URL noch nicht. Das liegt daran, dass im
Ihr Ansprechpartner
Standard der Web Dispatcher erst einmal alles freigibt, was auch im internen SAP System
freigegeben ist. Während das Risiko dafür im internen Netz vielleicht noch überschaubar ist,
ist es im Internet ungleich höher. Denn dort gibt es keine Client-Richtlinien oder Firewalls die
irgendwelche Roboter-Angriff erkennen und unterbinden.
Grund genug also für die alte Wahrheit: nur das an Diensten freigeben, was man auch
wirklich benötigt.
1. Logging aktivieren
Es macht Sinn das Zugriffslogging zu aktivieren, um eine Liste von gerade genutzten
Diensten und URLs zu erhalten. Falls noch nicht vorhanden, muss in das Web Dispatcher
Profil folgender Parameter aufgenommen werden:
Wenn mehrere Systeme über verschiedene Ports abgewickelt werden, empfiehlt sich noch
%v %S. Diese stehen für den Zielserver und den Ziel-Port. Z.B. webdispatcher.example.com
8443
Also:
Ihr Ansprechpartner
Probleme zu vermeiden. Das wird ja auch primär für den Moment benötigt, wo der URL
Filter aufgebaut wird.
Das Access-Log kann dann ausgewertet werden um alle relevanten URLs zu ermitteln. Ich
verwende sehr gerne Excel. Aber unter Linux geht es wohl mit cut bzw. sed schneller. Die
URLs müssen in eine bestimmte Form als Permission File aufbereitet werden. Im
Wesentlichen muss man vor jede gewünschte URL ein "P" für Permitted, also erlaubt bzw.
eher "S" für HTTPS erlaubt eintragen. Siehe Beispiel weiter unten. Die Datei kann z.B. unter
/usr/sap/<SID>/SYS/profile/perm_filter.txt abgelegt werden. Achtung: keine Leerzeilen
verwenden. Diese haben in einem bekannten Fall im Web Dispatcher den Start verhindert.
Wenn die Datei gespeichert ist (Achtung, auf die Rechte achten), dann kann die Datei im
Instanzprofil des Webdispatchers referenziert werden. Der Pfad muss dem Parameter
PERMFILE mitgegeben werden.
Ihr Ansprechpartner
ilter.txt
Der Web Dispatcher muss für die Aktivierung gestoppt und gestartet werden.
4. Testen
Nach dem Neustart des Web Dispatchers ist der Filter aktiv. Sollte der Web Dispatcher nicht
starten, sollten Sie kontrollieren, ob sich nicht doch eine Leerzeile in das Permission-File
eingeschlichen hat. Wenn ich nun über den Web Dispatcher auf nicht freigegebene
Ressourcen zugreife, erhalte ich ein HTTP 403 - Access Denied.
Ich kann den aktuellen Status der Access List auch über das Web Admin Interface abrufen
(HTTP Handler -> Access Handler). Dort kann ich übrigens auch die Filter-Liste nach
Veränderung ohne Neustart neu laden (danke für diesen Kundentipp!).
Fazit
Ihr Ansprechpartner
Eine Einschränkung auf gewünschte URLs lässt sich schnell auf dem Web Dispatcher
realisieren. Allerdings muss wie bei Firewall-Regeln genau geprüft werden, ob die Liste
wirklich vollständig ist. Ansonsten gibt es lange Gesichter bei legitimen Benutzern. Es gibt
grundsätzlich auch noch andere Ansätze, diesen URL Filter zu realisieren. Wenn die Regeln
z.B. komplizierter werden müssen, dann kann auch mit regulären Ausdrücken gearbeitet
werden. Weitere Infos dazu gibt es z.B. hier.
Übrigens: Das Vorgehen mit dem Web Dispatcher kann natürlich auch noch eine Ebene
früher verwendet werden. So eine Einschränkung macht auch für interne ERP-Systeme Sinn.
Denn wenn etwas schon im LAN nicht erreichbar ist, dann muss es auch nicht zum Internet
hin abgeschottet werden. Entsprechende Filterregeln gibt es auch für den ICM im ABAP
Stack.
War das hilfreich oder ist noch etwas unklar? In jedem Fall freue ich mich über einen
Kommentar. Und wer es lieber direkt klären möchte: ich biete auch eine Online
Sprechstunde an.
Ihr Ansprechpartner
Das Umbenennen von Rollen in SAP ist eine leidige Aufgabe, welche sich nicht so einfach
realisieren lässt. Dies kann vor allem bei Masterrollen und deren Ableitungen ein echtes
Problem darstellen. Im Folgenden zeige ich Ihnen, wie Sie diese Herausforderung dennoch
meistern können.
Es gibt etliche Gründe, weshalb es für Sie in Ihrem Unternehmen wichtig sein könnte, den
Namen einer Rolle zu verändern, sei es aufgrund von Namenskonventionen, durch den
Wunsch, Rollen besser anhand ihres Namens identifizieren zu können oder aus welchem
Grund auch immer.
Ihr Ansprechpartner
Rolle in Notepad++
In Zeile fünf des Screenshots ist z. B. der Name der Rolle zu finden, den Sie nun modifizieren
Ihr Ansprechpartner
können.
Sie sehen, dass es sich bei der Datei um eine sehr lange Textdatei handelt, in welcher jede
Zeile seine Daseinsberechtigung genießt. Ein einfaches Ändern von einzelnen Zeilen, um die
Rolle umzubenennen, ist somit nicht zu empfehlen. Es ist viel besser, mit "Suchen und
Ersetzen" die Rolle anzupassen. Hat Ihre Rolle beispielsweise eine Bezeichnung mit "MM", in
Wahrheit handelt es sich aber um eine "FI"-Rolle, können Sie die Datei nach "MM"
durchsuchen und durch "FI" ersetzen.
Dabei ist Vorsicht geboten - in der Rolle können Transaktionen hängen, die auch "MM" im
Namen haben. Diese werden in der Textdatei auch mit angezeigt, was zur Folge hat, dass Sie
versuchen würden, auch die Transaktion selbst umzubenennen. Dabei würde jedoch
lediglich der Name der Transaktion geändert werden, der als Hülle dient, die Transaktion
würde in dieser Rolle somit unbrauchbar werden.
Ihr Ansprechpartner
Ihr Ansprechpartner
Der Umgang mit inaktiven Benutzern ist in jedem SAP-Umfeld ein verbreitetes Thema. Doch
wie geht man damit um und was sind die Vorteile der einzelnen Lösungen? Ich zeige einen
vielleicht unbekannten Trick zum Sperren von Benutzern.
Ihr Ansprechpartner
Später kann dann die Aktion, die auf die selektierten Benutzer angewendet werden soll,
ausgewählt werden. Hier können Nutzer sowohl lokal gesperrt als auch lokal entsperrt
werden und auch die Gültigkeit des Benutzers gesetzt werden. Demnach also bereits zwei
der drei von mir empfohlenen Schritte im Umgang mit inaktiven Benutzern. Es empfiehlt
sich das Gültigkeitsdatum "auf Gestern" zu setzen.
Letztlich sollten in der SU01 die Profile und Rollen entzogen werden, damit der Benutzer
nicht mehr im System berechtigt ist.
Mögliche Konflikte
Trotz der Sperre eines Benutzers kann es in manchen Fällen immer noch möglich sein, dass
sich der Benutzer im System anmelden kann, z.B. durch Single-Sign-On. Um einen User also
endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen,
deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen
Zeitpunkt in der Vergangenheit (siehe auch: SAP Benutzersperren verstehen)
Ihr Ansprechpartner
War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem
Beitrag als Kommentar. Vielen Dank!
Ihr Ansprechpartner
Leitfragen welche im Laufe des Beitrags beantwortet werden sollen sind somit
Ihr Ansprechpartner
Atomicity (Atomarität)
Die Atomarität einer Transaktion in einer Datenbank wird häufig mit den Worten „ganz oder
gar nicht“ beschrieben“. Das heißt das Transaktionen, welche in einem Fehler gelaufen sind,
alle vorhergehenden Änderungen in der Datenbank vom System wieder rückgängig
gemacht werden müssen. Im Umkehrschluss bedeutet dies, dass Transaktionen erst gültig
sind wenn sie komplett und erfolgreich durchlaufen wurden.
Consistency (Konsistenz)
Isolation (Abgrenzung)
Die Abgrenzung bezieht sich auf den Betrieb eines Datenbankmanagementsystem mit
Zugriffen von mehreren Nutzern und dient zur Verhinderung der damit verbundenen
Anomalien wie z.B. das löschen oder ändern geänderter Datensätze. Generell sollte jeder
Nutzer sich so fühlen als sei er allein auf dem Datenbankmanagementsystem. Häufig wird
dies mit Sperren auf Datensätzen realisiert. Da Sperren in Datenbanken und speziell im SAP-
Umfeld ein enorm umfangreiches Thema sind wird in diesem Beitrag nicht weiter darauf
eingegangen.
Durability (Dauerhaftigkeit)
Nach erfolgreichem Abschluss einer atomaren und konsistenten Transaktion auf einem
Datenbankmanagementsystem müssen die Daten dauerhaft gespeichert sein. Sollte zum
Beispiel der Server ausfallen müssen die erfolgreich abgeschlossenen Transaktionen im
Datenbankmanagementsystem erhalten bleiben und dürfen nicht gelöscht oder erneut
eingefügt werden.
Ihr Ansprechpartner
Transaktionen welche vor oder während dem Absturz noch nicht als abgeschlossen
gegolten haben werden in die sogenannten Redo- und Undo- Logs aufgenommen und nach
dem laden des Savepoints wieder auf den bestehenden Datensatz aufgespielt um eine
Ihr Ansprechpartner
Der Persistenz Layer trägt somit vorwiegend zur Konsistenz und Dauerhaftigkeit der HANA
Datenbank bei und ermöglich zugleich noch die Atomarität dieser In-Memory Datenbank.
Haben Sie bereits Erfahrungen mit der Konfiguration der HANA DB gesammelt oder haben
eine "best practice" zur Erstellung von Savepoints? Teilen Sie mir gerne Ihre Erfahrungen in
der Kommentarbox mit, ich würde mich sehr freuen!
Ihr Ansprechpartner
Sie möchten gerne detaillierter wissen, was auf Ihren SAP Systemen passiert - dann
empfehle ich Ihnen, sich die Solution Manager Funktionalität "Usage Procedure Logging"
(UPL) genauer anzusehen.
Welcher Code wird häufig ausgeführt? Auf welche Datenbanktabellen wird regelmäßig
zugegriffen? Welche ungenutzten Eigenentwicklungen existieren? - Antworten auf diese
Fragen liefert das UPL.
Sie können die Funktionalität ohne weitere Lizenzkosten und mit moderatem Aufwand in
Ihre bestehende SAP-Landschaft implementieren.
Reports
Funktionsbausteine
Klassen
Methoden
Subroutinen
SQL Aufrufe
Außerdem ist UPL in der Lage, dynamische Programmaufrufe zu erkennen sowie die
Transparenz über genutzte Modifikationen zu erzeugen.
Vorteile
Ihr Ansprechpartner
Mögliches Nutzungsszenario
Wenn Sie den Solution Manager 7.2 im Einsatz haben, können Sie UPL im Rahmen des
"Custom Code Lifecycle Managements" (deutsch: Verwaltung kundeneigener Entwicklungen)
aktivieren. Nach einmaliger Aktivierung des BW-Contents sowie einiger Standardjobs wählen
sie ein oder mehrere Systeme aus, für die Sie UPL aktivieren möchten.
Sollten Sie bereits das SP05 installiert haben, existiert im SOLMAN_SETUP eine eigene
"Guided Procedure" zur Konfiguration des UPL.
Ist das UPL einmal aktiviert, können Sie auf die Nutzungsdaten wie folgt zugreifen:
Auf Basis der Datensammlung des UPL können Sie nun weitere Funktionalitäten des CCLM
nutzen, um beispielsweise Eigenentwicklungen, welche längere Zeit ungenutzt ist, zu
dekommissionieren.
Kennen Sie das UPL der SAP und nutzen Sie es bereits, um weitere Informationen über ihre
bestehende Systemlandschaft zu gewinnen?
Lassen Sie einfach einen kleinen Erfahrungsbericht in der Kommentarbox, ich würde mich sehr
freuen!
Ihr Ansprechpartner
Wie kann ich veraltete Space Statistics im Early Watch Report (EWA) beheben? Auf das
Problem bin ich vor kurzem bei der Generierung eines "Early Watch Report" im Solution
Manager 7.2 gestoßen und beschreibe hier einen Lösungsweg.
Die Nutzung von Early-Watch-Reports ist eine der ersten und häufigsten von Kunden
genutzten Funktionalitäten im Solution Manager. Das liegt unter anderem daran, dass mit
verhältnismäßig geringem Konfigurationsaufwand eine Vielzahl von Diagnose Daten aus
den Satellitensystemen kompakt und übersichtlich zusammengestellt werden, um dann
regelmäßig per Mail-Automatismus an eine gewünschte Empfängerliste versendet zu
werden.
Innerhalb eines bestimmten Early-Watch-Reports fiel auf, dass die Statistiken für bestimmte
Unterkapitel (z.B. Datenbankwachstum innerhalb der letzten 12 Monate) veraltet waren.
Es wurde ein Datenzeitraum von Juli 2018 bis August 2017 erwartet, jedoch war dies nicht
der Fall. Die aktuellsten Daten waren in diesem Fall aus dem Jahre 2016 und gingen zurück
bis 2015.
Alle für den Early-Watch-Report benötigten Daten werden auf dem entsprechenden
Ihr Ansprechpartner
Lösung
Folgende Schritte sollten nun durchgeführt werden, um die Module wieder zu reaktivieren
und aktuelle Space Statistics im EWA-Report zu erhalten.
• Prüfung der Module auf Aktivität
• Prüfung des Jobs SAP_COLLECTOR_FOR_PERFMONITOR
• Sicherstellung der Korrekten Einplanung des Jobs mit dem Report RSCOLL00
Sollte dieser Job längere Zeit nicht aktiv gewesen sein, kann es durchaus vorkommen, dass
er bei Wiedereinplanung einige Zeit benötigt. Bei uns belief sich die Dauer auf ca. 1h.
Anschließend kann zur Prüfung, ob die Maßnahmen erfolgreich waren, ein neuer Early
Watch Report angelegt und durchgeführt werden.
Vielleicht sind Sie in der Vergangenheit ja bereits auf ähnliche Fehler bei der Early-Watch-
Generierung gestoßen.
Sollte Ihnen dieser Artikel weiterhelfen, hinterlassen Sie gerne einen kurzen Kommentar.
Ihr Ansprechpartner
In dieser Folge spreche ich mit Tim Kostka von Mission-Mobile. Es geht um die Frage, wie
VPN für Fiori Apps funktioniert und welche Vorteile mir die In-App VPN-Lösung bietet.
Welche Vorteile hat der Einsatz von VPN für Fiori Apps?
Der Vorteil von VPN für Fiori Apps kann man zum Beispiel beim Thema "Ablösung von
Papierprozesse im Bereich Instandhaltung (PM)" zeigen. Das kann man sich so vorstellen,
dass früher beispielsweise ein Monteur am Tagesanfang seine Aufträge in Papierform
bekommen hat und ist diese dann abgefahren. Die Kollegen bauen für solche
Einsatzgebiete Apps, die mehrere Vorteile haben:
Aber die Herausforderung ist, wie komme ich nun von meinem Mobilgerät auf mein SAP
System rein?
Normalerweise muss die SAP-Basis das SAP-Gateway hierfür aufmachen, damit über LTE
darauf zugegriffen werden kann. Nur ein Gateway öffentlich nach außen zugänglich machen
– das möchte kaum einer aus der SAP Basis machen. Dafür haben gibt es dann genau
die Lösung: Ein In-App VPN.
Dies ist der Fall, wenn es eine App gibt, die außerhalb des WLAN des Unternehmens
betrieben werden soll und nicht vorgesehen ist, dass das Gateway von außen erreichbar ist.
In dem Fall sollte über die VPN Lösung nachgedacht werden. Es handelt sich also um eine
App, die zwar mobil eingesetzt werden soll, aber nicht öffentlich ist. Ich kann die App auf
bestimmte Geräte einschränken. Dies sind die Funktionen, die mit einer Enterprise Mobility
Lösung umsetzbar sind. Jetzt kann man sich die Frage stellen: "Ich kann doch auch auf
meinem Smartphone VPN öffnen?" – das ist möglich, nur dann ist eine Drittanwender
Ihr Ansprechpartner
Software nötig. Dies hat den Nachteil, dass immer mehrere Schritte durchgeführt werden
müssen. Der User muss die App öffnen, die VPN Verbindung herstellen und Anmeldedaten
(Login Credentials)hinterlegen.
Mit dem In-App Lösung wird das alles komplett umgangen. Der Anwender merkt nur, mit
einem kleinen Zeichen, dass eine VPN-Verbindung nun aktiv ist. Die Sicherheit übernimmt
ein Zertifikatsdienst im Hintergrund. Vorteile sind hier die Zeitersparnis und Usability – der
User muss nur die App starten.
Das Unternehmen bekommt mit dem In-App-VPN zusätzlich die Freiheit, den Internetzugang
des Smartphones nicht direkt im Unternehmensnetzwerk terminieren zu müssen.
Um In-App-VPN von außen zu realisieren benötigt man ein Enterprise Mobility Management.
Damit werden alle Anforderungen gelöst.
Ihr Ansprechpartner
Das Problem ist, dass wenn ein VPN Zugang auf einem mobilen Device eingerichtet wird,
alle Apps diesen VPN-Zugang nutzen (schädliche Apps eingeschlossen).
Lösung: Nur vom Administrator autorisierte Apps können den VPN-Zugang nutzen. Dies
kann zum Beispiel auch die Fiori App für den Monteur sein. Dieser Ablauf geschieht
Ihr Ansprechpartner
Um In-App VPN nutzen zu können ist eine Enterprise Mobility App notwendig (z.B.
MobileIron oder Airwatch, etc.). Die Fiori App wird von einer Web-App zu einer hybriden App
umgebaut. Hierbei wird ein Container drumherum gebaut, das ist eine SDK Schnittstelle,
damit das Mobile Iron auf dem Smartphone auch darauf zugreifen kann. Das sorgt dann
dafür, dass mit dem Zertifikat, welches auf dem Handy hinterlegt ist, ein VPN-Tunnel
aufgebaut werden kann. Um eine fertige App legt der Entwickler oder der Enterprise
Mobility Manager den Container drumherum, das ist dann die Schnittstelle. Die App wird
anschließend in den Enterprise App Store hochgeladen. Der Anwender kann die App nun
runterladen oder sie wird durch Rollen zugeordnet.
Die App "spricht" mit einem Mobile Iron Server – dort wird das VPN terminiert und der
Datenverkehr ausgepackt und zum richtigen Ort geschickt. Bei MobileIron nennt sich das
Ganze beispielsweise "Sentry". Das ist der Server, der für alles zuständig ist, Zertifikate
überprüft und den Traffic wieder entschlüsselt. So dass der Nutzer wieder darauf zugreifen
kann. Dies ist eine normale TLS Verbindung.
Wenn noch kein MobileIron oder eine andere Software Suite installiert ist, kann der ganze
Prozess noch ein wenig länger dauern. Es muss erst eine Software Suite eingeführt werden
und Server aufgesetzt werden. Am Besten eignet sich dafür vorher eine Evaluation
durchzuführen, um herauszufinden welche Software am besten geeignet ist. MobileIron gibt
es zum Beispiel in der On-Premise oder in der Cloud Version. Bei der Cloud Version besteht
der Vorteil, dass keine Verwaltung nötig ist. Für die Sicherheitsupdates sorgt hier
MobileIron. Die Cloud Version kann kostengünstig getestet werden und mitwachsen, wenn
das Unternehmen auch wächst.
Kapitelmarken
00:20 Warum sollte ich VPN für Fiori Apps zu benutzen?
4:28 Wie funktioniert VPN Freigabe
6:22 Was ist Enterprise Mobility Management?
10:35 Securing Date in Mobile Devices
12:25 Die In-App VPN-Lösung
19:53 Der eine Tipp
Ihr Ansprechpartner
https://mission-mobile.de/mobility-strategie/enterprise-mobility-management/was-ist-
mobileiron/
https://mission-mobile.de/enterprise-mobility-management/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Spielstraße heißt ja laut StVO Schritttempo. Eigentlich könnte ich ja meine Kinder deshalb
einfach auf der Straße spielen lassen. Leider klappt das nicht wirklich, wenn nicht ab und zu
mal auch die Regeln (z.B. durch einen Blitzer) kontrolliert werden. In vielen Unternehmen
gibt es jedoch kein Interesse an der Durchsetzung von Regeln. Es gibt anscheinend
grenzenloses Vertrauen, dass alle die Geschwindigkeit einhalten - warum eigentlich?
Kennen Sie jemanden, der beim Wort Regelwerk leuchtende Augen bekommt? Nein, ich
meine jetzt nicht die alte Rollenspiel-Gruppe, die sich jeden Samstagabend zum "Das
schwarze Auge"-Spielen getroffen hat. Dann fällt Ihnen niemand ein? Tja, mir auch nicht.
Regelwerke haben einen schlechten Ruf. Regeln verlangsamen, lähmen und überfordern.
Mit dem Effekt, dass quasi als Selbstverteidigung eine Gemeinde schon mal sämtliche
Straßenschilder bis auf eins abbaut. Das letzte Schild steht am Ortseingang und lautet:
"Vorfahrt geändert." Ab da gilt Paragraf 1 Absatz 1 der Straßenverkehrsordnung: "Die
Teilnahme am Straßenverkehr erfordert ständige Vorsicht und gegenseitige Rücksicht."
Im Prinzip ist so eine Kultur des Vertrauens etwas, was ich jedem Unternehmen wünsche.
Ständige Vorsicht und gegenseitige Rücksicht lässt zwar Ermessungsspielraum, aber
insgesamt versuchen alle dafür zu sorgen, dass niemand unter die Räder kommt.
Ich begegne vielen Unternehmen, die liebend gerne auf ihre Regelwerke verzichten würden
zugunsten einer Kultur des Vertrauens. Nur frage ich mich, ob das in Wirklichkeit nicht
Ihr Ansprechpartner
Bequemlichkeit gepaart mit Naivität ist. Oder netter formuliert: ein großes Missverständnis.
Denn wenn jemand in dem besagten Dorf ohne Nummernschild auf der Straße fahren
würde, dann würde ihn die Polizei trotzdem rauswinken. Fehlende Schilder hin oder her.
Gegenseitige Rücksichtnahme und eine Kultur des Vertrauens erreicht man nur, wenn es
keine Anonymität im System gibt und keine Hintertüren. Und auch alle hinsehen. Und eben
das erreicht man nur mit der richtigen Konfiguration. Wo steht die beschrieben? Richtig – im
Regelwerk, auch Berechtigungskonzept genannt.
Vielleicht ist es auch an der Zeit zu akzeptieren, dass klassische Regelwerke allein zum
Scheitern verurteilt sind. Ich habe schon mehrere dutzend Berechtigungskonzepte gesehen,
die so niemals im System angekommen sind (oder höchstens gehalten haben bis der Polizist
der Prüfer weg war). Weil es auch stimmt, dass wenn ich heute bei SAP Sicherheit alles
richtig machen will, ich bei manuellem Vorgehen genauso wie ein Verkehrsteilnehmer im
Schilderwald überfordert bin. Ich müsste ja nicht nur Informatik, sondern auch Wirtschafts-
Wissenschaften, Jura und am besten auch noch Kriminalistik studiert haben. Wahlweise
noch FI-Prozesswissen mit krimineller Kreativität erforschen. Für die gute Seite versteht sich.
Das schafft aber niemand neben Tickets abarbeiten und interne Projekte zum Erfolg
bringen.
So wie Autos aktuell beigebracht wird, Verkehrsregeln zu befolgen und bei Bedarf
Gegenmaßnahmen einzuleiten, gibt es ebenfalls sehr gute Ansätze Software beizubringen,
aktuelle Sicherheitsregeln im SAP System zu prüfen und zu alarmieren. Der Roboter prüft
automatisch und verschafft mir eine Übersicht, wie die Lage aussieht. Das ist kein
Misstrauen, das ist proaktiv und sorgt dafür, dass niemand überfahren wird. Das ist dann
ein internes Kontrollsystem für SAP IT Sicherheit. Ein Regelwerk mit eingebauter
Selbstprüfung. Das wäre doch mal was.
Tobias Harmes
PS: Wenn Sie Fragen haben, können mich für eine Expert Session buchen:
https://rz10.de/online-beratung-tobias-harmes/
Ihr Ansprechpartner
Gelegentlich möchte ich in Projekten herausfinden, ob und von welchem Benutzer eine
Transaktion im SAP zuletzt genutzt worden ist. Ein recht einfacher Weg zu dieser
Transaktionsnutzung ist der SAP Workload Monitor (Systemlastmonitor). Die passende
Transaktion dazu heißt ST03N oder in aktuellen Systemen einfach ST03.
ST03N aufrufen
Zeitraum auswählen
Ihr Ansprechpartner
Analysesicht auswählen
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
Nun kann ich auf die gewünschte Transaktion filtern und per Doppelklick die Benutzerliste
Ihr Ansprechpartner
öffnen. Manchmal kann es auch Sinn machen, von Tasktyp DIALOG wieder auf alle zu stellen
- die Transaktion könnte ja z.B. auch in der Hintergrund-Verarbeitung (Tasktyp
BACKGROUND) verwendet worden sein.
Benutzerliste prüfen
Es werden alle Benutzer aufgelistet, die im selektierten Zeitraum die VA01 aufgerufen
haben.
Kritik
Vorteil dieser Vorgehensweise: sie funktioniert sehr schnell. Nachteil: ich muss ggf. mehrere
Monate durchsuchen, bis ich einen Treffer gefunden habe. Ein weiterer Erfahrungswert: je
nachdem wie der Entwickler sein Programm geschrieben hat, erfolgt beim Aufruf von
Ihr Ansprechpartner
Transaktionen aus anderen Transaktionen keine Protokollierung in der ST03N. Kein Treffer
in der ST03N lässt daher leider keine Aussage zu, ob die Transaktion überhaupt verwendet
wird. Hier ist es besser für die Transaktionsnutzung auf den Abap Call Monitor (SCMON) zu
setzen. Etwas bequemer geht es, wenn die Daten in eine Excel-Datei exportiert werden. Die
passende Anleitung dafür finden Sie hier. Wenn zu wenig Historie angezeigt wird, dann hilft
eine Verlängerung der Aufbewahrungszeit. Wie das funktioniert, können Sie hier nachlesen.
War diese Information hilfreich für Sie? Ich freue mich über ein Feedback in den
Kommentaren!
Ihr Ansprechpartner
Die Ankündigung eines Next-Generation-Supports in den SAP News (passend zum intelligent
Enterprise) würde bei mir normalerweise vom Buzzword-Filter aussortiert werden.
Allerdings stand da auch etwas davon, dass der SAP Support mich auch über WhatsApp auf
dem Laufenden halten kann. Grund genug für mich mal aktuelle SAP-Support-Möglichkeiten
wie Live-Chat und WhatsApp auszuprobieren.
Die SAP nennt ihren Support-Ansatz den "Next-Generation-Support" und zeigt vier mögliche
Wege auf, um schnelleren technischen Support zu erhalten.
1. Expert-Chat
Der Expert Chat, ist eine Live-Chat-Funktion, bei dem der Benutzer bei technischen Fragen,
Support im Chat von einem SAP-Experten in Echtzeit erhält. Vom SAP ONE Launchpad aus
kann der Benutzer auf den Experten-Chat zugreifen. Hierbei gibt es noch bestimmte
Einschränkungen, die FAQs (Frequently Asked Questions), welche der Benutzer auswählen
kann. Nachdem der Benutzer nun sein System auswählt und somit kategorisiert, kann er
nun mit dem technischen Support im Live-Chat kommunizieren. Der Vorteil ist hierbei, dass
der Benutzer seinen Bildschirm freigeben und mit dem SAP-Support-Techniker sharen kann,
um somit die Problemlösung zu erleichtern. Die Expert Session wird dokumentiert und zur
Nachverfolgung aufbewahrt, falls das Problem nicht sofort behoben werden kann. Der
Expert-Chat eignet sich vor allem für Probleme mit einer mittleren oder hohen Priorität.
2. Schedule an Expert
Falls die Frage oder der technische Support nicht dringend benötigt wird oder nur eine
niedrige bzw. mittlere Priorität hat, kann auch die dritte Support-Möglichkeit für den
Customer in Frage kommen. Beim Schedule an Expert-Service kann sich der Benutzer für
einen 30-minütigen Skype-Videocall mit einem SAP-Produkt-Support-Experten verbinden
lassen. Dazu muss ein Termin vereinbart werden. Vom SAP One Support-Launchpad aus,
lässt sich ein solcher Service-Anruf planen. Falls das Problem nicht behoben werden kann,
wird wie auch bei der Expert-Session ein schriftlicher Bericht zum Problem für die
Nachbearbeitung erstellt. Mit dieser Möglichkeit kann sich der Benutzer bei Fragen zudem
Ihr Ansprechpartner
Bei Problemen oder Fragen, die nicht mit einem Produkt zusammenhängen hilft der
Customer-Interactive-Center-Service weiter. Dieser Service ist eine zentrale Anlaufstelle für
nichttechnische Fragen zu Themen, wie SAP ONE Support Launchpad und SAP Support
Portal, Navigationen und Anwendungen, User Management oder Incident
Management. Dieser Service ist per Telefon, E-Mail, Chat und Social-Media kontaktierbar.
4. Self-Service-Tools
Die Self-Service-Angebote des SAP Supports können jederzeit und ohne Unterstützung von
anderen aufgerufen werden. Sie beinhalten mehrere mögliche Self-Service-Tools:
Mit dem Service der SAP Knowledge Base kann auf Artikel zu gegriffen werden, die
technische Fragen zum Support für SAP-Software betreffen. Hierbei ist es möglich eine
Vielzahl von Repositories zu durchsuchen, darunter das SAP-Hinweis-Tool, Artikel der SAP
Knowledge Base, Inhalte aus der SAP Community und mehr. Diese Artikel sind unter dem
SAP ONE Support Launchpad, im SAP Support Portal und über Suchmaschinen wie Google
und Bing verfügbar. SAP-Notes sind hierbei eher die technischen Programmkorrekturen, die
sich typischerweise in S-Note herunterladen lassen. Während die SAP Knowledge Base-
Artikel erklärende und bebilderte Hinweisartikel sind.
Das Guided Answers- Tool ist eine Anwendung, mit deren Hilfe der Benutzer anhand einer
schrittweisen Anleitung Fehler beheben und technische Probleme finden kann. Hier sind vor
allem Themen dabei, die häufig auftretende Fehler behandeln. Die Experten von SAP
dokumentieren hierbei exakte Schritte zur Problemanalyse und machen den Prozess somit
für alle verfügbar.
Mit dem Incident Solution Matching-Service ist es möglich relevante Antworten schneller zu
finden. Mit künstlicher Intelligenz und maschinellem Lernen zeigt der Service automatisch
potenzielle Lösungen aus SAP-Notes- und SAP-Knowledge-Base-Artikeln nach Relevanz
Ihr Ansprechpartner
geordnet an. Die Funktion ist in das SAP ONE Support Launchpad integriert.
Zudem gibt es auch die Möglichkeit, sich bei HotNews einzuschreiben und bei kritischen
Updates oder Sicherheitsproblemen eine E-Mail zu erhalten und somit schnell reagieren zu
können.
Kapitelmarken
00:20 Vier Wege für besseren SAP Support
1:37 Expert Chat
7:50 Schedule an Expert
10:25 Customer Interaction Center (CIC)
11:41 Self-Service-Options
14:27 WhatsApp Subscribtion
18:14 Weitere Support Möglichkeiten
Ihr Ansprechpartner
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner
Mit der Nutzung des Profils SAP_ALL sind nennenswerte Risiken verbunden. Um diese
Risiken zumindest für besonders kritische Berechtigungen wie zum Beispiel Debugging mit
Änderungsberechtigungen zu reduzieren, kann mit wenig Aufwand eine zurückgebaute
SAP_ALL Rolle erstellt werden. Diese ist auch für Nicht-Dialog-Benutzer geeignet.
Wichtig: Die durch diese Anleitung entstehende Rolle ist immer noch mit kompletten Admin-
Berechtigungen ausgestattet. Es ist also weiterhin eine Rolle, die im Dialog nur einem
protokollierten Notfallbenutzer zugeordnet sein sollte. Die Erstellung und Vergabe von
einem zurückgebauten SAP_ALL (auch bekannt als Z_SAP_ALL oder ZSAP_ALL) sollte nur von
Fachpersonal durchgeführt werden. Der wesentliche Unterschied zum reinen SAP_ALL: der
Benutzer kann typische HGB-kritische Funktionen, wie das Löschen von Änderungsbelegen,
nicht durchführen ohne dabei Spuren zu erzeugen. Und Nachvollziehbarkeit ist einer der
wichtigsten Ansprüche der Buchführung.
1 Rolle anlegen/aktualisieren
Voraussetzung ist, dass ein aktuelles SAP_ALL-Profil im SAP-Standard erstellt wurde. Das
Profil ist im Entwicklungssystem in jedem Arbeitsmandanten mit SU21 zu generieren.
Anlegen einer Rolle namens Z_SAP_ALL oder Pflege der bestehenden Rolle: Die Rolle sollte
im Beschreibungsfeld zum Beispiel eine Kurzbeschreibung der durchgeführten Detail-
Änderungen beinhalten, damit auch Adhoc eine Anleitung zur Neuerstellung im System
verfügbar ist.
Ihr Ansprechpartner
Sollte die Rolle schon existieren, im Expertenmodus "Profil löschen und neu anlegen"
auswählen.
Ihr Ansprechpartner
Ihr Ansprechpartner
Ihr Ansprechpartner
In den Berechtigungen der Rolle Z_SAP_ALL sind nun folgende Anpassungen durchzuführen.
Die Objekte können über Strg-F einfach gesucht werden.
1. Debug nur mit Anzeige - B-Objekt: S_DEVELOP - Aktivität von "*" auf 03 (anzeigen)
2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 - Aktivität von "*" (all) auf 08
(anzeigen)
3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG - Aktivität von
"*" (all) auf "03" (anzeigen)
4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT - Aktivität von "*"
(all) auf "REA" (anzeigen)
5. Systemberechtigungen – B-Objekt S_ADMI_FCD - Alle Aktivitäten außer RSET
3 Nacharbeiten
Danach wie gewohnt generieren und transportieren. Das Vorgehen muss jedes Mal
wiederholt werden, wenn SAP_ALL neu generiert wird (z.B. weil neue Berechtigungsobjekte
importiert wurden).
War dieser Artikel hilfreich für Sie? Ich freue mich über ein kurzes Feedback, zum
Beispiel unter diesem Beitrag.
Ihr Ansprechpartner
"Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt
stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme
lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr
Vorlaufzeit realisieren können."
Sarah Fritzenkötter
Inbound Sales Manager
Mail: fritzenkoetter@rz10.de
Telefon: 0211 9462 8572 25