SAP Basis & Security 2018 2019-Rz10-Ebook-2018-2019 PDF

SAP Basis & Security 2018/2019
ausgewählte Artikel von RZ10.de in der Version vom 18.01.2019
Schnelle Hilfe benötigt?

Nutzen Sie unsere SAP Basis & Security Expert Session!
SAP Basis & Security Experte Tobias Harmes:
"Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt
stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme
lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr
Vorlaufzeit realisieren können."
Unverbindliches Angebot anfordern unter:

https://rz10.de/online-beratung-tobias-harmes/
Noch Fragen? Ihre Ansprechpartnerin:
Sarah Fritzenkötter
Inbound Sales Manager
Mail: fritzenkoetter@rz10.de
Telefon: 0211 9462 8572 25
rz10.de - die SAP Basis und Security Experten
Inhalt
1 noch… Audi A6 und SAP Security | Tobias Harmes 6
Archiver Stuck: Wenn das SAP System steht 8
Bei uns sorgt die Marketing-Abteilung für Innovation | Tobias Harmes 11
Berechtigungsprüfungen in Z-Reports - Quellcodeanalyse im 13
Transportprozess
Best Practice - Funktionsrollen mit dem RoleDesigner konzipieren 18
Best Practices - SAP Rollentypen im Überblick 22
Betatest: secinfo und reginfo Generator für SAP RFC Gateway 27
Blockchain Technologie 31
Datenschutz Auskunft mit SAP Read Access Logging (RAL) 38
Der DSAG-Prüfleitfaden 49
Die 5 häufigsten Fehler bei Adobe Document Services (ADS) Installationen 52
- mit Jeremia Girke
Digital signierte SAP Hinweise durch Einbau der Note 2408073 nutzen 56
DSAG Jahreskongress 2018 - meine SAP Basis & Security Nachlese 59
Externe Transportaufträge importieren - geht das auch einfacher? 64
Externe Transportaufträge in ein SAP-System importieren 68
HANA DB mit Eclipse erste Schritte 71
Internes Kontrollsystem für SAP IT Security - mit Hendrik Heyn 82
Konfiguration des Security Audit Log 85
Konsistenzprüfung von Objekten über mehrere Systeme 87
Kontrolle über die Import-Reihenfolge von Transporten 90
Login-Historie von Usern mittels SAL ermitteln 92
Löschen oder Bearbeiten in der SU01 führt zum Dump MESSAGE_TYPE_X 95
Ihr Ansprechpartner
Sarah Fritzenkötter Tel.: 0211 9462 8572-25

Inbound Sales fritzenkoetter@rz10.de
Manager https://rz10.de
Seite 2
Managed Services Q&A: Bedeutung und Nutzen für Unternehmen - mit 97
Maximilian Job
Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen 99
Minimal berechtigte SAP Rollen erstellen 102
Notfallbenutzerkonzept in SAP - Funktionsweise und Vorgehen 105
PFCG Massenkopieren Rollen – Tipps zum optimalen Vorgehen 109
Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen 115
Precalculation Server selber installieren 119
Prüfregelwerke für SAP - mit Sebastian Schreiber 124
Regeln des erfolgreichen Testmanagements 126
Revisionssicheres Berechtigungskonzept toolgestützt generieren und 128
überwachen
RFC-Callback Positivliste generieren 130
RSMEMORY: Dynamisches setzen von Speicherparametern 133
SAP absichern - Jenseits von Berechtigungen 137
SAP Business Warehouse: Quellsystem zurückbauen mit 139
Funktionsbausteinen
SAP Gateway Installation - Deployment Optionen 143
SAP Gateway und Infrastruktur für SAP Fiori - mit Rico Magnucki 146
SAP HANA DB to go - HANA 2.0 Express Edition als VM installieren 149
SAP Identity Management FAQ 165
SAP PFCG Standard-Rollen für Fiori Apps ermitteln 169
SAP RFC Gateway Sicherheit durch secinfo und reginfo ACL Dateien 173
SAP S/4HANA FAQ - Wann muss ich auf S/4HANA gehen? - mit Ingo 176
Biermann
Ihr Ansprechpartner

Seite 3
SAP S/4HANA FAQ - Was ist eigentlich dieses HANA? - mit Ingo Biermann 178
SAP S/4HANA FAQ: Ist das noch ABAP? - mit Ingo Biermann 181
SAP Salesforce Integration - im Gespräch mit Robert Richter 184
SAP Security im Wandel – SAP HANA Berechtigungen 188
SAP Support als managed Services - wie funktioniert das eigentlich? 192
SAP TechEd 2018 Video Empfehlungen 195
SAP Web Dispatcher Security - Einschränkung des Admin-Zugriffs 198
SAP Web Dispatcher: Lastverteilung für Webanwendungen 200
SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung 204
Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren 207
SoD-Troubleshooting - Funktionstrennungskonflikte in SAP 210
Tagesworkshop 08.03.2018 – EU-Datenschutzgrundverordnung und 214
Berechtigungen in 2018
Tipps zur Anbindung eines HANA-Systems an den SAP Solution Manager 216
Toolgestützt Funktionsrollen entwickeln 219
Top 3 Basis-Fragen zur Einführung von Adobe Forms in SAP - mit Jeremia 225
Girke
Topf sucht Deckel – Connect 2018 – SAP Partner Summit in Düsseldorf 227
Transaktionen richtig aus einer Rolle entfernen 230
Treffen auf der Warm-Up Party zum DSAG Jahreskongress 2018 in Leipzig 233
Tür zu - es zieht! - SAP Web Dispatcher URL Filter konfigurieren 234
Umbenennen von Masterrollen und deren Ableitungen in SAP 240
Umgang mit inaktiven Benutzern 244
Umsetzung des ACID-Prinzips mit der HANA DB 247
Usage Procedure Logging im SAP Solution Manager 251
Ihr Ansprechpartner

Seite 4
Veraltete Space Statistics im Early Watch Report 253
VPN für Fiori Apps – mit Tim Kostka 255
Warum die meisten Berechtigungskonzepte scheitern | Tobias Harmes 260
Welcher User hat diese Transaktion genutzt? – SAP Transaktionsnutzung 262
ermitteln
WhatsApp vom SAP Support 269
Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL 273
Ihr Ansprechpartner

Seite 5
1 noch… Audi A6 und SAP Security

| Tobias Harmes
von Tobias Harmes - Beitrag vom 2. November 2018 - Artikel online öffnen
Neulich bin ich mit dem neuen Audi A6 gefahren. Und meine Interpretation einer
Kontrollleuchte hatte erstaunliche Parallelen zum Thema SAP Security.
Viel Spaß allen mit dieser Episode! Vielen lieben Dank für all euren Support!
Für unterwegs - den Podcast abonnieren: https://rz10.de/podcast

Oder auf youtube:
YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Ich hatte den neuen Audi A6 Limousine eigentlich nicht gebucht. Der Flieger war spät, Sixt
hatte keine Auswahl mehr, ich bekam ein Upgrade. Gut, ich habe mich auch nicht lange
gewehrt. Auf dem Weg zum Kundenworkshop ging dann die letzte Meile über die
Landstraße. Und dort hatte ich dann plötzlich ein neues Kontrolllämpchen: ein Fuß. Ein paar
Kilometer später und ausprobieren (wann zeigt er es an) hatte ich dann irgendwann kapiert,
was das Auto wollte. Ich sollte den Fuß vom Gas nehmen - und der Wagen beschleunigte
wie von Geisterhand auf Strich 70 - wie an dieser Stelle das Tempolimit vorgab. Es war ein
neues Feature: Prädiktiver Effizienzassistent heißt das bei AUDI. Mit automatischem
Abbremsen vor Kurven. Ich bin selten so entspannt (und so korrekt hinsichtlich des Tempos)
auf einer Landstraße unterwegs gewesen.
Audi-Profis werden jetzt vermutlich sagen: wie kann man das Feature denn nicht kennen?
Ich hätte auch ins Handbuch gucken können. Tja, aber ich wollte ja auch pünktlich sein.
In Strategieworkshops zum Thema SAP Berechtigungen rede ich auch oft über
Warnanzeigen und Kontrollleuchten. Manche Meldungen wie "SAP_ALL in technischen
Usern" oder "Azubi mit mehr Rechten als der FI-Keyuser" werden weggedrückt wie
Wischwasser-Warnungen. Irgendwann gesellen sich zu den gelben Symbolen auch rote
Symbole. Und dann wird es teuer. Auf Verschleiß fahren - sowas würde man beim Auto
nicht machen. Das liegt aber auch daran, dass bei einem Auto die Warnmeldung viel klarer
Ihr Ansprechpartner

Seite 6
sind als bei SAP Security.

Gerade deshalb: wer hier die Lämpchen ignoriert riskiert wie beim Auto eine Panne,
vielleicht sogar einen Crash. Nicht alle Lämpchen bedeuten, dass man in die Werkstatt
muss. Manchmal sind es auch Dinge wie das Symbol mit dem Fuss, ein Anzeichen, dass es
effizienter ginge.
Wo lassen Sie Kontrolllämpchen blinken mit Blick auf die Uhr und das Budget? Wo haben Sie
selbst schon solche Erfahrungen gemacht? Ich würde mich freuen, von Ihnen zu hören.
Fehlerspeicher auslesen, Lämpchen zurücksetzen und Effizienz-Beratung:
https://rz10.de/angebot/strategieworkshop-berechtigungen/
Für den Fall, dass Sie gar keine Lämpchen sehen:
Kostenloser Basis-Selbst-Check: https://rz10.de/angebot/hgb-check-sap-security-check/
Kostenpflichtiger Profi-Check: https://rz10.de/angebot/sap-security-check/
Mit freundlichen Grüßen,
Tobias Harmes
PS: Wenn Sie Fragen haben: Sie können mich für eine Expert Session buchen:
Ihr Ansprechpartner

Seite 7
Archiver Stuck: Wenn das SAP

System steht
von Maria Joanna Born - Beitrag vom 4. Juli 2018 - Artikel online öffnen
Kennen Sie diese Situation? Bei jedem Versuch der Anmeldung an Ihrem SAP System
bekommen Sie nur eine Sanduhr zu sehen? Falls Sie bereits angemeldet sind, ist es Ihnen
nicht möglich eine neue Transaktion aufzurufen, weil das System diese scheinbar bis in alle
Ewigkeit lädt? Hintergrundjobs laufen auf Time-Outs? Nichts geht mehr? Die Ursachen
hierfür können vielfältig sein. Es gibt jedoch eine Ursache, die besonders häufig vorkommt -
den sogenannten Archiver Stuck. Was das ist, wie Sie diese Situation erkennen und beheben
können, will ich Ihnen in diesem Beitrag erklären.
Oracle-Datenbanken schreiben für jede Schreib-Operation, die auf der Datenbank getätigt
wurde, Einträge in ein Redolog. Hierbei handelt es sich um eine Datei, die zunächst auf dem
Server der Datenbank abgelegt wird. In der Regel haben Sie bereits eine Methode zur
regelmäßigen Archivierung und Löschung dieser Dateien eingerichtet, da ansonsten in
Dateisystem bis ins unendliche wachsen müsste. Es kann aber vorkommen, dass diese
Methode nicht schnell genug greift, weil zum Beispiel deutlich mehr Operationen stattfinden
als erwartet. Außerdem ist es möglich, dass der Archivierungsserver voll ist, keine
Verbindung zu diesem hergestellt werden kann oder dieser sogar defekt ist.
Was passiert dann? Die Datenbank schreibt weiter Redologs und das Dateisystem füllt sich
langsam aber sicher. Irgendwann ist es zu 100% gefüllt. Das System wartet darauf,
Änderungen protokollieren zu können und es werden keine weiteren Ressourcen mehr frei.
Auch wenn Sie jetzt einen Weg finden, Ihre Archivierungsmethode wiederherzustellen,
indem also zum Beispiel das Netzwerk repariert wird, läuft das Archivierungsprogramm
nicht mehr, da es zum arbeiten freien Speicher in eben diesem Dateisystem bräuchte. Das
nennt man einen Archiver Stuck.
Wie erkennen Sie einen Archiver Stuck?

Das Hauptsympton eines Archiver Stucks kennen Sie bereits, egal was Sie im System tun
wollen, Sie bekommen nichts als eine Sanduhr zu sehen. Es gibt jedoch noch weitere
Symptome, die Ihnen dabei helfen den Archiver Stuck deutlich von anderen Ursachen zu
unterscheiden.
Ihr Ansprechpartner

Seite 8
1. Sie können sich nicht mehr an der Datenbank anmelden.

Beim Versuch, sich z. B. mit sqlplus an der Datenbank anzumelden, erhalten Sie
diese oder eine ähnliche Fehlermeldung:
ORA-00257: archiver error. Connect internal only, until freed
2. Es sind Fehlermeldungen bezüglich eines I/O-Errors im Datenbank-Trace zu sehen.

3. Das Dateisystem ist zu 100 % gefüllt. Im Idealfall wissen Sie bereits, wo ihre
Datenbank die Redologs hinschreibt. Ein Standardpfad ist
$ORACLE_HOME/oraarch/oraSID
Ansonsten gibt der Datenbank-Parameter
log_archive_dest
Auskunft über diesen Speicherort. Dieser ist im Startprofil der Datenbank

(iniSID.ora) angegeben.
4. Alle Workprozesse sind belegt. Dieses Symptom kann zusätzlich zu den oben
genannten auftreten, muss es aber nicht. Es kann zu dieser Situation kommen, weil
kein Workprozess mehr Buchungen auf der Datenbank durchführen kann. Der
aktuelle User oder Job belegt dann dauerhaft seinen Workprozess und gibt diesen
nicht wieder frei. Dadurch sind sehr schnell alle Workprozesse belegt. Wenn Sie sich
nicht mehr am System anmelden können, können Sie dies unter Unix mit Hilfe des
Tools dpmon einsehen. Falls Sie mehrere Applikationsserver betreiben, müssen Sie
diesen Befehl auf dem jeweiligen Applikationsserver ausführen. Wichtig ist, dass
dieses Symptom alleine kein Hinweis auf einen Archiver Stuck ist. Es kann diverse
andere Ursachen haben.
Behebung eines Archiver Stuck

Wenn der Archiver Stuck erstmal aufgetreten ist, haben Sie nicht mehr viele Möglichkeiten,
ihn zu beheben. Für jede der Lösungen ist Geschwindigkeit von Vorteil. Stellen Sie also
vorher unbedingt sicher, dass der Archiver loslaufen kann, wenn er erstmal Platz im
Ihr Ansprechpartner

Seite 9
Dateisystem hat.
Die beste Lösung ist, sog. Dummy-Dateien, also Dateien ohne Inhalt, aus dem Verzeichnis zu
löschen, sofern solche Dateien vorhanden sind. Eventuell ist es auch möglich, das
Dateisystem online zu erweitern und so kurzfristig mehr Platz zu schaffen. Sie können auch
den Speicherort für für die Dateien kurzfristig zu ändern. Dafür müssen Sie den o.g.
Parameter anpassen und die Datenbank neustarten.
Als letzten Ausweg können Sie die Redologs auch verschieben. Ich rate Ihnen, diese nicht zu
löschen, denn ohne sie können Sie die Datenbank nicht wiederherstellen. Verschieben Sie
am besten die neusten Dateien, um die Reihenfolge der Dateien zu erhalten. So können Sie
zwar kurzfristig Platz schaffen um den Archiver zu starten, aber die verschobenen Dateien
werden nicht archiviert. Im Fall eines Hardware-Fehlers sind diese ggf. nicht
wiederherstellbar. Wenn der Archiver Stuck endgültig behoben ist, können Sie ein
vollständiges Backup machen. Danach werden die verschobenen Redolog-Dateien sehr
wahrscheinlich nicht mehr benötigt.
Um einem Archiver Stuck vorzubeugen gilt es vor allem abzuschätzen, wie viele Redolog-
Dateien in Ihrem System pro Minute geschrieben werden und die Archivierung dieser
entsprechend des vorhandenen Platzes auf dem Dateisystem einzuplanen. Ich empfehle
Ihnen, als Puffer manuell Dummy-Dateien anzulegen, die etwa 5% des Platzes auf dem
Dateisystem einnehmen. Dieser Puffer kann im Notfall einfach gelöscht werden, um einen
Archiver Stuck schnell beheben zu können, ohne dass relevante Daten verloren gehen.
Haben Sie Erfahrungen mit Archiver Stucks und kennen vielleicht noch andere
Lösungsmöglichkeiten? Ich freue mich über Ihre Kommentare.
Ihr Ansprechpartner

Seite 10
Bei uns sorgt die Marketing-

Abteilung für Innovation | Tobias
Harmes
"Never change a running system" war auch jahrelang meine Devise – bis ich neulich ein
interessantes Interview gehört habe. Es geht um nichts weniger als die Bankrott-Erklärung
der IT beim Thema Innovation.
Oder auf youtube:
Als Mitarbeiter der IT war jahrelang ein quasi verdeckter Eintrag in der Stellenbeschreibung
auch, die neueste Technologie in das Unternehmen reinzutragen. Innovation aus der IT. So
jedenfalls war es Anfang der 2000er, wo noch nicht jeder Zugriff auf Google hatte. Für mich
war das eigentlich auch immer noch die Wahrheit. Denn IT ist doch das, was das
Unternehmen am Laufen hält und den Wettbewerb auf Abstand.
Bis ich neulich den Podcast von t3n mit dem Titel "Warum Firmen-IT so schlecht ist" gehört
habe. Darin beschreibt Olaf Kapinski seine Erfahrungen aus mehr als 17 Jahren IT-Leitung.
Und einem Problem, das mir immer wieder im Bereich Security entgegenschlägt: Dass die IT
in Wirklichkeit die größte Bremse der Innovation ist.
Aber nicht, weil ITler Innovation doof finden. (Hallo, es hat ja wohl jeder von uns Cloud-
Services zu Hause, GoogleMail und DropBox senden ihre Grüße). Sondern weil die Haupt-
KPI, der Haupt-Messpunkt seit Jahrzehnten nur eins ist: "Verfügbarkeit. Verfügbarkeit.
Verfügbarkeit."
Totale Fixierung auf Verfügbarkeit und gleichzeitig der Anspruch auf Innovation – das passt
ungefähr so harmonisch zusammen, wie Tempo 200 fahren und den Rückwärtsgang
Ihr Ansprechpartner

Seite 11
einlegen. Und deshalb wird jede Anfrage aus dem Fachbereich mit einem genervten "Die
mal wieder mit der Cloud" quittiert. Dahinter steckt aber nicht Faulheit, sondern der
durchaus erfolgreiche Erfahrungswert: "Never change a running system."
So stehen sich Fachbereich und IT als verhärtete Fronten gegenüber, die selbst geschaffen
worden sind… und der Geschäftsführer hinter vorgehaltener Hand gibt zu: "Bei uns sorgt die
Marketing-Abteilung für Innovation". Frei nach dem Motto: Die machen ja sowieso die ganze
Zeit Instagram, Facebook und so. Da fällt das bisschen Office 365 und Salesforce Marketing
Cloud nicht auf.
Die IT-Infrastruktur von Unternehmen ändert sich schon seit mehreren Jahren radikal. Die
Grenzen von On-Premise und Cloud verschwinden. Das Thema Security-by-design und
Security-by-Default war bisher sinnvoll – mit der Neuordnung der EU-DSGVO steht es jetzt
sogar im Gesetz.
Hier wäre mal eine Gelegenheit innovativ voranzugehen und nicht nur gerade so hoch zu
springen, wie der Prüfer die Latte legt. Es geht nämlich auch anders. In meiner Nachlese
vom DSAG Kongress 2018 berichte ich über die Rehau AG. Dort hat man ein IDM-System
aufgesetzt, bei dem die Anwender ohne große Schulung Berechtigungen im Self-Service
anfordern können. Es wird im System dann auch provisioniert – über moderne
Nutzeroberflächen.
Hier muss sich die IT ganz sicher nicht verstecken.
Manchmal muss es auch einen Impuls von außen geben – so etwas bieten wir an. In meinen
Strategieworkshop für SAP Berechtigungen gehe ich zwei Tage lang bei Ihnen vor Ort auf
Ihre Ausgangslage ein. Dort gebe ich Empfehlungen, was Sie tun können, um Sicherheit und
Innovation zu verbinden. Wenn Sie das interessiert, melden Sie sich gerne bei mir.
Was denken Sie darüber?
Tobias Harmes
PS: Wenn Sie Fragen haben: Sie können mich für eine Expert Session
buchen: https://rz10.de/online-beratung-tobias-harmes/
Ihr Ansprechpartner

Seite 12
Berechtigungsprüfungen in Z-
Reports - Quellcodeanalyse im
Transportprozess
von Jonas Krueger - Beitrag vom 29. August 2018 - Artikel online öffnen
Auch ein gutes Berechtigungskonzept ist nur in Verbindung mit ausreichenden

Berechtigungsprüfungen tragfähig. Besonders eigenentwickelte Z-Programme im SAP
System können weitreichende Sicherheitslücken aufwerfen, wenn Berechtigungsprüfungen
nicht funktional implementiert wurden. Denn wenn die Berechtigungen gar nicht geprüft
werden, ist es unerheblich, welche Berechtigungen ein Nutzer besitzt.
Die Verwendung von Authority Checks in selbst entwickelten ABAP Reports obliegt der
Verantwortung jedes Entwicklers. Durch das SAP Backend werden selbstständig keine
Berechtigungsprüfungen, beispielsweise beim Zugriff auf Tabelleninhalte, durchgeführt.
Wie Sie durch automatische Quellcodeanalyse effektiv sicherstellen können, dass alle
eigenentwickelten Programme die notwendigen Sicherheitsmechanismen enthalten,
möchte ich im Folgenden erläutern.
Berechtigungsprüfungen in ABAP Programmen

Die Berechtigungsprüfung wird in ABAP durch das Sprachelement AUTHORITY-CHECK
implementiert, durch das überprüft wird, ob der ausführende Benutzer ein
Berechtigungsobjekt mit einer festgelegten Ausprägung besitzt.
Ein beispielhafter Authority Check kann wie folgt aussehen:
AUTHORITY-CHECK OBJECT 'S_TCODE'

ID 'TCD' FIELD 'SE16N'
ID 'ACTVT' FIELD '03'.
IF sy-subrc <> 0.
MESSAGE 'Keine ausreichende Berechtigung' TYPE E.
ENDIF.
Durch diese Prüfung wird überprüft, ob der Benutzer in seinem

Benutzerberechtigungspuffer (Transaktion SU56) das Berechtigungsobjekt S_TCODE mit der
Ihr Ansprechpartner

Seite 13
Ausprägung SE16N im Feld TCD besitzt (ob also der User die Transaktion SE16N aufrufen
darf). Es ist bei der Prüfung unerheblich, aus welcher Rolle oder welchem Profil der Benutzer
dieses Berechtigungsobjekt erhalten hat.
Dokumentation zu Berechtigungsobjekten
nachschlagen
Um einen Authority Check umzusetzen, benötigt der Entwickler Informationen zu den in
System vorhandenen Berechtigungsobjekten und zur Bedeutung der jeweiligen Felder und
Ausprägungen. Diese können in der Regel der Dokumentation der Berechtigungsobjekte
entnommen werden.
Alle im SAP System vorhandenen Berechtigungsobjekte sind in der Transaktion SU21
einsehbar. Hier kann auch auf die Dokumentation zu dem Berechtigungsobjekt zugegriffen
werden und die Bedeutung der zulässigen Aktivitäten nachgelesen werden.
Ihr Ansprechpartner

Seite 14
Implementierung von Berechtigungsprüfungen

durch Quellcodeanalyse überwachen
SAP Systemverantwortliche stehen vor der Herausforderung, die korrekte Umsetzung der
Zugriffskontrolle in ABAP Programmen zu überwachen. Bei Transporten neuer oder
veränderter ABAP Programme steht die Frage im Raum, ob Berechtigungsprüfungen korrekt
eingebaut wurden. Bei der Sicherstellung korrekter Sicherheitsprüfungen können
Werkzeuge zur Quellcodeanalyse unterstützen.
Der XAMS ABAP Alchemist verfügt über umfangreiche Funktionen zur Analyse des ABAP
Quellcodes. Der Prüfumfang kann durch Auswahl vordefinierter Prüfungen individuell
Ihr Ansprechpartner

Seite 15
festgelegt werden.
Neben dem einmaligen Scan aller eigenentwickelten ABAP Programme in Ihrem SAP System
kann der ABAP Alchemist auch für eine regelmäßige Überprüfung konfiguriert werden. Die
Durchführung der Prüfungen kann in den Transportprozess eingebunden werden. So kann
sichergestellt werden, dass Programme mit fehlenden Berechtigungsprüfungen nicht
unbemerkt in die Produktivumgebung gelangen.
Die Prüfung durch den ABAP Alchemist stellt somit eine Möglichkeit zum automatisierten
Testen des Quellcodes bereit. Die Prüfung kann hierbei, wie im folgenden Screenshot zu
sehen, mit verschiedenen Einstellungen konfiguriert werden: von einer Warnung des
Benutzers bis hin zu einer Unterbrechung des Transportprozesses können Einstellungen
getroffen werden, was im Falle einer Feststellung passieren soll.
Unsere Empfehlung: Prüfung der Z-Reports im

Zusammenhang mit Berechtigungsredesign
Im Rahmen eines Berechtigungsredesigns empfehlen wir, zu Beginn des Projektes die Z-
Programme auf Berechtigungsprüfungen zu überprüfen und ggf. zu ergänzen. Bei einem
Berechtigungsredesign sollen die Nutzer passgenaue Berechtigungen für ihre Aufgaben
erhalten. Um die benötigten Berechtigungen durch einen Berechtigungstrace zu ermitteln,
ist es daher sinnvoll, die Berechtigungsprüfungen zu Projektbeginn zu überprüfen und ggf.
zu ergänzen, sodass sie im Berechtigungstrace sichtbar sind.
Wenn Sie mehr über unsere standardisierte Vorgehensweise beim SAP
Berechtigungsredesign erfahren möchten, sprechen Sie mich gerne jederzeit an oder lesen
Sie mehr unter https://rz10.de/angebot/sap-berechtigungskonzept/
Nutzen Sie bereits automatisierte Quellcodeanalyse in Ihrem SAP System? Erzählen Sie mir
Ihr Ansprechpartner

Seite 16
gerne von Ihren Erfahrungen damit. Ich freue mich über eine Rückmeldung in den
Kommentaren oder per E-Mail.
Ihr Ansprechpartner

Seite 17
Best Practice - Funktionsrollen mit

dem RoleDesigner konzipieren
von Christian Schröer - Beitrag vom 18. Juni 2018 - Artikel online öffnen
Schluss mit Tabellenkalkulationen, mehrwöchigen Iterationen und nachgelagerten

Bereinigen von kritischen Berechtigungen. Ich möchte Ihnen mit diesem Blogbeitrag einen
toolgestützten Best Practice-Ansatz zum Aufbau eines Funktionsrollen-Konzeptes für
Fachabteilungen mit dem XAMS RoleDesigner vorstellen
.
Der RoleDesigner ist ein Modul der Xiting Authorizations Management Suite, einem
umfassenden Werkzeug zur Unterstützung bei Berechtigungsredesigns und dem Betrieb
eines neuen Berechtigungskonzepts. Dieses Modul findet hauptsächlich zu Beginn eines
Berechtigungsredesigns, in der Konzeptionsphase, seine Anwendung und bietet hier viele
Vorteile gegenüber klassischen Ansätzen mit Tabellenkalkulationen, wie sie in
Berechtigungsredesigns lange Zeit genutzt wurden.
Wie funktioniert der RoleDesigner?

Das Hauptbild des RoleDesigners ist ein virtuelles Cockpit, in dem Benutzer nach Funktionen
gruppiert, mit virtuellen Rollen provisioniert und diese mit Transaktionen befüllt werden
können.
Ihr Ansprechpartner

Seite 18
Linksstehend finden sich alle Transaktionen, die von den Benutzern im Scope während
eines bestimmten Zeitraums aufgerufen wurden. In der Mitte sind die (virtuellen) Rollen des
Projektes aufgelistet. Rechts finden sich die Benutzer, gruppiert nach Abteilungen.
Transaktionen können via Drag&Drop in Rollen aufgenommen werden, Rollen den
einzelnen Benutzern oder ganzen Gruppen von Benutzern zugewiesen werden. Für jeden
Benutzer wird angezeigt, wie hoch der Abdeckungsgrad der aufgerufenen Transaktionen
durch die neuen Rollen ist. Wir empfehlen hier, mindestens 90% zu erreichen und auf 100%
abzuzielen. Ausnahmen können in eine Blacklist aufgenommen werden, sodass diese
Transaktionscodes nicht in die Berechnung des Abdeckungsgrades einfließen.
Woher kommen die Daten?

Eine Gruppierung der Nutzer kann über die Benutzergruppe, Funktion oder Abteilung
erfolgen. Diese Daten werden direkt aus dem Benutzerstamm gelesen und können im
RoleDesigner angepasst werden, um eine bessere Gruppierung zu erreichen. Diese
Änderungen haben keine Auswirkungen auf den Benutzerstamm.
Der RoleDesigner verwendet die in der ST03N erfassten Aufrufstatistiken. Wenn Sie ein
Redesign planen, empfehlen wir daher, frühzeitig den Zeitraum für die Erhebung der ST03N-
Daten auf 13 Monate einzustellen, um Jahresabschlüsse und Quartalsabschlüsse in den
Scope zu nehmen. Mehr zur ST03N und wie Sie die Parameter einstellen können erfahren
Sie in folgendem Beitrag:
SAP ST03N: Änderung der Aufbewahrungszeit von genutzten Transaktionen
Der Rollenbau erfolgt im Entwicklungssystem, im Vorfeld werden jedoch die benötigten
ST03N-Daten aus der Produktion exportiert. So erhalten wir für jeden Benutzer eine Liste
aller von ihm benötigten Transaktionen im Rahmen der täglichen Ausübung seiner Funktion.
Wen muss ich an den Tisch holen?

Jede Berechtigungsrolle benötigt einen Rollenverantwortlichen, der über deren Zuweisung
und Änderungen am Inhalt auf Transaktionslevel entscheidet. Wir haben gute Erfahrungen
damit gemacht, diese Verantwortung in die Fachbereiche zu geben und je Fachabteilung
einen dedizierten Rollenverantwortlichen für die Funktionsrollen der Abteilung zu
benennen. Dieser sollte frühzeitig involviert werden, im Idealfall schon zur
Rollenkonzeptionsphase. Wichtig ist hier eine klare Aufgabenverteilung: Der
Rollenverantwortliche ist fachlich verantwortlich, das heißt er entscheidet darüber, welche
Transaktionen/Anwendungen mit dieser Funktion ausgeführt werden dürfen und wer die
Ihr Ansprechpartner

Seite 19
verantwortete Rolle zugewiesen bekommen darf. Die technische Umsetzung und

Ausprägung der Rolle liegt in der IT.
Durch die einfache Änderbarkeit der konzipierten Rollen im RoleDesigner können hier
gemeinsam mit dem Rollenverantwortlichen verschiedene Szenarien durchgespielt und
verschiedene Ansätze ausprobiert werden, ohne im System etwas zu ändern.
Wie können kritische Berechtigungen identifiziert

werden?
Obwohl zu diesem Zeitpunkt des Projektes nur die Transaktionen angeschaut werden, so ist
es trotzdem möglich, kritische Berechtigungen und SoD-Konflikte zu ermitteln, die
üblicherweise auf Berechtigungsobjekt-Ebene definiert werden. Grund dafür ist die Arbeit
mit der SU24 - der Transaktion zur Pflege kundenindividueller Vorschlagswerte. Zu jeder
Transaktion wird eine Reihe vorgeschlagener Berechtigungsobjekte von der SU24 geliefert.
Diese Vorschlagswerte können um eigene Vorschlagswerte ergänzt werden. Der
RoleDesigner kann die SU24-Daten auslesen und verarbeiten und so Konflikte aufdecken,
bevor die Rollen überhaupt in der PFCG angelegt wurden.
Wie geht es danach weiter?

In den Berichten des RoleDesigners können alle konzipierten Rollen mit einem Klick in der
PFCG angelegt werden. Transaktionscodes, die der Rolle zugewiesen worden, werden ins
Menü der Rolle aufgenommen, sodass auch die Berechtigungsvorschlagswerte aus der
SU24 den Weg in die Rollen finden.
Für einen späteren GoLive der neuen Rollen kann die konzipierte Benutzer-Rollen-
Zuordnungsmatrix exportiert werden, diese lässt sich dann zum GoLive direkt ins System
importieren und setzt die dort beschriebenen Zuordnungen live.
Mit dem hier beschriebenen Ansatz haben die Rollen natürlich noch nicht den Reifegrad, um
live gesetzt zu werden. Stattdessen haben wir je Abteilung verschiedene Funktionen
identifiziert, für diese Funktionsrollen aufgebaut und für diese Rollen alle beinhalteten
Transaktionen ermittelt.
Stehen Sie vor der Herausforderung, ein neues, Funktionsrollen-basiertes

Berechtigungskonzept implementieren zu wollen? Welche Erfahrungen haben Sie bei der
Ihr Ansprechpartner

Seite 20
Konzeption eines Rollenkonzeptes für Ihre Fachabteilungen gemacht? Ich freue mich auf
Ihre Fragen und Anregungen.
Ihr Ansprechpartner

Seite 21
Best Practices - SAP Rollentypen

im Überblick
von Luca Cremer - Beitrag vom 7. Januar 2019 - Artikel online öffnen
SAP Berechtigungsrollen können auf verschiedenste Weise genutzt werden. Dazu werden
üblicherweise SAP Rollentypen unterschieden. In diesem Beitrag möchte ich Ihnen die von
uns am häufigsten genutzten Typen und deren Funktionsweise einmal erklären.
Neben denen im SAP Standard vorgesehenen Rollentypen gibt es Unterscheidungen von

Berechtigungsrollen hinsichtlich ihrer Verwendung im Unternehmenskontext. Warum das
sinnvoll ist und wie Sie diese Rollen in Ihrem Unternehmen nutzen können, möchte ich
Ihnen in dem folgenden Beitrag näher bringen.
SAP Standard Rollentypen

SAP unterscheidet zwischen zwei verschiedenen Typen von Rollen. Hier gibt es die
Einzelrollen und Sammelrollen.
Diese unterscheiden sich, da sie SAP-technisch einen anderen Typen widerspiegeln.

Sammelrollen sind ein Zusammenschluss von mehreren Einzelrollen. Bei der Zuweisung
einer Sammelrolle zu einem Benutzer werden die zugeordneten Einzelrollen erkannt und
dem User indirekt über die Sammelrolle zugewiesen.
In der SU01 sieht das dann wie folgt aus:
Ihr Ansprechpartner

Seite 22
SAP Rollentypen
Hier ist in der rechten Spalte auch die Art der Zuweisung zu erkennen. Die unteren beiden
Rollen stammen in diesem Fall aus einer Sammelrolle und sind dem Benutzer damit nur
indirekt zugewiesen.
Verwendung von Sammelrollen
Fraglich ist ob und in welcher Form Sammelrollen sinnvoll eingesetzt werden sollten. Ein
Szenario, welches wir oft sehen ist die Kombination von verschiedenen Einzelrollen für die
Definition eines Arbeitsplatzes. Hier werden dann mehrere Rollen, zur Anzeige und
Änderung von unterschiedlichsten Daten kombiniert, um alle Tätigkeiten eines
Arbeitsplatzes vollkommen abzubilden.
Diese Art der Verwendung ist durchaus sinnvoll und kann die Arbeit bei der Zuweisung von
Rollen, also wenn z. B. ein neuer Mitarbeiter in Ihr Unternehmen kommt, erleichtern.
Problematisch werden Sammelrollen sobald Berechtigungen abgeändert werden müssen

und nicht die bereits erstellten Rollen genutzt werden können. Jetzt muss, als erster Schritt,
analysiert werden an welcher Stelle die Berechtigungen überhaupt zu ändern sind. Wenn
generell Sammelrollen im Einsatz sind, geht hierdurch auch schnell der Überblick verloren
welche Auswirkungen die Anpassung einer Berechtigung in einer einzelnen Rolle hat, da die
Rolle erstens verschiedenen Benutzern direkt zugewiesen sein kann aber auch zweitens
noch in unterschiedlichsten Sammelrollen enthalten sein könnte.
Ihr Ansprechpartner

Seite 23
Aufgrund der Übersichtlichkeit und Nachvollziehbarkeit von zugewiesenen Berechtigungen

empfehlen wir deshalb die reine Verwendung von Einzelrollen.
Rollentypen - Best Practices

Neben der technischen Unterscheidung von Rollentypen aus dem SAP Standard können
Rollen auch zusätzlich aufgrund ihrer Funktion typisiert werden.
Wir nutzen bei unseren Kunden häufig die folgenden Unterscheidungen von Rollentypen:
Referenzrolle
Hierbei handelt es sich um eine Funktionsrolle (Tätigkeitsbezogen) mit den entsprechenden

Berechtigungsobjekten, jedoch ohne Ausprägung der Organisationsebenen. Sie dient
sozusagen als Vorlage für die später folgenden abgeleiteten Rollen und kann deshalb für
verschiedene Organisationseinheiten verwendet werden. Die Referenzrolle wird jedoch
aufgrund der fehlenden Ausprägungen der Organisationsebenen niemals einem Benutzer
zugewiesen.
Funktionsrolle - abgeleitet
Jede Funktionsrolle ist einer Referenzrolle zugeordnet. Die Funktionsrolle enthält die
gleichen Berechtigungsausprägungen wie die Referenzrolle, hat in diesem Fall die
Organisationsebenen jedoch ausgeprägt. Sie bildet also die Rolle, welche tatsächlich den
Benutzer einer Organisationseinheit zugeordnet wird.
Für die Ableitung von Rollen kann der SAP Standard genutzt werden sowie externe Tools
welche hier praktische Funktionen zur Pflege ermöglichen.
Weitere Informationen zu SAP Berechtigungstools
Basisrolle
Ihr Ansprechpartner

Seite 24
Die Basisrolle enthält grundlegende Berechtigungen, welche jedem Benutzer in einem SAP
System zugewiesen ist. Sie beinhaltet deshalb auch keine Ausprägungen von
Organisationsebenen und kann direkt als Einzelrolle jedem Benutzer zugewiesen werden.
Werterolle
Eine Werterolle wird in Sonderfällen eingesetzt, um die Ausprägung eines bestimmten

Berechtigungsfeldes spezifisch zu ermöglichen. Hierbei handelt es sich nicht um
Organisationsebenen, sondern um tatsächliche Felder eines Berechtigungsobjektes. Ein
häufiges Einsatzszenario hierfür ist die Festlegung einer Freigabegrenze für Einkäufer. In der
dazugehörigen Funktionsrolle für den Einkäufer sind alle notwendigen Berechtigungen mit
den Organisationseinheiten schon enthalten, jedoch möchte man hier auf eine globale
Freigabegrenze verzichten, da es unterschiedliche Mitarbeiter gibt wo sich lediglich dieser
Wert unterscheidet.
In einem solchen Fall wird das entsprechende Feld in der Funktionsrolle mit einer Dummy-
Ausprägung versehen. Die Werterolle enthält dann nur das manuell hinzugefügte
Berechtigungsobjekt mit der jeweiligen Ausprägung.
Vorteile dieser Unterteilung von Rollentypen

Wichtig bei der Verwendung solcher Rollentypen ist, dass sich die unterschiedlichen
Rollentypen anhand des Rollennamens identifizieren lassen. Wir verwenden dazu in unserer
Namenskonvention an einer vorgegebenen Stelle ein entsprechendes Kürzel für den
Rollentypen.
Durch diese Vorgehensweise lassen sich die Berechtigungen eines Benutzers anhand seiner
Rollenzuweisung "ablesen". Hier ein Beispiel:
Ein Benutzer hat folgende Rollen zugewiesen:
Basisrolle für jeden SAP User

Funktionsrolle Einkäufer mit Organisationseinheiten für Deutschland
Werterolle mit Freigabegrenze 5.000 €
Hierdurch lässt sich sehr schnell erkennen, dass es sich um einen Mitarbeiter im Bereich
Einkauf handelt, welcher für Deutschland zuständig ist und bis zu 5.000 € große Einkäufe
Ihr Ansprechpartner

Seite 25
selbst genehmigen darf.
Mich interessieren Ihre Erfahrungen in Bezug auf eine sinnvolle Untergliederung von
Rollentypen. Haben Sie noch einen sauberen Überblick über alle verwendeten Rollen in
Ihrem System?
Bei Fragen können Sie sich gerne an mich wenden!
Ihr Ansprechpartner

Seite 26
Betatest: secinfo und reginfo

Generator für SAP RFC Gateway
von Torsten Schmits - Beitrag vom 24. April 2018 - Artikel online öffnen
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo
Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator
entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden
zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien
aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator
dabei hilft.
Möglichkeit 1: Restriktives Vorgehen

Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne
Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber
gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm
erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat
jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen
blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte
manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei
großen Systemlandschaften ist dieses Verfahren sehr aufwändig.
Möglichkeit 2: Logging-basiertes Vorgehen

Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür
müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt
USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der
Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller
externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-
Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt
werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei
Ihr Ansprechpartner

Seite 27
großen Systemlandschaften werden viele externe Programme registriert und ausgeführt,

was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und
daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe
darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine
gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems
gewährleistet ist.
Das Problem: Viel Aufwand

Die Absicherung durch secinfo und reginfo Dateien in einer bestehenden Systemlandschaft
einzuführen ist verbunden mit Risiko und Aufwand. Wie in den beiden Möglichkeiten bereits
angedeutet, steigt der Arbeitsaufwand bei zunehmender Größe der Systemlandschaft stark
an. Entweder werden zeitweise Programmaufrufe blockiert, die eigentlich erwünscht sind
oder es müssen enorm große Gateway-Logs analysiert werden. Würde man sich nun
aufgrund des hohen Arbeitsaufwands dazu entscheiden, dauerhaft auf die Nutzung der
Zugriffskontrolllisten zu verzichten, stellt dies eine große Sicherheitslücke dar. Das
ungeschützte System besitzt keine Einschränkungen bezüglich der externen Dienste, die
sich registrieren dürfen und darüber hinaus sind auch keine Regelungen zur Ausführung
von Programmen vorhanden.
Eine mögliche Konsequenz wäre beispielsweise die Registrierung eines externen Systems
auf dem bösartige Programme vorhanden sind. In dem Moment, wo ohne jegliche Kontrolle
fremde Programme auf dem eigenen System ausgeführt werden, kann man davon
ausgehen, dass großer Schaden angerichtet wird. Dieser reicht beispielsweise von einem
unbemerkten Auslesen von Einkaufs- und Verkaufszahlen über ein Abzweigen finanzieller
Mittel bis hin zu einem Lahmlegen oder Manipulieren des gesamten Systems. Darüber
hinaus ist dieses Szenario auch bei schlecht gepflegten Zugriffskontrolllisten möglich.
Unsere Lösung: secinfo und reginfo Generator für

SAP RFC Gateway
Um das Problem zu lösen, haben wir einen Generator entwickelt, der auf Basis von Gateway-
Logs automatisiert secinfo und reginfo Dateien erstellen kann. Die grundlegende Idee
basiert auf dem Logging-basierten Vorgehen. Er übernimmt die Aufgabe der zeitintensiven
Analyse der Log-Dateien und gewährt darüber hinaus durch die Automatisierung eine
maximale Zuverlässigkeit. Dennoch sollten die Einträge der generierten Dateien von einer
Person überprüft werden. Da es sich bei den als Input genutzten Log-Dateien um sensible
Ihr Ansprechpartner

Seite 28
Daten handelt, verlassen selbstverständlich keine der eingefügten Daten Ihr System.
Weitere Informationen zu dem Generator finden Sie hier.

Haben Sie noch andere Vorgehensweisen zur Erstellung und Verwaltung Ihrer secinfo und
reginfo Dateien? Konnten Sie unseren Generator bereits ausprobieren und haben Wünsche
oder Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre
Ihr Ansprechpartner

Seite 29
Kommentare!
Ihr Ansprechpartner

Seite 30
Blockchain Technologie
von Christian Stegemann - Beitrag vom 27. März 2018 - Artikel online öffnen
Werden Blockchains Wirtschaft und Verwaltung

revolutionieren?
Was ist eine Blockchain?
Eine Blockchain ist eine vollständige und unveränderliche Transaktionshistorie aller

Transaktionen einer dezentralen Community, der jeder, der Teil davon ist, zustimmt. Das
Wort Blockchain fiel erstmalig im Zusammenhang mit Bitcoin als dezentrales Netzwerk für
Zahlungen in der gleichnamigen digitalen Währung. Hierbei beschreibt die Blockchain eine
zugrundeliegende Technologie, in der alle Transaktionen öffentlich und unveränderbar
verzeichnet sind. Diese Transaktionshistorie wird in regelmäßigen Zeitabschnitten
aktualisiert. Jeder Teilnehmer der dezentralen Community akzeptiert sie als Realität,
speichert sie auf seinem Computer ab und kann so jederzeit sicherstellen, dass niemand
Ausgaben doppelt machen kann, da dies anderswo zu einem Konflikt in der
Transaktionshistorie führen würde.
Eine Besonderheit der Blockchain Technologie ist, dass sie das „Double Spending Problem“
gelöst hat. Double Spending bedeutet, etwas doppelt ausgeben zu können, und galt bis
2008 nur durch eine zentrale Institution als lösbar. Double Spending kann am besten
anhand des Beispiels eines Bildes am Handy verstanden werden. Wenn ich es auf Facebook
hochlade, habe ich dabei eine Kopie angefertigt und ich kann das Bild dann zum Beispiel
auch auf Instagram hochladen. Ich habe mein Bild also „doppelt“ verwendet. Dieser Effekt
machte es bis 2008 unmöglich eine vertrauenswürdige dezentrale digitale Währung zu
etablieren.
Wie stehen Blockchain und digitale Währungen zueinander?
Die Blockchain Technologie bietet die Grundlage zur Existenz einer dezentralen digitalen
Währung. Eine solche Währung ist eine Applikation, die aufgrund einer zugrundeliegenden
Blockchain ausgeführt werden kann. Die Blockchain bietet allerdings noch weitaus mehr
Anwendungen wie zum Beispiel Eigentum, Identifikation, Kommunikation usw., die alle eine
zentrale steuernde Partei loswerden wollen.
Ihr Ansprechpartner

Seite 31
Blockchain: ist die unveränderliche Transaktionshistorie einer dezentralisierten

Community. Kryptowährung: Eine Applikation der Blockchain Technologie, um mit Hilfe
einer Blockchain Informationen zur Währung per Kryptographie zu sichern.
Was ist Mining?
Mining ist eines der am meisten missverstandenen Dinge in puncto Kryptowährungen. Die
meisten Leute glauben, dass Mining ein Prozess ist, in dem eine Kryptowährung erstellt
wird. Das ist jedoch falsch. Mining ist ein Prozess in einem dezentralen System, um Konsens
zu kreieren. Konsensus bedeutet Zustimmung und ist die Einigung darüber, was passiert ist
und was nicht. In einem zentralen System erledigt das die zentrale Institution. Zum Beispiel
eine Bank mit all ihren Vor- und Nachteilen. In einem dezentralen System entscheidet die
Gemeinschaft. Um keine Unstimmigkeiten zu haben, wird „Mining“ als eine der
Möglichkeiten verwendet.
Wie entsteht Konsensus in einer Blockchain?
Sobald man sich entscheidet, eine Zahlung an jemanden zu senden, muss man den Private
Key nutzen, um diese zu „signen“ (zu Deutsch: unterschreiben). Dies bedeutet nichts anders
als, dass man eine andere Public Adresse angibt, an die man das Geld senden will, und diese
Transaktion mit seinem eigenen Private Key bestätigt. Es gibt keine zentrale Behörde, an die
man die Informationen senden muss, sondern man verbreitet die Information an alle
umliegenden Miner. Die Miner leiten diese Infos dann an andere Miner weiter, die
wiederum das gleiche tun. Diese sich exponentiell verbreitende Welle an Informationen
erreicht innerhalb weniger Millisekunden das gesamte Netzwerk der dezentralen
Community. Jedes Mal, wenn ein Miner eine Transaktion erhält, prüft er ob diese
Transaktion tatsächlich korrekt ist. Er prüft, welcher Private Key unterschrieben hat, an
welche Public Adresse die Transaktion gehen soll und ob der Sender überhaupt genug
„Coins“ besitzt für diese Transaktion.
Was sind Konsensus-Mechanismen?
Jeder Miner, der durch komplexe mathematische Berechnungen eine Transaktion löst wird
vom Sender durch eine „Fee“ (Transaktionsgebühr) belohnt. Wie wird nun entschieden,
welcher Miner die Transaktionsgebühr bekommt? Denn es kann ja nur einer diese
Belohnung bekommen. Außerdem, was passiert, wenn man ein Double Spending versucht,
Ihr Ansprechpartner

Seite 32
indem man erst eine Transaktion an einen Miner schickt und dann eine andere Transaktion
mit dem selben Geld nur eine Millisekunde später an einen anderen? Diese beiden konnten
sich ja noch nicht austauschen und somit wären unterschiedlich Informationen im
Netzwerk. Einmal hat man das Geld Person A gesendet und einmal Person B. Welcher Miner
hat nun Recht? Die Lösung dazu ist, dass man den Konsensus in Zeitblöcke unterteilt, in
welcher jeweils per Zufall ein Miner ausgewählt wird, der dann bestimmen kann, welche
Transaktion er während dieses Blocks als Konsensus ausgewählt hat. Die Transaktionen
werden in Blöcken der Kette gespeichert. In jeden Block passen nur eine begrenzte Anzahl
an Transaktionen. Der Miner, der die letzte Transaktion eines Blocks löst, bevor ein neuer
generiert wird, bekommt als Belohnung zusätzlich noch einen Bitcoin.
Mittlerweile gibt es auch andere Verfahren einen Konsens zu kreieren. Aber größtenteils
haben sich die folgenden 3 Möglichkeiten als Konsensus-Mechanismus bewährt:
1. Proof of Work (Arbeitsnachweis)

2. Proof of Stake (Geldnachweis)
3. Proof of Importance (Wichtigkeitsnachweis)
Die Unterschiede stelle ich in einem anderen Blog-Beitrag dar.
Wie entstehen Blöcke in einer Blockchain?
Jeder Block baut unwiderruflich auf einen älteren Block auf. Würde man den Block
entfernen, müsste man alle Blöcke darüber ebenfalls entfernen, was die komplette Kette an
Blöcken zerstören würde. Denn jeder neue Block enthält auch Informationen von seinem
Vorgängerblock. Dies ist sehr wichtig für das Verständnis der Unveränderlichkeit einer
Blockchain. Würde man einen Block nachträglich manipulieren, müsste man auch alle
darauffolgenden Blöcke anpassen. Der Aufwand wäre so unendlich groß und teuer das sich
so eine Manipulation praktisch nicht umsetzen lässt. Man kann sich das wie folgt vorstellen.
Eine Blockchain entsteht aus den kryptographisch miteinander verketteten Blöcken (Puzzle)
voller Transaktionen (Puzzleteile) und kann daher nicht verändert werden, ohne die
gesamte Blockchain zu zerstören. Aus diesem Grund wird eine Blockchain als eine
unveränderliche Transaktionshistorie angesehen, auf die sich eine dezentralisierte
Community geeinigt hat. Eine Blockchain ist so programmiert, dass jeder Miner am längsten
Teil der Blockchain mitarbeitet, da dies offensichtlich die Kette ist, in die die meiste Arbeit
investiert wurde. So wird verhindert, dass, nur weil jemand eine neue Kette starten würde,
diese jemand versehentlich als „Realität“ anerkennen würde. Es kommt jedoch hin und
wieder vor, dass zwei Miner, welche an der längsten Kette arbeiten gleichzeitig einen neuen
Ihr Ansprechpartner

Seite 33
Block finden. Dieses bezeichnet man dann als Orphan Blocks. Die Kette hat nun im Prinzip
zwei Endstücke (2 parallele Blocks). Verschiedene Miner arbeiten nun an unterschiedlichen
Enden der Kette. Die Blockchain wird anschließend dort fortgeführt, wo zuerst der nächste
Block gefunden wird. Der andere Block nennt sich dann Orphan Block und ist quasi eine
kleine „tote“ Abzweigung der Blockchain.
Wie erklärt man also die oben genannten Dinge seiner Oma?
1. Um eine Transaktion in Kryptowährungen durchzuführen, muss man nicht wie bei

„normalem“ Geld seiner Bank Bescheid geben, sondern muss mit Hilfe des Private
Keys nachweisen, dass man Eigentümer der „Coins“ ist. Die Transaktion sieht wie ein
Puzzleteil aus.
2. Eine Hälfte des Puzzleteils besteht aus Informationen zur Coin-Menge, Zeitpunkt
und Public Adresse des Versenders bzw. des Empfängers. Die andere Hälfte ist die
Signatur des zur versendeten Public Adresse gehörenden Private Keys. Beide
Hälften machen dieses Puzzleteil einzigartig. Würde man nur eine Information
ändern würde sich die komplette Transaktion bzw. das Aussehen des Puzzleteils
komplett ändern.
3. Diese Transaktion wird an das Netzwerk bzw. an die Miner übertragen und
zuallererst auf die Korrektheit überprüft. Wenn alles passt, wird die Transaktion an
andere Miner weitergesendet die wiederum das gleiche machen. Ansonsten wird
die Transaktion ignoriert.
Ihr Ansprechpartner

Seite 34
4. Miner versuchen die Transaktionen in einen Block zu integrieren. Dieses wird als
Mining bezeichnet und wir haben es so beschrieben, dass die Miner die Puzzleteile
zu einem Puzzle (Block) zusammensetzen.
5. Ein kleiner Teil eines Blocks, der integriert werden soll, folgt aus dem Block, welcher
zuvor gemined wurde. Akzeptieren alle Miner die Korrektheit eines fertig gestellten
Blocks arbeiten alle sofort am nächsten weiter. Das Puzzle (Block) wird somit fixiert
und ist unwiderruflich mit dem Block zuvor bzw. danach verbunden.
6. Die Blöcke bilden eine Kette und werden Blockchain genannt, welche alle
Transaktionen, welche je gemacht wurden, enthält und von jedem einsehbar und
unveränderbar ist. Dabei ersetzt die Blockchain ein zentrales Institut und vermeidet
ein Double Spending, was schlussendlich einer Kryptowährung den Wert verleiht.
Smart Contracts
Der größte Fortschritt im Vergleich zu Bitcoin und ähnlichen Anwendungen besteht darin,
dass Blockchains der zweiten Generation, wie zum Beispiel Ethereum, die sogenannte
Turing-Complete-Skriptsprache Solidity verwenden. Diese ermöglicht es, Berechnungen
innerhalb der Blockchain durchzuführen. Während Bitcoin nur rudimentäre Muli-Signatur-
Funktionen erlaubt, öffnet Ethereum die Tür für weitaus komplexere Abläufe, welche als
Smart Contracts bezeichnet werden. Smart Contracts sind Verträge, bei denen eine
dezentralisierte Blockchain ihre Unveränderbarkeit und Ausführung gewährleistet.
Ihr Ansprechpartner

Seite 35
Die technische Entwicklung schreitet mit hoher Geschwindigkeit fort. Daher fällt der Begriff
„Blockchain“ mittlerweile nicht nur im Zusammenhang mit digitalen Währungen. Vielmehr
ist von einer Technologie die Rede, welche bestehende Produkte, Dienstleistungen und
sogar Geschäftsmodelle disruptiv beeinflussen wird.
Um die Potentiale und Auswirkungen der Blockchain-Technologie besser beurteilen zu
können, haben sich in den letzten Jahren verschiedene Firmen aus unterschiedlichen
Technologien und vor allem Finanzbereichen in Konsortien zusammengeschlossen:
Das R3 Konsortium, welches vornehmlich einen Zusammenschluss von rund 80

Firmen aus der Finanzwirtschaft (UBS, Credit Suisse, Deutsche Bank, Commerzbank,
…) ist.
Das IoT-Consortium, zu dem u.a. Bosch Ltd. Cisco Systems Inc. gehören, untersucht
inwiefern Blockchain-Technologie zur Absicherung und Verbesserung von IoT-
Netzwerken eingesetzt werden kann.
Im Hyperledger (Enterprise Ethereum Alliance) Konsortium haben sich mehr als 120
Firmen aus dem Bereich Finanzen, Banken, IoT und der Industrie organisiert.
Ihr Ansprechpartner

Seite 36
Enterprise Ethereum Allianz mit rund 500 Startups, Unternehmen und akademische
Einrichtungen aus den unterschiedlichsten Bereichen.
Hierzu mehr in meinem nächsten Blog-Beitrag ...
Ihr Ansprechpartner

Seite 37
Datenschutz Auskunft mit SAP

Read Access Logging (RAL)
von Tobias Harmes - Beitrag vom 19. Juli 2018 - Artikel online öffnen
Seit 2013 unterstützen Netweaver-Systemen ab Version 7.4 das SAP Read Access Logging.
Hier geht es darum, dass explizit aufgezeichnet werden soll, wenn ein User eine bestimmte
Information sich hat anzeigen lassen. In dem Beitrag geht es um die ersten Schritte zur
Nutzung.
Mit der Neuordnung des Europäischen Datenschutzrechts (EU-DSGVO) sind auch die
Auskunftsrechte hinsichtlich personenbezogener Daten gestärkt worden. Wenn ich eine
Aussage darüber machen will, wer auf die Daten eines Mitarbeiters oder Kunden zugegriffen
hat, dann funktioniert die Bestimmung über die aktuellen Berechtigungen nicht. Wer will
schon alle Personalsachbearbeiter nennen, die eventuell auf den Mitarbeiter zugegriffen
haben könnten?
Read Access Logging (RAL) kann Lese-Zugriff auf sensitive Daten protokollieren. Dafür
müssten zuvor die relevanten sensitive Felder (z.B. die Bankverbindung in der PA20) in die
Protokollierung aufgenommen werden. Entsprechende Lese-Protokolle können dann der
Auskunft angehängt werden.
Inhalt
Systemvoraussetzungen SAP Read Access Logging
Read Access Logging aktivieren
Relevante Felder bestimmen und aufzeichnen
Read Access Logging konfigurieren
Log auswerten
Weiterführende Infos und Download
Systemvoraussetzungen SAP Read Access Logging

Wie immer steht die Wahrheit in einem Hinweis: 1969086 - Availability of Read Access
Logging and prerequisites (kernel and SAP GUI version). Generell: ab Netweaver 7.4 geht es
Ihr Ansprechpartner

Seite 38
los.
Unterstützt verschiedene Zugriffswege, genannt Kanäle (Channels). Dynpro und Web

Dynpro als Oberflächen und SAP Gateway, RFC und Webservices als Remote Zugriff werden
unterstützt.
Read Access Logging aktivieren
Via der Transaktion RZ11 den Parameter sec/ral_enabled_for_rfc auf 1 setzen. Permanent
geht das über die Transaktion RZ10.
Ihr Ansprechpartner

Seite 39
Transaktion SRALMANAGER öffnet die Web Dynpro Konfigurations-Oberfläche.
Dort die Aktivierung für alle relevanten Mandanten vornehmen.
Relevante Felder bestimmen und aufzeichnen
Ihr Ansprechpartner

Seite 40
Im SRALMANAGER auf Aufzeichnungen gehen.
Ihr Ansprechpartner

Seite 41
Neue Aufzeichnung für den Kanal Dynpro erstellen
In der SAP Gui nun in einer relevanten Transaktion (z.B. PA20, Bankverbindung) das
relevante Datum, z.B. die in den die Kontonummer anwählen. Eine Kombination aus
<STRG>-rechtklick in ein Feld öffnet das Kontextmenü mit dem Menüpunkt "Protokollierung
von Lesezugriffen". Wenn der Menüpunkt nicht auftaucht, dann noch mal kontrollieren ob
die Aufzeichnung wirklich aktiviert ist für diesen Mandanten und noch mal neu in die
Transaktion gehen.
Read Access Logging konfigurieren
Ihr Ansprechpartner

Seite 42
Wieder in SRALMANAGER auf Konfiguration gehen.
Ihr Ansprechpartner

Seite 43
Hier werden alle Konfigurationen für die verschiedenen Kanäle angezeigt. Auf Anlegen
gehen.
Ihr Ansprechpartner

Seite 44
Nach der Aufzeichnung suchen und auf "Anlegen" gehen.
Protokollkontext anlegen, EMPLOYEE_ID
Ihr Ansprechpartner

Seite 45
Eine neue Protokollgruppe anlegen, z.B. HCM. Dann das relevante Feld aus der
Aufzeichnung per Drag&Drop in die Protokollgruppe ziehen. Nur bei Ausgabe soll
protokolliert werden.
Log auswerten
Ihr Ansprechpartner

Seite 46
Wenn die ersten Zugriffe erfolgt sind, kann über die Transaktion SRALMANAGER oder
SRALMONITOR der Zugriff ausgewertet werden.
Die Selektion zeigt relevante Zugriffe an.
Weiterführende Infos und Download
Ihr Ansprechpartner

Seite 47
Ich hoffe, dieser Artikel war hilfreich. Wie immer freue ich mich über Kommentare und
Hinweise. Hier sind noch Infos und weiter unten der Link auf den Download dieses Artikels.
Transaktionen Beschreibung
SRALMANAGER Administration and Monitor Tabs im Read Access
Logging Manager
SRALMONITOR Nur Monitor tab im Read Access Logging Manager
SRALCONFIG Nur Administration tab im Read Access Logging
Manager
SAP Wiki Read Access Logging

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=448474835
SAP Help Read Access Logging
https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/7.5.6/en-
US/7e0b7b1d831b495b8ea0141038bcab55.html
Ihr Ansprechpartner

Seite 48
Der DSAG-Prüfleitfaden
von Tobias Harmes - Beitrag vom 30. August 2018 - Artikel online öffnen
Wenn ich mir die Feature-Liste diverser Fremd-Software für SAP Security ansehe, lese ich
immer wieder: "… nach DSAG-Prüfleitfaden". Wo finde ich diesen Leitfaden und ist das alles,
was ich für die Prüfung eines SAP Systems benötige?
Einleitung
Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) besteht im Wesentlichen aus
Mitgliedern, die SAP einsetzen. Und einige dieser Mitglieder sind aktiv in Arbeitsgruppen
engagiert und erstellen dabei Dokumente, die für die gesamte Gemeinschaft der SAP Nutzer
hilfreich sind.
So haben einige Mitglieder des Arbeitskreises (AK) Revision u. Risikomanagement vor
einigen Jahren einen Leitfaden entwickelt, der Prüfern und auch Systeminhabern dabei
helfen soll, mögliche Sicherheitsrisiken im SAP aufzudecken. Darüber hinaus werden Best-
Practices für die Prüfung von SAP Systemen und Anwendungen beschrieben.
Diese Leitfäden sind so etwas wie der Industriestandard und gemeinsamer Nenner, auf den
sich SAP Anwender, Fachbereiche, Prüfer (interne wie externe) und Softwarehersteller
berufen. Und es hilft tatsächlich auch in Prüfungen oder Umsetzung von
Revisionsmaßnahmen ungemein, wenn ich auf den Leitfaden verweisen kann.
Wo finde ich den Prüfleitfaden

Wenn in SAP Security-Software von dem DSAG Prüfleitfaden die Rede ist, sind im
Wesentlichen zwei Dokumente gemeint, die auf der Webseite der DSAG ohne Registrierung
direkt herunterladbar sind. Da die Version von 2009 noch Flash präsentiert, habe ich mal
direkt die PDF-Links angegeben:
Prüfleitfaden SAP ERP 6.0 der Arbeitsgruppe Audit Roadmap | März 2009 (PDF-Version
oder Online-Link, Flash)
Prüfleitfaden SAP ERP 6.0 - Best Practice-Empfehlungen | Mai 2015 (PDF-Version
oder Online-Link)
Leider ist der neuere Prüfleitfaden von 2015 kein vollständiger Ersatz für den alten
Leitfaden, sondern eine Aktualisierung und Ergänzung des ersten Teils des Leitfadens von
Ihr Ansprechpartner

Seite 49
2009. Es werden z.B. SAP GRC und SAP HANA ergänzt bzw. das erste Mal behandelt. Themen
wie Funktionstrennungskonflikte auf Anwendungsebene (SoD-Konflikte) sind nicht Teil des
Leitfadens von 2015 und sind deshalb nur im Leitfaden von 2009 zu finden.
Wer kann den Leitfaden verwenden und Beispiele

Obwohl sich die Prüfleitfäden an "den mit SAP vertrauten Prüfer" richtet, können auch
Administratoren oder Berechtigungs-Entwickler die Leitfäden ohne weiteres verwenden.
Vorteil ist auch, dass in diesen Dokumenten "auf Deutsch" auch über das Risiko der
jeweiligen Einstellung gesprochen wird. Welche Auswirkung die Änderung des Wertes
eventuell auf Systemstabilität oder den Komfort für die Benutzer hat, muss allerdings jeder
selbst herausfinden.
Beispiel Konfigurationsprüfung aus dem Leitfaden von 2015
Kontrollziel: Verhindern von Mehrfachanmeldungen

Risiko: Mehrere Benutzer teilen sich eine Benutzerkennung und melden sich
getrennt am SAP-System an. Das ist ein Verstoß gegen die Lizenzbestimmungen von
SAP.
Mehrfachanmeldungen sind ausgeschlossen, login/ disable_multi_gui_login
(Standardwert: 1).
Vorschlagswert: 1, d.h., mehrfache Anmeldung ist nicht möglich.
Hier benötige ich als Know-How, wie ich den Wert des Profilparameters ermitteln kann, z.B.
mit der Transaktion RZ10 oder dem Report RSPARAM.
Beispiel Berechtigungsprüfung aus dem Leitfaden von 2015
Welche Administratoren sollen Benutzer und ihre Berechtigungen auf welche Weise
verwalten dürfen?
S_USER_AGR (Berechtigungswesen: Prüfer für Rollen) mit Aktivität "*" und Name der
Rolle "*" ist kritisch.
Hier muss ich wissen, wie ich z.B. über die Transaktion SUIM->Benutzer->Suche nach
komplexen Selektionskriterien das Berechtigungsobjekt als Filter eingebe und nach "*" bzw.
#* suche, um wirklich die User zu bekommen, die dort eine Stern-Berechtigung haben.
Ihr Ansprechpartner

Seite 50
Ist das alles, was ich zur Prüfung benötige?

Mit den 188 Seiten der PDF-Version des Prüfleitfadens von 2015 und den 184 Seiten des
Prüfleitfadens von 2009 sind diese Dokumente für das manuelle Durcharbeiten nur bedingt
geeignet. Und damit regelmäßig prüfen - daran ist gar nicht erst zu denken. Das ist der
Grund, warum im Prinzip viele Software-Hersteller das Know-How der Leitfäden in
automatisierte Prüfsoftware gegossen haben. Wenn der Roboter etwas kann, dann im
großen Stil Werte abfragen.
Daher empfehle ich auch immer, auf händische Prüfungen zu verzichten und bestenfalls zur
Stichprobenkontrolle durchzuführen. Die wirkliche Prüfungen sollte durch einen mit
entsprechender Software unterstützen, am besten vollautomatisierten Prozess
durchgeführt werden.
Wenn Sie eine Idee für so einen Prozess und eine Software benötigen, sprechen Sie mich
gerne an. Und wie immer freue ich mich über Feedback, Ergänzungen und Hinweise per
Kommentar oder per Mail.
Eine Übersicht aller Leitfäden der DSAG (auch z.B. den Datenschutz-Leitfäden) gibt es
übrigens hier: https://www.dsag.de/go/leitfaeden
Ihr Ansprechpartner

Seite 51
Die 5 häufigsten Fehler bei Adobe

Document Services (ADS)
Installationen - mit Jeremia Girke
Ich rede mit SAP Spezialisten Jeremia Girke über das Thema Adobe Document Services und
die 5 häufigsten Fehler die er bei Kunden-Installationen und Konfigurationen in der
Vergangenheit beobachtet hat. In unserem Gespräch geht Jerry auch auf typische Fragen im
Zusammenhang mit SAP und ADS auf AS JAVA ein.
Inhalt
Video
Zusammenfassung der 5 häufigsten Fehler bei der Installation
Kapitelmarken
Downloads & Links
Video
Die Konfiguration eines Adobe Document Services läuft größtenteils automatisiert im
System ab. Fehler in der Konfiguration sind leider nicht immer sprechend. Aus diesem
Grund haben Jeremia Girke und ich die 5 häufigsten Fehler bei der Installation /
Administration durchgesprochen.
Kapitelmarken
00:18 Was hat ADS mit SAP Basis und Security zu tun? Warum steigen Firmen auf Adobe
Forms bei den Formularen um?
04:02 Nr. 1: Gesperrte technische Benutzer
08:47 Nr. 2: Java-Server ist nicht erreichbar
16:21 Nr. 3: Rück-Verbindung Java-Server zum ABAP
23:11 Nr. 4: Reader Credentials / SAP Note / Lizenz für PDF Erzeugung
Ihr Ansprechpartner

Seite 52
26:24 Extra: SOAP Exception und andere Fehler über Tracing ermitteln
31:20 Nr. 5: Adobe Livecycle Designer, SAP GUI- und ADS-Versionen und
(In-)Kompatibilitäten
33:53 Der eine Tipp zum Abschluss
Zusammenfassung der 5 häufigsten Fehler bei der

Adobe Document Services Installation (ADS)
Fehlerquelle 1: Die User
Alles ist richtig konfiguriert wie im Guide beschrieben, aber der Zugriff klappt trotzdem
nicht.
In der Anleitung werden hier 2 User angelegt. Einmal der ADSUSER sowie der ADS_AGENT.
Diese sollten auch als technisch Nutzer angelegt sein, sodass keine Dialoganmeldung
möglich ist.
Bevor sie in irgendeine Fehleranalyse bei Problemen einsteigen stellen Sie bitte folgendes
sicher:
1. ADSUSER sowie ADS_AGENT sind korrekt angelegt und sind auch mit dem richtigen
Namen angelegt. Wichtig. CASE-sensitiv!
2. ADSUSER und ADS_AGENT sind noch gültig und können genutzt werden
3. ADSUSER und ADS_AGENT sind nicht gesperrt
4. Die User haben die richtigen Rollen zugewiesen wie im Adobe Document Services
Configuration Guide beschrieben.
Fehlerquelle 2: ADS ist nicht erreichbar | Falsche IP/URL
Alles sauber installiert und eingerichtet und trotzdem geht die Verbindung nicht. Eine
falsche IP oder eine falsche hinterlegte URL des Java Stacks kann die Ursache sein. in Test
über SM59 -> Ext. Systeme -> ADS -> Verbindungstest kann dann trotzdem die Ursache
zeigen. Hier ist übrigens ein HTTP-404 nicht unbedingt ein Fehler.
Folgendes immer manuell prüfen:
1. URL ist korrekt
2. Service-Pfad ist erreichbar
3. Einheitliche URL: Keine Unterschiede bei URL zur "fully qualified domain name" FQDN
Ihr Ansprechpartner

Seite 53
Fehlerquelle 3: ABAP-Backend nicht erreichbar/sauber

angebunden
Ein Teil der Installation ist das Bekanntmachen der ABAP-Systeme für die JAVA-Instanz. Hier
müssen die Einstellungen für das jeweilige ABAP-System vernünftig eingerichtet sein. Prüfen
Sie hier jeweils auf dem System -> https://servername:Port/nwa -> Konfiguration ->
Destinations -> ABAP Backend-Destination.
Fehlerquelle 4: Adobe Reader Credentials sind abgelaufen
Kryptische Fehlermeldungen und komisches Verhalten im System. Aber woran kann es

liegen? Die Installation beinhaltet auch das Beantragen von den Adobe Reader Credentials
über die SAP Note.
736902 - Adobe Credentials:
https://launchpad.support.sap.com/#/notes/736902/D
Hinweis: Die Credentials haben ein Verfalls-Datum was dafür sorgt, dass ab einem gewissen
Zeitpunkt das Zertifikat seine Gültigkeit verliert.
Fehlerquelle 5: Adobe Livecycle Designer, SAP GUI- und ADS-

Versionen und (In-)Kompatibilitäten
Damit Formulare sowohl angezeigt als auch problemlos weiterentwickelt werden können,
müssen die richtigen Softwarekomponenten in der richtigen Version installiert sein. Sowohl
auf dem Client als auch auf der Serverseite. Inkompatibilitäten zwischen z.B. einer alten SAP
Gui Version und dem Adobe Livecycle Designer kommen leider häufig vor. Auswirkungen
sind dann instabile Systeme und Abstürze.
Extratipp: Fehler richtig identifizieren: Trace aktivieren
Die universelle Antwort wenn die Fehlerursachen davor keine Besserung gebracht haben.
Das ABAP-Backend ist nicht immer gleich gut erreichbar. Es hilft enorm, wenn Sie hier die
Technik mit der Trace-Datei anwenden um klare Infos zu bekommen, wo es gerade
Probleme gibt. Eine ausführliche Anleitung für das Tracing finden Sie hier: HowTo Adobe
Ihr Ansprechpartner

Seite 54
Forms Trace aktivieren
Links und Downloads

736902 - Adobe Credentials:
https://launchpad.support.sap.com/#/notes/736902/D
Anleitung Download Adobe LifeCycle Designer:
https://mind-forms.de/sap-formulartechnologien/adobe-forms/adobe-livecycle-designer-
downloaden/
Kostenloses Ebook zum Download:
https://mind-forms.de/download/e-book-sap-adobe-forms/
Auf dem Laufenden bleiben:

YOUTUBE-CHANNEL: https://www.youtube.com/c/Rz10De_ms
FACEBOOK: https://www.facebook.com/rz10.de/
TWITTER: https://twitter.com/rz10_de
XING: https://www.xing.com/profile/Tobias_Harmes/
LINKEDIN: https://www.linkedin.com/in/tobias-harmes
RSS: https://rz10.de/feed/
Wenn das hilfreich war, freue ich mich wie immer über Feedback - ob per Mail oder hier
unter dem Beitrag.
Ihr Ansprechpartner

Seite 55
Digital signierte SAP Hinweise

durch Einbau der Note 2408073
nutzen
von Jonas Krueger - Beitrag vom 8. Januar 2018 - Artikel online öffnen
SAP wird in Zukunft alle SAP Hinweise (SAP Notes) im SAP ONE Support Launchpad digital
signiert bereitstellen. Damit soll die Sicherheit beim Einspielen der Updates erhöht werden.
Bei nicht signierten SAP Hinweisen besteht die Gefahr, dass der Hinweis unbemerkt
schädlich verändert wurde und beim Einbau des Hinweises Schadcode in Ihre SAP System
übernommen wird. Hieraus ergibt sich eine erhebliche Gefährdung für das SAP System,
weshalb die digital signierte Bereitstellung der Hinweise eine wichtige Verbesserung
darstellt. Um digital signierte Hinweise in Ihrem System nutzen zu können, sind jedoch
einige Schritte zur Vorbereitung erforderlich. Wenn Sie SAPCAR ab Version 7.2 installiert und
einen User mit den Notwendigen Berechtigungen haben, müssen Sie nur noch die Note
2408073 in Ihr System einspielen und die manuellen Vor- und Nacharbeiten erledigen.
Durch eine digitale Signatur wird technisch sichergestellt, dass jede Veränderung am
Hinweis feststellbar ist und vom System geprüft werden kann, ob der vorliegende Hinweis,
der ins System eingespielt werden soll, unverändert vorliegt.
Voraussetzungen um digital signierte SAP

Hinweise zu nutzen
Um ihr SAP System für digital signierte Hinweise vorzubereiten müssen zuerst einige
Voraussetzungen erfüllt sein:
Digital signierte SAP Hinweise werden als SAR Dateien zur Verfügung gestellt. Die SAR
Dateien werden mit SAPCAR entpackt und auf ihre digitale Signatur hin überprüft. SAPCAR
muss hierzu auf dem Application Server mindestens in Version 7.20 vorliegen. Es wird daher
dringend geraten, SAPCAR auf den aktuellen Stand zu bringen. Liegt SAPCAR nicht
mindestens in Version 7.20 vor, schlägt die Überprüfung der digitalen Signatur fehl und der
Hinweis kann nicht entpackt werden. Ein Einbau des digital signierten Hinweises ist dann
nicht möglich.
Ihr Ansprechpartner

Seite 56
Der umsetzende Benutzer benötigt außerdem einige Berechtigungen, um die notwendigen

manuellen Vor- und Nacharbeiten des Hinweises am System ausführen zu können:
Berechtigung für die Transaktion SLG1

Leseberechtigung für Berechtigungsobjekt S_APPL_LOG
Berechtigung zum Schreiben und Löschen von Daten aus dem
Anwendungsverzeichnis
Upgrade der SAPCAR-Version auf Ihrem System auf die Version 7.20 oder höher
SAP Basis Version 700 oder höher, für ältere Versionen muss der Hinweis manuell
eingepflegt werden
Wenn Sie diese Voraussetzungen erfüllt haben, können Sie mit der Umsetzung des
Hinweises 2408073 beginnen.
Umsetzung SAP Hinweis Nummer 2408073

Wenn Sie alle die vorher beschriebenen Voraussetzungen erfüllt haben, können Sie
beginnen, Ihr System auf die Verarbeitung digital signierter Hinweise vorzubereiten. Hierzu
muss der SAP Hinweis mit der Nummer 2408073 eingespielt werden.
Dieser besteht aus einigen Schritten zur manuellen Vorarbeit, einigen automatisch
ausführbaren Aktivitäten sowie Schritten zur Nacharbeit des Hinweises.
Der Hinweis sowie eine genaue Beschreibung kann unter dem folgenden Link gefunden
werden:
https://launchpad.support.sap.com/#/notes/2408073
Es wird empfohlen, den Dateinamen nach dem Download nicht zu verändern.
Der Hinweis 2408073 hat die Dateiendung „.sar“ und wird zunächst mit SAPCAR entpackt.
Darin befindet sich ein zip-Archiv. Die darin befindliche Textdatei kann mit der Transaktion
SNOTE über den Hinweis-Upload in den Note Assistant geladen werden.
Nach Abschluss dieser Schritte können Sie mit dem Einbau des Hinweises beginnen. Die
einzelnen Schritte sind in im Hinweis selbst enthalten sowie in einem dem Hinweis
angehängten Dokument ausführlich beschrieben. Deshalb werden im Folgenden nur einige
besonders zu beachtende Punkte hervorgehoben.
Ihr Ansprechpartner

Seite 57
Beim Anlegen und Klick auf Speichern des „CWBDS“ Objektes erscheint ggf. eine Meldung,
die dazu auffordert ein Objekt aus dem zulässigen Namensraum zu wählen. Hier kann der
Cursor im Objekt-Feld platziert und mit Enter bestätigt werden, dann erfolgt die Abfrage
nach einem Transportauftrag.
Bei dem Anlegen der Nachrichtentexte in der „SCWN“ Nachrichtenklasse ist es normal, dass
nach dem Speichern der Änderungen mehrmals (so oft wie Nachrichten angelegt wurden)
die Frage nach dem Transportauftrag bestätigt werden muss.
Zusätzlich ist beim Anlegen der Nachrichtentexte zu beachten, dass die im Tutorial, welches
dem Hinweis angehängt ist, bereitgestellten Texte auf Englisch vorhanden sind. Wenn Sie
auf einem deutschen System arbeiten, sollten Sie die Texte beim Einpflegen entsprechend
in die deutsche Sprache übersetzen. Die englischen Texte können anschließend im selben
Fenster als Übersetzungen eingefügt werden. Hierzu wählen Sie „Springen -> Übersetzen“.
Fazit
Es ist ein unter Hackern beliebter Ansatz, Updates, die in der Regel Fehler beheben oder die
Sicherheit erhöhen sollen, zum Einschleusen von Schadcode in das System zu nutzen. Dazu
wird das Update so verändert, dass neben der gewünschten Korrektur noch weitere,
schädliche Veränderungen am System vorgenommen werden. Daher ist es sehr zu
begrüßen, dass die SAP nun Maßnahmen ergreift, um dies mittels einer digitalen Signatur
für die SAP Hinweise zu verhindern. Hatten Sie schon einmal das Gefühl, dass in Ihr System
möglicherweise Schadcode eingeschleust wurde? Erzählen Sie mir gerne in einer Nachricht
oder unten im Kommentarfeld davon.
Quelle: https://blogs.sap.com/2017/09/12/enable-note-assistant-to-support-digitally-signed-
sap-notes/
Ihr Ansprechpartner

Seite 58
DSAG Jahreskongress 2018 - meine

SAP Basis & Security Nachlese
von Tobias Harmes - Beitrag vom 18. Oktober 2018 - Artikel online öffnen
Ich sitze in der DB Lounge im Hauptbahnhof in Leipzig und überlege: Was nehme ich mit
vom DSAG Jahreskongress 2018? Wieder mal gab es viel zu sehen - zumindest wenn man
denn in den Raum hinein gekommen ist.
Ich hielt die Ankündigung kurz vor Beginn bezüglich Anmeldestopp für ein Marketing-Gag.
Doch tatsächlich: ich habe den DSAG Jahreskongress noch nie so voll empfunden. Dienstag
und Mittwoch fand ich zumindest aus Security-Sicht sehr dünn, allerdings habe ich die
Partner-Vorträge abends auch verpasst. Ok, ich war auf unserer Warm-up-Party mit fast 100
Teilnehmern :-). Umso mehr hat mich der Donnerstag erfreut - mehr Vorträge als
verfügbare Zeit.
Dienstag, 16. Oktober 2018
V050: User Experience im Bereich Identity & Access Management –

nichts ist unmöglich – Vorstellung eines flexiblen Self-Service-
Portals nach Fiori-Konzept für SAP Identity Management
Kristin Beyer von der REHAU AG berichtete von der Einführung von SAP IDM 8.0 als Upgrade
von IDM 7.2 inklusive Self-Service-Konzept. Wobei der Upgrade in diesem Vortrag nur eine
Randnotiz war. Oberstes Ziel sollte sein: Benutzer sollen sich ohne die IT selbst helfen
können. Und das Problem dabei war, dass die Benutzeroberflächen von SAP IDM 8.0 alles
andere als selbsterklärend sind.
Also hat man mit der SAP durch Design Thinking Workshops und dem Implementierungs-
Partner IBSolutions in weniger als einem Jahr einem Upgrade inklusive einem, wie ich finde,
ansprechenden und klaren Frontend entwickelt. In SAP UI5 und im Style von SAP Fiori.
Schön war, dass auch einige pfiffige Ideen gezeigt wurden. Ursprünglich sollte die Funktion
gar nicht kommen – aber dann doch realisiert: "Die gleichen Berechtigungen wie Herr
Müller". Gelöst wurde es, in dem ich einen User als Vorschlag auswähle, ich aber alle seine
Rollen zur Prüfung in den Warenkorb gelegt bekomme. Ich muss also die Positionen noch
mal anschauen, bevor ich auf "bestellen" klicke.
Ihr Ansprechpartner

Seite 59
Die Frage aus dem Publikum insgesamt am Ende des Vortrags "Warum ist das so eigentlich
nicht im Standard?" erzeugte gequältes Schmunzeln. "Wir haben uns in der Planung auch
gefragt: Sind wir das einzige Unternehmen mit diesen Problemen?". Nein, definitiv nicht.
Mittwoch, 17. Oktober 2018
V119: S/4HANA Adoption Starter Programm (Erfahrungsbericht) |

Kategorien: S/4HANA, Technologie, E – Erfahrungsbericht,
Sprecher: M. Zetzmann, T. Westphal
Hier hat Herr Zetzmann von der Otto GmbH & Co. KG einen interessanten
Erfahrungsbericht zur Teilnahme am S/4HANA Adoption Starter Programm vorgestellt. Die
Idee: die SAP führt die Kunden in der richtigen Reihenfolge zu den schon von der SAP
bereitgestellten Tools hin. Zum Beispiel den S/4HANA Readiness Check (Hinweis 2310438),
der als sehr hilfreich beschrieben wurde – zugleich aber immer noch schwierig zu
implementieren ist. Immerhin 60 Hinweisen war notwendig, um den Check ans Laufen zu
bringen. Ein anderes Tool war z.B. der SAP Transformation Navigator um zu schauen,
welche Produkte stehen für meine Systeme zu Verfügung. Hier kann ich auf jeden Fall einen
Blick in die Folien empfehlen (siehe link unten).
Donnerstag, 18. Oktober 2018
V142: Berechtigungskonzept S/4HANA Value Assurance - der

Schlüssel zur Sicherung von Qualität, Sprecher: A. Oesterle, R.
Baudisch
In diesem Roadmap-Vortrag ging es darum, wie die SAP vorhat, einer großen Anzahl von
Unternehmen den Wechsel auf S/4HANA zu ermöglichen. Und zwar ohne, dass jeder Schritt
von SAP Consulting umgesetzt werden muss. Es wurden Varianten für den Greenfield und
Brownfield-Ansatz vorgestellt. Im Prinzip arbeitet der Ansatz mit Nutzungs-Statistikdaten
(ST03N Workload) als Input und einer Übersetzung der genutzten Transaktionen auf
eventuell vorhandene neue Transaktionen und Fiori-Apps. Technisch steht da wohl die
Simplification List und die Fiori App Library hinter. Die Ermittlung und Ausprägung von
Ihr Ansprechpartner

Seite 60
Organisationsebenen und Werten liegt vor allem beim Kunden. Der um S/4HANA
Transaktionen angereicherte Workload wird dann gegen das fertige Rollenset von SAP
gefahren, um Vorschläge für Berechtigungszuweisungen zu generieren. Ich war insgesamt
überrascht so viel Excel-Vorlagen auf den Folien zu sehen. Auch Themen wie Zuordnung und
Entwicklung von Frontend- und Backend-Rollen sind mit Eigenentwicklungen gelöst, die nur
im Rahmen der Nutzung dieses SAP Services zur Verfügung stehen. Und ein Test und Trace-
Abarbeitung bleibt natürlich trotzdem Pflicht. Wer übrigens "die neuen Sachen jenseits von
ADM940" wissen möchte: im Vortrag wurde der ADM945 SAP S/4HANA Authorization
Concept empfohlen.
V143: Identity & Access Management für Sicherheit und

Integration in gemischten Cloud- und On-Premise-Landschaften
Hier hat Herr Dr. Mäder einen interessanten Vortrag zur Roadmap der SAP Richtung
Integration von Cloud- und On-Premise-IDM und GRC-Szenarien gehalten. Nachdem ich
mich zuerst schon gefreut habe "endlich wächst zusammen, was zusammengehört" gab es
doch die kalte Dusche. SAP IDM und SAP GRC Access Control wachsen auch in der Cloud
nicht zu einem gemeinsamen Produkt zusammen. Für die Provisionierung on-premise muss
weiterhin SAP IDM oder SAP GRC Access Control on Premise verwendet werden. Man
entwickelt zwar die Cloud-Variante stetig weiter, aber es gibt noch keine Aussagen dazu,
wann ein Cloud-Identity-Management auch z.B. einen vollständigen Ersatz für On-Premise-
Lösungen sein könnte. Der Use-Case aus Sicht der SAP ist eher, neue Kunden die sich für die
S/4HANA Public Cloud und andere SAP Cloud Services entscheiden, nicht zu einem On-
Premise-IDM zu zwingen. Immerhin unterstützt die SAP mit SCIM offene Standards, mit der
on-premise Non-SAP IDM Systeme auch die SAP Cloud IDM fernsteuern kann.
V186: Implementierung eines internen Kontrollsystems (IKS) zur

Überprüfung der SAP-IT-Sicherheit, Sprecher: H. Heyn
Hendrik Heyn von Xiting ist kurzfristig für den eigentlichen Redner der Allianz
eingesprungen. Es ging in dem Vortrag darum, wie die Allianz es geschafft hatte, ein
zentrales Internes Kontroll System für die SAP-IT-Sicherheit aufzubauen unter Verwendung
der Xiting XAMS Suite. Die Herausforderungen lagen wie so oft in einer heterogenen
Systemlandschaft, unterschiedlichen Sicherheitsanforderungen und unterschiedlicher
Ausgangskonfiguration. Letztendlich hatte man es mit Hilfe der Nutzung des Moduls
Security Architect in einer Zentral-Installation auf dem Solution Manager geschafft, für mehr
Ihr Ansprechpartner

Seite 61
als 80 Systeme Sicherheitsstandards zu definieren und zentral abzuprüfen und zu

monitoren.
Ich kenne Hendrik persönlich und ich habe ihn zu diesem Vortrag auch noch interviewt. Die
Episode gibt es dann in den nächsten Tagen als Podcast bzw. auf Youtube.
Download der Folien

Die Folien der Vorträge kann man sich auf der DSAG-Seite herunterladen:
https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018.
Gerne gesehen hätte ich noch…

V049: Upgrade auf SAP Identity Management 8.0 - ein Erfahrungsbericht
V057: Trends und Entwicklungen im digitalen Marketing
V109: Workflow in SAP S/4HANA – von ECC zu S/4
VS033: Seien Sie Ihren Mitbewerbern durch den Einsatz von intelligenter
Technologie einen Schritt voraus
V173: Ab in die Wolke: Ihr Reiseführer mit Tools und Informationen um den
Cloudbetrieb
V185: SAP Compliance und Sicherheit dringt auf Vorstandsebene
VS040: SAP Cloud Platform ABAP Environment
V144: Fines in Five Minutes - ein schneller Datenschutzcheck
Meine Kollegen Ingo Biermann und Jeremia

Girke (v.l.) waren ebenfalls mit dabei. Nach drei Tagen war dann auch gut und Zeit für einen
Ihr Ansprechpartner

Seite 62
allerletzten RZ-Bereitschaftshabener-würdigen schwarzen Kaffee™. Tschüss bis zum

nächsten Jahr (bzw. bis zu den DSAG-Technologietagen)!
Wenn ich etwas Wichtiges übersehen habe: ich freue mich über Tipps, welche Vorträge
ebenfalls interessant waren (und warum).
Ihr Ansprechpartner

Seite 63
Externe Transportaufträge
importieren - geht das auch
einfacher?
von Luca Cremer - Beitrag vom 17. September 2018 - Artikel online öffnen
Transportaufträge hoch und runterladen ist in SAP nur kompliziert und umständlich über
das Betriebssystemverzeichnis lösbar. Ich zeige Ihnen in diesem Beitrag, wie es einfacher
geht!
Um Transportaufträge in ein externes SAP-System einzuspielen oder externe Aufträge in das

eigene System einspielen zu können ist zuerst einiges an Wissen notwendig. Wenn Sie
bereits wissen wie hier vorzugehen ist, stimmen Sie mir mit Sicherheit zu, dass bei einer
Vielzahl von Aufträgen das Standardvorgehen sehr aufwendig werden kann. Ich gehe in
meinem Beitrag einmal kurz auf die normale Vorgehensweise ein und erkläre Ihnen den
technischen Hintergrund. Anschließend zeige ich Ihnen, wie wir von RZ10 das genannte
Problem minimieren können.
Standardvorgehen zum Import externer

Transportaufträge
Eine Detaillierte Beschreibung zu dem Standardvorgehen und dem technischen Hintergrund
können Sie bereits einem Beitrag meines Kollegen entnehmen: Import von externen
Transportaufträgen.
Um einen Transportauftrag zu importieren sind immer zwei Dateien notwendig, die data-
und die cofiles-Datei. Ich zeige Ihnen kurz den Weg auf wie sie die data-Datei eines
Beispielauftrags (DEVK12345) über den Standardweg in Ihr System bringen:
1. Sie müssen wissen wie Ihr Verzeichnis für die Transportauftragsdateien lautet -
Dieses können Sie in der Transaktion AL11 einsehen, es lautet "DIR_TRANS"
2. Suchen Sie den Pfad zu dem "data"-Ordner
3. Jetzt müssen Sie den angegebenen Pfad kopieren und als Ziel in der Transaktion
CG3Z einfügen
4. Dahinter fügen Sie noch in korrekter Schreibweise die Angabe zur lokal abgelegten
data-Datei ein: "R12345.DEV"
Ihr Ansprechpartner

Seite 64
Wenn Sie also einen Transportauftrag importieren möchten, müssen Sie dieses Vorgehen
zweimal anwenden, damit Sie beide relevanten Dateien zur Verfügung haben. Danach
müssten Sie den Auftrag noch manuell an die Import-Queue Ihres Systems anhängen.
Das gleiche gilt natürlich auch für den Export der beiden Dateien mit der CG3Y.
Import mehrerer Transportaufträge gleichzeitig?

Als ich dieses Vorgehen zum ersten Mal gesehen habe, fragte ich mich wie ich bei mehreren
zu importierenden Aufträgen damit umgehen soll? Müsste ich etwa für jeden einzelnen
Transport zwei Dateien manuell in ein Verzeichnis des Betriebssystems einspielen um die
Aufträge danach noch manuell in der Import Queue anzuhängen?
Nach einer kurzen Recherche hatte ich meine Antwort: Ja! Genau das ist notwendig. Es gibt
keinen einfacheren Weg im SAP Standard um mehrere Transportaufträge gleichzeitig zu
importieren. Das konnte ich nicht einfach so stehen lassen. Ich habe mich also hingesetzt
und ein Tool entwickelt, welches genau alle oben genannten Schritte automatisiert.
Natürlich kommt der Fall eines Imports von vielen externen Aufträgen in der Praxis nicht
allzu oft vor. Wenn Sie also vor der Herausforderung stehen, lediglich einen erhaltenen
Transportauftrag zu importieren empfehle ich den Standard zu nutzen. Die Schritte sind
zwar recht umständlich, jedoch gut dokumentiert und bei einer einmaligen Aktion
vollkommen ausreichend.
Wenn Sie jedoch eine Menge von externen Aufträgen zu exportieren oder importieren
haben könnte für Sie unser entwickeltes Tool interessant sein.
Arbeitsweise mit dem Tool - Export von Aufträgen

Im Folgenden möchte ich Ihnen beispielhaft unser Tool vorstellen. In unserem
Beispielszenario wollen wir eine Menge von Aufträgen von einem System exportieren um
diese anschließend in einem anderen nicht verbundenen System einzuspielen.
Das Tool ist so einfach wie möglich gehalten und ermöglicht dem User beim Start die
Auswahl von zwei möglichen Optionen: Upload von Aufträgen und Download von Aufträgen.
Ihr Ansprechpartner

Seite 65
Danach können Sie die gewünschten Transportaufträge auswählen. Hier können Sie beim
Download einfach eine Liste von im System vorhandenen Aufträgen einfügen, wie im
folgenden Screenshot zu sehen.
In unserem Beispiel nehmen wir 7 Transportaufträge, von welchen ich nun die Dateien
benötige um Sie auf einem anderen System einzuspielen.
Bei einem Klick auf "Ausführen" fragt uns das Tool letztlich noch, wo es die Dateien ablegen
Ihr Ansprechpartner

Seite 66
soll. Ich wähle hier einen neuen Ordner auf meinem Desktop aus. Nachdem ich den Zugriff
auf meine Dateien gewährt habe läuft alles automatisch. Das Ergebnis sieht letztendlich so
aus:
In dem ausgewählten Ordner werden automatisch zwei Unterordner für jeweils data- und
cofiles-Dateien erstellt und die entsprechenden Dateien darunter abgespeichert. Die
Funktionsweise für den Upload der Dateien ist analog aufgebaut, mit dem Unterschied, dass
auf Wunsch die Dateien noch an die Import Queue Ihres Systems direkt angefügt werden.
So können Sie den Aufwand einer solchen Arbeit auf ein Minimum reduzieren.
Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit
welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?
Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich
freue mich auf Ihre Anfragen!
Ihr Ansprechpartner

Seite 67
Externe Transportaufträge in ein

SAP-System importieren
von Florian Paetzold - Beitrag vom 15. Januar 2018 - Artikel online öffnen
Transportaufträge von einer Systemlinie in eine andere zu transportieren oder

Transportaufträge von Drittanbietern in das SAP-System zu importieren gehört auch zu den
gelegentlichen Aufgaben eines SAP-Basis-Administrators. Wie schon in meinem letzten
Blogbeitrag zur Systemänderbarkeit möchte ich Ihnen hier eine Möglichkeit bieten, dieses
Thema schnell abrufbar darzubieten. Somit finden Sie am Ende wieder eine Schritt-für-
Schritt Anleitung, welche Sie befolgen können, wenn Sie das Thema schon inhaltlich
verstanden haben, aber nur die Schritte benötigen.
Was sind die Voraussetzungen?

Zu Transportaufträgen gehören zwei Dateien, welche als "data" und "cofiles" betitelt sind.
Diese Dateien bestehen aus einer sechsstelligen alphanumerischen Kombination und einer
Dateiendung, welche häufig das System darstellt, aus welchem die Dateien exportiert
wurden. Hierbei ist das erste Zeichen immer ein K (die cofiles-Datei) oder ein R (die data-
Datei).
Für unser Beispiel nennen wir die Dateien einmal K12345.DEV und R12345.DEV. Diese
Dateien werden natürlich für einen Import in das eigene SAP-System benötigt.
Weiterhin benötigen Sie Zugang zu dem Filesystem bzw. den SAP-Verzeichnissen, da sie die
oben genannten Dateien dort manuell einfügen müssen. Zusätzlich dazu wird die
Transaktion STMS im SAP-System benötigt, da sie dort die Transportaufträge an die
Importqueue anhängen.
Wenn Sie dies nun alles zur Verfügung haben, können wir mit dem Import starten:
Wie ist das Vorgehen?

Vorbereitung auf Betriebssystemebene.
Im ersten Schritt müssen die Dateien in das Transportverzeichnis des SAP-System kopiert
Ihr Ansprechpartner

Seite 68
werden. Dieses liegt normalerweise unter /usr/sap/trans, kann aber je nach System auch
individuell geändert werden. Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis
arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter
"DIR_TRANS" angegeben ist. Dies ist das richtige Verzeichnis in dem wir arbeiten wollen.
Hier werden nun die vorhandenen Dateien hineinkopiert und zwar die cofiles-Datei
(K12345.DEV) in den cofiles-Ordner (/usr/sap/trans/cofiles) und die data-Datei (R12345.DEV)
in den data-Ordner (/usr/sap/trans/data).
Hinweis: Gerade bei Unternehmen mit mehreren Systemen auf mehreren Servern müssen
in diesem Fall noch die Zugriffsberechtigungen und der Datei-Owner geändert werden,
sodass der Import im Zielsystem keine Probleme macht.
Der Dataowner sollte der <sid>adm des Zielsystems sein, den können Sie (in der Unix-
Konsole) mit "chown <sid>adm K12345.DEV" ändern (respektive R12345.DEV für die data-
Datei).
Um die Zugriffsberechtigungen zu ändern, können Sie den Befehl "chmod 664 K12345.DEV"
benutzen.
Transportaufträge im SAP-System anhängen

Sobald dies geschehen ist, können Sie die Transportaufträge in Ihrem SAP-System an die
Importqueue anhängen. Dies geschieht, indem Sie über die STMS -> Importübersicht (F5)
sich die Importqueues anzeigen lassen. Hier wählen Sie mit einem Doppelklick die
Importqueue des Zielsystems aus.
Danach bekommen Sie unter "Zusätze"->"Weitere Aufträge"->"Anhängen" ein Popup, mit
dem Sie die Transportaufträge an die Importqueue anhängen können.
In dem aufkommenden Popup müssen Sie den genauen Transportauftrag benennen. Der
richtige Name dafür bildet sich wie folgt: Die ersten drei Zeichen sind die Datei-Endung der
beiden Dateien, welche Sie in das Transportverzeichnis kopiert haben. Die letzten Zeichen
setzen sich aus dem Dateinamen der cofiles-Datei zusammen.
Bei unserem Beispieltransport würde der Transport also "DEVK12345" genannt werden
(Abzuleiten aus der cofiles-Datei K12345.DEV)
Das dürfte nun eine positive Meldung vom SAP zurückgeben und der Transport ist an die
Ihr Ansprechpartner

Seite 69
Importqueue angehängt. Nun können Sie diesen Transport wie jeden gewöhnlichen
Transportauftrag in das System importieren.
Schritt-für-Schritt Zusammenfassung
Cofiles/data-Datei in das Transportverzeichnis kopieren

Normalerweise /usr/sap/trans, falls nicht --> AL11 -> DIR_TRANS
Dateiowner und Zugriffsrechte anpassen
chown <sid>adm <Datei>
chmod 664 <Datei>
Im SAP-System: STMS -> Importübersicht -> Importqueue auswählen -> Zusätze ->
Weitere Aufträge -> Anhängen
Transportaufträge eingeben (<Dateiendung><Name der cofiles-Datei>)
Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen, lassen Sie es mich
wissen!
Zukünftig werde ich weiterhin sporadisch auftretende Aufgaben eines SAP-Basis-
Administrators als kleine Tutorials als Blogbeitrag verfassen, haben Sie eventuell einen
Wunsch für das nächste Thema?
Ihr Ansprechpartner

Seite 70
HANA DB mit Eclipse erste Schritte

Wer sich bereits einen eigenen SAP HANA DB Server installiert hat oder bereits einen HANA
DB besitzt, möchte eventuell auch mit einem Desktop-Client die Administration
durchführen. Hier bietet sich Eclipse an. Das Java-basierte Framework wird von der SAP
unterstützt und mit wenigen Handgriffen hat jeder seine Administrations- und Abfrage-
Oberfläche zusammen.
Inhalt
Eclipse installieren und HANA DB Software Repository einbinden
HANA DB Administration Console öffnen und Systemverbindung anlegen
Verbindung herstellen und testen
Eclipse installieren und HANA DB Software

Repository einbinden
Software-Zutaten:
Eclipse in der Release-Version Oxygen: https://www.eclipse.org/oxygen/

Benötigt eine Java JRE (z.B.
http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-213315
5.html)
Plugins von SAP: https://tools.hana.ondemand.com/ bzw. direkt für Oxygen
https://tools.hana.ondemand.com/oxygen/ (das wird später über Eclipse
eingebunden und muss nicht einzeln heruntergeladen werden)
Hier auch ruhig gucken, ob es nicht mittlerweile ein neueres Release von SAP gibt, das auch
neuere Releases von Eclipse unterstützt.
Installer starten
Ihr Ansprechpartner

Seite 71
Eclipse Platform Paket auswählen, das ist auch etwas schlanker als die anderen Varianten.
Ihr Ansprechpartner

Seite 72
Release bzw. Product Version wählen -> Oxygen
Ihr Ansprechpartner

Seite 73
Nach dem Start über Help->Install new software anwählen
Ihr Ansprechpartner

Seite 74
SAP Development Tools for Eclipse - Oxygen Software Repository hinzufügen:

https://tools.hana.ondemand.com/oxygen/
Nach dem Klick auf Next installiert die Software im Hintergrund.
Am Ende der Installation wird das Eclipse Studio einmal neugestartet.
HANA DB Administration Console öffnen und
Ihr Ansprechpartner

Seite 75
Systemverbindung anlegen
Aus der Übersicht die Administration Console öffen.
Ihr Ansprechpartner

Seite 76
Oder aus der Workbench heraus die Perspektive Administration Console öffnen.
System hinzufügen
Ihr Ansprechpartner

Seite 77
Die IP-Adresse ggf. über "sudo ifconfig" als hxeadm herausfinden. In diesem Fall melden wir
uns direkt an der SYSTEM-Datenbank an. "Next"
Ihr Ansprechpartner

Seite 78
Wir gehen als SYSTEM rein. Passwort entspricht dem Masterkennwort.

Auf "Finish" klicken.
Verbindung herstellen und testen
Ihr Ansprechpartner

Seite 79
Das System ist nun gelistet. Ein Doppelklick stellt die Verbindung her.
Übersichts-Infos, hier bin ich an eine HANA Express Edition 2.0 SPS03 angebunden.
Ihr Ansprechpartner

Seite 80
Test-SQL-Statement:
select * from SYS.DUMMY;
Über Button oder F8 ausführen.
Es sollte eine Zeile mit X herauskommen.

Herzlichen Glückwunsch, der Zugriff auf die HANA DB via Eclipse funktioniert. War das
nützlich? Ich freue mich über Feedback via Mail und als Kommentar hier unter dem Beitrag!
Ihr Ansprechpartner

Seite 81
Internes Kontrollsystem für SAP IT

Security - mit Hendrik Heyn
In dieser Folge bin ich auf dem DSAG Jahreskongress 2018 und spreche mit Xiting
Geschäftsführer und Spezialist für SAP-Security-Prozesse Hendrik Heyn. Es ging um die
Frage, wie man eigentlich die verschiedensten Prüfanforderungen systematisch und
nachhaltig unter einen Hut bringen kann.
Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!
Für die Youtube-Nutzer, hier die Folge verlinkt:
-------------------------------
Noch Fragen? Online Beratung mit mir buchen:
-------------------------------
Links und Downloads

Vortrag auf dem DSAG-Jahreskongress
Der Vortragstitel lautet: "V186: Implementierung eines internen Kontrollsystems (IKS) zur
Überprüfung der SAP-IT-Sicherheit". Die Folien gibt es im Download-Bereich der DSAG:
https://www.dsag.de/veranstaltungen/2018-10/dsag-jahreskongress-2018
Use-Case Konzeptgenerierung und IKS mit dem Xiting Security Architect
Ihr Ansprechpartner

Seite 82
(PDF-Download, 6 Folien, ca. 10 Minute Lesezeit)
Xiting Service SAP Sicherheitsüberwachung / IKS

https://www.xiting.ch/services/xams-services/sap-sicherheitsuberwachung-iks/
Software XAMS Security Architect

https://www.xiting.ch/produkte/security-architect/
-------------------------------
Kapitelmarken
00:48 Was ist eigentlich ein IKS? Woran merke ich, dass ich das brauche?
06:23 Was ist der Unterschied zwischen einem internen Kontrollsystem und einem Security
Konzept?
09:45 Was war die größte Herausforderung in dem Projekt?
10:56 Was ist würdest du jemanden mitgeben, der ein IKS aufbauen will?
12:56 Wie funktioniert nun das Monitoring in dem IKS?
16:30 Welche Rolle hat die XAMS und der Security Architect im Projekt gespielt?
18:58 Wie viel Beratung brauche ich noch, wenn ich das Tool verwende?
-------------------------------
Ihr Ansprechpartner

Seite 83

PODCAST: https://rz10.de/podcast
WEB: https://rz10.de
Ihr Ansprechpartner

Seite 84
Konfiguration des Security Audit

Log
von Torsten Schmits - Beitrag vom 14. Dezember 2018 - Artikel online öffnen
Steht bei Ihnen im Hause bald auch wieder eine Revision an? Dann empfehlen wir eine
korrekte Konfiguration des Security Audit Log.
In diesem Blog-Beitrag zeige ich Ihnen, wie unsere übliche Vorgehensweise zur
Konfiguration des Security Audit Log aussieht. Hierdurch kann ein Revisor alle relevanten
Ereignisse in Ihrem SAP System einsehen und somit von Ihm gewünschte Nachverfolgungen
anstellen. Das Entscheidende hierbei ist jedoch, dass zuvor einerseits das Security Audit Log
selbst korrekt konfiguriert wurde und im Anschluss auch nutzbare Filter eingestellt sind.
Parameter des Security Audit Log

Über die Transaktion RZ10 können Profilparameter im Instanzprofil konfiguriert werden.
Bitte beachten Sie hierbei, dass ein Neustart der Instanz notwendig ist, damit die
geänderten Parameter in Kraft treten. Wir empfehlen folgende drei Einstellungen:
Damit das Security Audit Log beim nächsten Start automatisch aktiv ist, empfehlen
wir den Parameter rsau/enable auf den Wert 1 zu setzen
Um später ausreichend Filter setzen zu können, halten wir einen Wert von 10 für
den Parameter rsau/selection_slots für angemessen
Da später bei den Filtern der selektieren Nutzer keine Mehrfachselektionen genutzt
werden können, empfehlen wir rsau/user_selection auf 1 zu setzen, wodurch
zumindest der Stern als Wildcard genutzt werden kann
Filter des Security Audit Log

Nachdem die zuvor genannten Parameter gesetzt wurden, können Sie in der SM19 Ihre
gewünschten Filter zur Verwaltung, welche Ereignisse aufgezeichnet werden sollen,
definieren. Erstellen Sie sich hierfür in der SM19 zunächst ein neues Profil oder selektieren
ein Bestehendes.
Ihr Ansprechpartner

Seite 85
Nun können Sie die konkreten Filter einstellen. Unsere Empfehlung dafür sieht so aus:
Alle kritischen Aktionen von allen Usern in allen Mandanten

Alle Aktionen von allen Usern, die mit "SAP" beginnen in allen Mandanten
Alle Aktionen von allen Notfall-Usern in allen Mandanten
Alle Login- und Transaktionsereignisse für den Nutzer DDIC in allen Mandanten (der
DDIC Nutzer sollte nicht im Dialog aktiv sein)
Alle Aktionen von allen Usern im Mandanten 066 (Der SAP Standard-Mandant 066
ist alt und wird nicht mehr benötigt)
Die verbleibenden Filter können frei genutzt werden.
Nun müssen Sie diese Einstellungen nur noch speichern, auf allen Servern verteilen und
aktivieren. Ein Popup zur Aktivierung auf allen Servern erscheint beim Speichern.
Auswertung des Security Audit Log

Für die Auswertung des Security Audit Log gehen Sie in die Transaktion SM20. Wählen Sie
hier Ihre gewünschten Daten und klicken oben auf den Button zum neuen Lesen des Audit
Logs.
Mich interessieren Ihre Erfahrungen, haben Sie andere Filter für Ihr Security Audit Log
gesetzt oder nutzen Sie komplett andere Vorgehensweisen?
Ich freue mich auf Ihre Anfragen!
Ihr Ansprechpartner

Seite 86
Konsistenzprüfung von Objekten

über mehrere Systeme
von Torsten Schmits - Beitrag vom 30. November 2018 - Artikel online öffnen
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie mit Hilfe eines Reports eine
Konsistenzprüfung von Objekten über mehrere Systeme durchführen können.
In den meisten Systemlandschaften herrscht viel Bewegung der Objekte in den einzelnen
Systemen. Oftmals erhält die Basisabteilung Anfragen einzelner Entwickler, dass ein
Transport in Folgesysteme transportiert werden soll. Ein Transport läuft auf einen Fehler,
der erst noch analysiert werden muss, bevor erneut transportiert wird. Es gibt vermutlich
noch hunderte weitere Gründe, weshalb es zu Inkonsistenzen von Objekten innerhalb einer
Systemlandschaft kommen kann. Im Folgenden möchte ich Ihnen ein Beispiel aus meinen
praktischen Erfahrungen geben:
Fallbeispiel
Eine Applikation, die aus mehreren hundert Transporten besteht, wurde vollständig durch
die komplette Systemlinie transportiert. Hierbei kam es zu Inkonsistenzen, da in einigen
Fällen die Reihenfolge der Transporte durcheinander geraten ist. Dies ist jedoch zunächst
unentdeckt geblieben, da die Applikation erst später getestet worden ist. Als es zu dem Test
kam, sind die Probleme aufgefallen und eine Rekonstruktion war äußerst kompliziert.
Unsere Lösung: Report zur Konsistenzprüfung

In der vergangenen Zeit haben wir unser Repertoire an Reports zur Unterstützung im Alltag
ständig erweitert. Neben Reports zur Kontrolle über die Import-Reihenfolge von
Transporten oder auch Reports zur Verwaltung von externen Transportaufträgen haben wir
auch hier einen Report entwickelt, der die Konsistenz von Objekten über mehrere Systeme
prüfen kann.
Es können entweder die Objekte direkt angegeben werden oder alternativ kann eine
Auswahl der Objekte über Transportaufträge geschehen:
Ihr Ansprechpartner

Seite 87
Anhand des Ergebnisses kann abgelesen werden, ob es in einem der Systeme Schiefstände
gibt. Auf dem dargestellten Bild ist jedoch ein sauberer Stand dargestellt. Dieser gibt
Gewissheit über die Konsistenz der geprüften Objekte innerhalb der Systemlinie.
Mich interessieren Ihre Erfahrungen, hatten Sie bereits mit Inkonsistenzen zu kämpfen? Wie
Ihr Ansprechpartner

Seite 88
sind Sie diese angegangen?

Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder dessen Funktionsweise. Ich
Ihr Ansprechpartner

Seite 89
Kontrolle über die Import-

Reihenfolge von Transporten
von Torsten Schmits - Beitrag vom 1. Oktober 2018 - Artikel online öffnen
In diesem Blog-Beitrag zeige ich Ihnen, wie Sie Gewissheit und Kontrolle über die Import-
Reihenfolge von Transporten in Ihrer SAP-Systemlandschaft erhalten.
In den meisten Systemlandschaften muss eine Vielzahl von Transporten durch die
Systemlinie oder sogar über verschiedene Systemlinien hinweg transportiert und importiert
werden. Hierbei ist es absolut notwendig, dass die Transporte in korrekter Reihenfolge
importiert werden. Dies zu verwalten stellt eine große und wichtige Anforderung an Basis-
Administratoren dar.
Das Problem: Überholer-Aufträge

Sollte die korrekte Reihenfolge einmal nicht eingehalten werden, kann es schnell zu
ungewollten Überholer-Aufträgen kommen. Hierdurch werden Objekte mit falschen
Versionen überschrieben und es entsteht ein inkonsistenter Stand. Dieser kann zur Folge
haben, dass verschiedene Funktionalitäten nicht mehr gegeben sind und dadurch das
Tagesgeschäft gestört wird.
Warum nicht die STMS nutzen?
Wir haben des Öfteren die Erfahrung machen müssen, dass bei der Nutzung der STMS die
Import-Reihenfolge von Transporten nicht immer so eingehalten wurde, wie wir es erwartet
hätten.
In einem Fall sind zum Beispiel mehrere Systemlinien und auch andere externe
Transportaufträge im Spiel gewesen, die eingespielt werden mussten. Diese hatten
Abhängigkeiten zu bereits vorhandenen Objekten, wodurch eine korrekte Import-
Reihenfolge essentiell gewesen ist. In diesem Fall ist die Import-Reihenfolge nicht korrekt
gewesen, was zu inkonsistenten Objektständen geführt hat. Diese wurden erst im
Nachhinein entdeckt, waren schwer nachzuvollziehen und haben sich auch nur schwer
beheben lassen. Um dieses Problem dauerhaft zu vermeiden, haben wir eine geeignete
Lösung gesucht.
Ihr Ansprechpartner

Seite 90
Unsere Lösung: Report zur Import-Steuerung

Wir haben einen Report entwickelt und umfangreich getestet, der sicherstellt, dass die
Reihenfolge der Transporte beim Import-Vorgang eingehalten wird.
Die eingefügte Liste von Transporten wird schrittweise mit den gewählten Optionen
abgearbeitet und ein Log geschrieben. Im Log werden Informationen über den Erfolg oder
Misserfolg beim Import-Vorgang festgehalten. Der Report selbst arbeitet auf Betriebssystem-
Ebene und nutzt den tp-Befehl, wie es auch im Transport-Management-System
gemacht wird - nur mit dem Unterschied, dass stets die Reihenfolge beibehalten wird
und somit Kontrolle über die Import-Reihenfolge von Transporten gegeben ist.
Mich interessieren Ihre Erfahrungen, hatten Sie das beschriebene Problem bereits? Mit
welchen Problemen in Ihrer täglichen Arbeit haben Sie zu kämpfen?
Kontaktieren Sie mich auch gerne bei Fragen zu dem Tool oder deren Funktionsweise. Ich
Ihr Ansprechpartner

Seite 91
Login-Historie von Usern mittels

SAL ermitteln
von Tobias Koch - Beitrag vom 20. Februar 2018 - Artikel online öffnen
Gerade nach Sicherheitsvorfällen kann es notwendig sein herauszufinden, welche

(technischen) User sich zu welchem Zeitpunkt eingeloggt haben. Einen ersten Einstiegspunkt
bietet dafür die Tabelle USR02. In der Spalte TRDAT können Sie für den gewünschten User
das letzte Anmeldedatum finden. Eine Historie über die vorherigen Anmeldungen ist in
dieser Tabelle jedoch nicht zu finden. In solchen Fällen hilft der Security Auditlog oder kurz
SAL.
Vorbereitung
Damit Sie auf die gewünschten Daten zugreifen können, müssen diese zuvor auch
gespeichert worden sein. Im Security Auditlog können Sie über verschiedene Filter
bestimmen, für welche User auf welchen Mandanten welche Informationen geloggt werden.
Der Security Auditlog speichert, je nach Konfiguration, Anmeldungen, RFC-Aufrufe und
weitere Aktionen für bestimmte User. Diese Einstellungen können Sie in der Transaktion
SM19 vornehmen.
Hinweis: Das Loggen von Useraktivitäten muss den betroffenen Usern bewusst sein! Konfigurieren
Sie die SAL daher nur für technische User oder in Absprache mit Usern / Betriebsrat / etc.
Es lässt sich dort u.a. einsehen, wann der SAL aktiviert und zuletzt bearbeitet wurde (1). Sie
können hier außerdem die verschiedenen Filter auswählen (2), die Filter einzeln aktivieren
(3), Mandanten und Benutzer bestimmen (4) sowie festlegen, welche Aktivitäten geloggt
werden (5).
Ihr Ansprechpartner

Seite 92
Statische Konfiguration in der SM19

Unter der Dynamischen Konfiguration lässt sich außerdem einsehen, ob SAL aktuell für das
System aktiv ist.
Status des SAL ermitteln
Auswertung des SAL

Wenn der Security Auditlog aktiv ist, wechseln Sie in die SM20 Auswertung des Security
Auditlog. Wählen sie die gewünschten User und den Mandanten aus sowie das passende
Zeitfenster. Für die Anmeldungen reicht die Option Dialoganmeldungen aus. Starten Sie
anschließend die Analyse über AuditLog neu einlesen.
Auswertung starten
Sie erhalten eine Übersicht der Anmeldungen des Users an den gewählten Mandanten des
Ihr Ansprechpartner

Seite 93
Systems.
Ergebnisübersicht
Haben Sie schon Erfahrungen mit SAL gemacht? Ich würde mich freuen in den
Kommentaren davon zu hören!
Ihr Ansprechpartner

Seite 94
Löschen oder Bearbeiten in der

SU01 führt zum Dump
MESSAGE_TYPE_X
von Tobias Koch - Beitrag vom 6. November 2018 - Artikel online öffnen
Beim Löschen eines Users oder bei der Bearbeitung der Adresse eines Users kommt es zu
einem Dump MESSAGE_TYPE_X. Dies kann unterschiedliche Gründe haben. Wie Sie den
Dump richtig analysieren und die Ursachen ausfindig machen, erfahren Sie in diesem
Artikel.
Allgemein
Die Fehlermeldung MESSAGE_TYPE_X ist leider nicht eindeutig und kann verschiedene
Ursachen haben. Im Regelfall haben diese Fehler bei der Userbearbeitung jedoch gemein,
dass es sich um Inkonsistenzen in einer Tabelle für User- und/oder Adressdaten dreht.
Diese Inkonsistenzen können auf unterschiedliche Gründe zurückzuführen sein, bspw.
Fehler bei einer Client-Copy oder aber Programmierfehler in älteren SAP-Versionen.
Fehlerquelle ausfindig machen
Nur anhand des Laufzeitfehler-Codes „MESSAGE_TYPE_X“ ist es schwierig, die richtige

Lösung zu finden – dazu tritt dieser Fehler bei zu vielen Ereignissen ein. Unser Freund ist
auch hier die Nachrichtenklasse und Nummer, welche sich beim Dump im Abschnitt
„Fehleranalyse“ befindet. Anhand der „AMxxx“ betitelten Nummer lassen sich die passenden
SAP-Notes mit den Korrekturprogrammen leichter finden.
SAP-Note einspielen
Zur Korrektur der Inkonsistenzen stellt SAP häufig ein kleines Korrekturprogramm zur
Verfügung, welches über die Entwicklung im System eingespielt werden muss.
Den Lösungsweg haben wir in zwei konkreten Beispielen beschrieben: Fehler beim Löschen
von Usern und Fehler beim Ändern von Telefonnummern.
Ihr Ansprechpartner

Seite 95
Ihr Ansprechpartner

Seite 96
Managed Services Q&A: Bedeutung

und Nutzen für Unternehmen - mit
Maximilian Job
von Tobias Harmes - Beitrag vom 13. September 2018 - Artikel online öffnen
Ich spreche mit dem Leiter für Managed Services Maximilian Job über was die Bedeutung
von Managed Services und wann Unternehmen so etwas nutzen.
Inhalt
Video
Kapitelmarken
Downloads & Links
Video
Managed Services sind in aller Munde. Aber was ist das eigentlich? Wie unterscheidet sich
das von Outsourcing? Und warum kann Managed Services sogar die Attraktivität eines
Arbeitsplatzes steigern? In dem Video spreche ich mit Maximilian Job genau über diese
Themen.
Kapitelmarken
00:53 Managed Services im Alltag: Werkstattbesuch vs. Mobilitäts-Service
05:12 Top 3 Gründe von Kunden für Managed Services und der Unterschied zu Outsourcing
09:32 Lösungsansätze für die Top 3 Gründe und Auswirkungen auf die Personalakquise
12:06 Einsatzbereiche für Managed Services im ITIL Service-Lifecycle
14:36 Beispiel für ein Kundensetup
Ihr Ansprechpartner

Seite 97
18:14 Die eine Sache noch...
Links und Downloads

Managed Services
https://en.wikipedia.org/wiki/Managed_services

unter dem Beitrag.
Ihr Ansprechpartner

Seite 98
Managen der Lastverteilung in BW-

Systemen bei
Wartungsmaßnahmen
von Florian Paetzold - Beitrag vom 24. September 2018 - Artikel online öffnen
Die Lastverteilung in Business Warehouse-Systemen ist sehr wichtig und in den meisten
Fällen passgenau konfiguriert. Da es sich meistens um Systeme handelt, welche rund um die
Uhr laufen - vor allem zu nicht-Betriebszeiten - sollten BW-Systeme in Fällen von
Wartungsmaßnahmen gesondert behandelt werden.
Die BW-Systeme, die ich bei meinen bisherigen Kunden kennengelernt habe, waren häufig
auf mehrere Applikationsserver verteilt, welche wiederum auch auf verschiedenen Hosts
verteilt waren. So kann sichergestellt werden, dass das System bei der Wartung einzelner
Hosts weiterlaufen konnte und die wichtigsten Jobs, wie bspw. Monatsabschlüsse, trotz
Wartungsmaßnahmen weiterlaufen konnten.
Aber auch bei dieser Lösung reicht es nicht, dass die Applikationsserver nur
heruntergefahren werden, sie müssen auch sauber aus der Lastverteilung genommen
werden, damit weitere anstehende Jobs nicht auf die heruntergefahrenen
Applikationsserver verteilt werden und dadurch möglicherweise abbrechen. Was alles von
technischer Seite zu beachten ist, habe ich Ihnen hier einmal aufgelistet:
Lastverteilungsgruppen der Hintergrundverarbeitung:
Für Jobs, welche durch Hintergrundverarbeitung auf die Batch-Workprozesse der einzelnen
Applikationsserver aufgeteilt werden, werden sogenannte Servergruppen genutzt. Diese
können in der SM61 unter dem Button "Job-Servergruppen" verwaltet werden:
Hier gibt es bei eingerichteter Lastverteilung eine Gruppe namens SAP_DEFAULT_BTC,

welche alle Applikationsserver aufführt, auf welche die Jobs verteilt werden.
Ihr Ansprechpartner

Seite 99
Soll nun ein Applikationsserver abgeschaltet werden, ist es sinnvoll, diesen vorher aus
dieser Servergruppe (und eventuellen weiteren) herauszunehmen, damit keine neuen Jobs
mehr zugeordnet werden.
Entfernen des Applikationsservers aus den Logon-Gruppen:
Um zu verhindern, dass Anwender, oder auch automatische Abfragen, nicht mehr durch
eine Anmeldung über Logon-Gruppen auf den herauszunehmenden Applikationsserver
geleitet werden, muss dieser Server auch aus den Logon-Gruppen entfernt werden.
Hierzu wird die Transaktion SMLG aufgerufen, in der die Logon-Gruppen verwaltet werden.
Auch hier gilt es, die Einträge für den betroffenen Applikationsserver herauszunehmen,
sodass keine Zuordnung mehr stattfinden kann.
Allerdings ist Vorsicht geboten, falls es Logon-Gruppen gibt, wo es keine Alternativ-Server
gibt. Sobald hier der letzte Applikationsserver herausgenommen wird, schlägt jeder Logon-
Versuch über die Logon-Gruppe fehl.
RFC-Server-Gruppen-Pflege:
Nun haben wir die weitere Verteilung über Hintergrundprozesse und über Logon-Gruppen
eingeschränkt, allerdings gibt es noch die RFC-Server-Gruppen, welche noch beachtet
werden müssen. Die Konfiguration hierfür können wir in der Transaktion RZ12 vornehmen.
Auch hier gilt es, den Applikationsserver zu entfernen, sodass nun auch keine Verteilung
mehr über RFC-Gruppen mehr stattfindet.
Herunterfahren per Soft-Shutdown:
Sobald wir diese Konfigurationen vorgenommen haben, kann der Applikationsserver

heruntergefahren werden. Hierfür empfehle ich den Soft-shutdown über die Transaktion
SM51. Durch den Soft-Shutdown können die aktuell noch laufenden Hintergrundprozesse
und Jobs noch in Ruhe beendet werden, es starten aber durch unsere Vorkonfigurationen
keine weiteren mehr auf dem Server. Sobald kein Job mehr läuft, fährt sich der
Applikationsserver herunter und die Wartungsarbeiten können durchgeführt werden.
Es ist empfehlenswert, vor jeder dieser Änderungen eine Dokumentation darüber
anzufertigen, wie der Stand vorher war. Nach der jeweiligen Wartung kann der
Applikationsserver ganz normal mit dem Befehl "startsap r3" auf der Konsole des
Applikationsservers neugestartet werden. Nach erfolgreichem Neustart kann dann anhand
Ihr Ansprechpartner

Seite 100
der Dokumentation der Server wieder normal in die Lastverteilung mit aufgenommen
werden und das System kann wieder mit vollen Ressourcen arbeiten.
Hat Ihnen diese Anleitung geholfen oder haben Sie eine andere Vorgehensweise in solchen
Situationen?
Schreiben Sie mir gerne von Ihren Erfahrungen!
Ihr Ansprechpartner

Seite 101
Minimal berechtigte SAP Rollen

erstellen
von Torsten Schmits - Beitrag vom 5. September 2018 - Artikel online öffnen
In diesem Blog-Beitrag zeige ich Ihnen, warum und wie Sie mit möglichst wenig Aufwand
und der Xiting Authorizations Management Suite ohne Unterbrechung des Tagesgeschäfts
minimal berechtigte SAP Rollen aufbauen können.
Viele Unternehmen haben Nutzer in ihrem SAP-System, die mit zu vielen oder sogar
kritischen Berechtigungen ausgestattet sind. Aufgrund der schnell steigenden Komplexität
im Berechtigungswesen ist es keine einfache Aufgabe, die Berechtigungen eines Nutzers auf
ein Minimum zu beschränken, ohne diesen bei seinem Tagesgeschäft zu stören.
Warum benötige ich minimal berechtigte SAP

Rollen für meine Nutzer?
Im Rahmen einer Wirtschaftsprüfung sind zu viele Berechtigungen für Nutzer
beziehungsweise Nutzergruppen ein häufig bemängelter Punkt. Ebenfalls stellt
Unwissenheit ein nennenswertes Problem dar. Es kommt nicht selten vor, dass Nutzer aus
Versehen Aktionen ausführen, die verschiedenste Konsequenzen mit sich führen können.
Diese Probleme können anhand einer minimalen Berechtigung der Nutzer eingedämmt
werden.
Was ist das Problem bei der Einführung minimal

berechtigter Rollen?
Es existiert das Problem, dass die Nutzer in den Prozess einer neu zu erstellenden Rolle
eingebunden werden müssen und damit Zeit und Geld verbraucht wird. Eine klassische
Vorgehensweise sieht zum Beispiel so aus, dass Nutzer zunächst mitteilen, welche
Transaktionen beziehungsweise Rechte sie benötigen und erhalten eine darauf
zugeschnittene Rolle. Im Nachgang treten oftmals weiterhin Probleme in Bezug auf fehlende
Berechtigungen auf, wodurch das Tagesgeschäft wiederum gestört wird. Aufgrund dieser
Probleme liegt es Nahe, eine andere Strategie zur Neugestaltung einer Rolle zu verfolgen.
Hierfür stelle ich Ihnen zunächst die technische Eigenschaft eines SAP-Systems zum
Ihr Ansprechpartner

Seite 102
Referenznutzer vor.
Der Referenznutzer
Zu jedem Nutzer in einem SAP-System kann ein Referenznutzer angegeben werden. Bei
einer Berechtigungsprüfung werden daraufhin sowohl die Berechtigungen des Nutzers, als
auch die des dazu definierten Referenznutzers geprüft. Damit die Berechtigungsprüfung
erfolgreich beendet wird, genügt es, wenn einer der beiden die geforderte Berechtigung
besitzt.
Welches Vorgehen empfehle ich Ihnen?

Um einen möglichst geringen Aufwand bei der Neugestaltung von SAP Rollen zu haben, lege
ich Ihnen die Nutzung der Xiting Authorizations Management Suite nahe. Diese bietet ein
riesiges Paket von verschiedensten Funktionen und nutzt dafür zum Teil das Konzept des
Referenznutzers. Durch diese technische Eigenschaft eines SAP-Systems kann mittels der
Xiting Authorizations Management Suite eine Aufzeichnung und Auswertung von echten
Tracedaten eines Nutzers anhand einer Simulation auf dem realen Produktivsystem
vorgenommen werden. Das Vorgehen sieht hierbei wie folgt aus:
Phase 1
Ihr Ansprechpartner

Seite 103
In einer ersten Phase werden zunächst Tracedaten des Nutzers erstellt, auf dessen Basis im
Anschluss mit der Xiting Authorizations Management Suite eine entsprechende Rolle
generiert werden kann. Diese besitzt genau die Berechtigungen, die in den aufgezeichneten
Tracedaten vermerkt worden sind. Die Konfiguration zur Aufzeichnung der Tracedaten
geschieht in der ST03N.
Phase 2
In der zweiten Phase wird dem zu minimal berechtigendem Nutzer ein Referenznutzer
zugewiesen, der die im ersten Schritt erstellte Rolle zugewiesen hat. Hierdurch können
jegliche Berechtigungsprüfungen, die von dem Nutzer und seinem zugeschaltetem
Referenznutzer ausgehen, verglichen werden. Im Anschluss kann aus diesen Daten
ausgelesen werden, welche Berechtigungsprüfungen der Nutzer erfolgreich durchgeführt
hat, sein zugeschalteter Referenznutzer jedoch nicht. Auf Basis dieser Daten kann die neu
erstellte Rolle bei Bedarf noch erweitert werden.
Phase 3
In der dritten und letzten Phase wird dem Nutzer schließlich die neu erstellte SAP Rolle
zugewiesen. Die Xiting Authorizations Management Suite bietet als Airbag an, dass die alte
Rolle des Nutzers im Notfall nochmals als Referenznutzer zugeschaltet werden kann und
sichert somit die Fortführung des Tagesgeschäfts.
Haben Sie noch andere Vorgehensweisen zur Erstellung von minimal berechtigten SAP
Rollen? Konnten Sie dieses Vorgehen bereits ausprobieren und haben Wünsche oder
Verbesserungsvorschläge? Lassen Sie es mich wissen! Ich freue mich über Ihre
Kommentare!
Ihr Ansprechpartner

Seite 104
Notfallbenutzerkonzept in SAP -
Funktionsweise und Vorgehen
von Luca Cremer - Beitrag vom 27. Februar 2018 - Artikel online öffnen
Ein gut gepflegtes Nofallbenutzerkonzept ermöglicht die revisionssichere Vergabe von

erweiterten Berechtigungen in Kombination mit der Sicherstellung des täglichen Betriebs in
Ihrem Unternehmen. In diesem Artikel wird zuerst auf die grundlegende Problematik,
welche ein Notfallbenutzerkonzept erforderlich macht, eingegangen. Anschließend wird
kurz erklärt, wie ein solches Konzept generell funktioniert und wie wir dieses umsetzen.
Ein Notfallbenutzer wird im Normalfall verwendet, wenn vorübergehend Aufgaben

außerhalb des ursprünglichen Tätigkeitsfeldes übernommen werden. Die verschiedenen
Szenarien, wann ein solcher Nutzer zum Einsatz kommen kann und wie damit umzugehen
ist, habe ich in diesem Blogbeitrag für Sie beschrieben.
Warum ist ein Notfallbenutzerkonzept wichtig?

Es gibt mehrere Szenarien, in welchen die Verwendung eines Notfallbenutzers mit
erweiterten Rechten sinnvoll ist:
In dringenden Fällen ist es häufig erforderlich, schnell Änderungen am System

durchführen zu können welche außerhalb des eigentlichen Tätigkeitsfeldes des
Benutzers liegen.
Ein Key-User, welcher die notwendigen Berechtigungen besitzt, ist im Urlaub und
benötigt eine Vertretung.
Derselbe Benutzer ist kurzfristig erkrankt und seine Vertretung muss seine
Aufgaben übernehmen, um den Betrieb sicher zu stellen.
Wir empfehlen die Entwicklung eines Konzepts zur kurzfristigen Vergabe der zusätzlichen
Berechtigungen. So kann die Umsetzung der oben genannten Szenarien sichergestellt
werden.
Ihr Ansprechpartner

Seite 105
Wie funktioniert ein Notfallbenutzerkonzept?

Ein Notfallbenutzerkonzept in SAP funktioniert grundlegend über eine temporäre Vergabe
von zusätzlichen Rechten an einen bestimmten User. Nachdem die Aufgaben erledigt
worden sind, werden dem User die Rechte wieder entzogen. Die getätigten Aufgaben mit
den erweiterten Berechtigungen werden protokolliert und können anschließend von einem
Revisor ausgewertet werden.
Hier sind jedoch einige Faktoren zu beachten:
Es sollte ein Prozess definiert werden, nach welchem die Vergabe von
Sonderrechten erfolgt.
Es muss festgelegt sein, welche User Sonderrechte erhalten können.
Der Zeitraum, für welchen die User einen Notfallbenutzer beantragen können, sollte
limitiert sein.
Bestenfalls wird für die Zeit, in welcher ein Notfallbenutzer im Einsatz ist, ein
gesondertes Protokoll über die getätigten Aktivitäten geschrieben, welches
anschließend ausgewertet werden kann.
In dem nachfolgenden Kapitel möchte ich Ihnen gerne unsere Best-Practice

Herangehensweise zur Umsetzung eines Notfallbenutzerkonzepts erklären.
Unsere Herangehensweise zur Verwendung von

einem Notfallbenutzerkonzept
Wir haben gute Erfahrungen mit dem Einsatz der Xiting Authorizations Management Suite
(XAMS) in diesem Bereich gemacht. Diese Suite besteht aus verschiedenen Modulen zur
Erstellung von Rollenkonzepten, Verwalten von Berechtigungen inklusive eines
Berechtigungskonzepts und ermöglicht zudem die Umsetzung von einem
Notfallbenutzerkonzept.
Die XAMS arbeitet hier mit einer zeitlich limitierten Zuweisung von Referenzbenutzern mit
erweiterten Rechten um das Notfallbenutzerkonzept zu ermöglichen. Hierbei kann ein Self-
Service Antrag mit einer Begründung und einer Zeitdauer für die Zuteilung von
Sonderrechten erfolgen. Das Antragsfenster ist beispielhaft im folgenden Screenshot
Ihr Ansprechpartner

Seite 106
dargestellt:
Auswertung der Nutzung des Notfallbenutzerkonzepts
Sobald dieser Antrag angestoßen wurde, wird für den User ein neuer Modus geöffnet, in
welchem er mit den erweiterten Rechten arbeiten kann. Zusätzlich, kann je nach
Konfiguration ein hinterlegter Workflow als Genehmigungsprozess angestoßen werden,
oder es werden vorher definierte Verantwortliche zur Überprüfung der Aktivitäten per Email
benachrichtigt.
Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen
eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten
Ihr Ansprechpartner

Seite 107
Berechtigungen. Eines dieser Protokolle ist im nächsten Screenshot zu sehen:
Diese Protokolle können auch im System angeschaut werden. Hier bekommen Sie nach
einer Selektion der User einen Überblick über alle gelaufenen Sessions. Es gibt zusätzlich die
Möglichkeit getätigte Aktivitäten mit Sonderrechten nach einer entsprechenden Auswertung
zu genehmigen. Hierdurch kann sich der Verantwortliche einen Überblick über die
getätigten Aktivitäten mit dem Notfallbenutzer verschaffen.
Wenn Sie dieses Notfallbenutzerkonzept verwenden und die genannten Schritte befolgen
können Sie folgende Punkte sicherstellen:
Jeder User auf dem Produktivsystem behält seine ursprünglich notwendigen Rechte.
Berechtigungen über das tägliche Aufgabenspektrum hinaus werden nur für
limitierte Zeiträume und unter Kontrolle vergeben.
Die Aktivitäten mit dem Notfallbenutzer werden revisionssicher protokolliert.
Haben Sie bereits ein Notfallbenutzerkonzept im Einsatz oder wollen gerne ein solches
einführen? Ich freue mich, wenn Sie Ihre Erfahrungen mit mir teilen! Sie können mir gerne
einen Kommentar hinterlassen oder mich per E-mail kontaktieren.
Ihr Ansprechpartner

Seite 108
PFCG Massenkopieren Rollen –

Tipps zum optimalen Vorgehen
Das manuelle Massenkopieren von mehreren hundert Rollen in der PFCG ist zeitraubend.
Neulich bin ich über einen interessanten Tipp von Julius von dem Bussche gestolpert. Im
Folgenden beschreibe ich zwei Varianten und die eigentlich richtige Lösung am Ende.
Massenkopieren Rollen Variante 1:

Legen Sie eine Sammelrolle für temporäre Kopierzwecke an
Ordnen Sie alle zu kopierenden Einzelrollen der Sammelrolle zu
Ihr Ansprechpartner

Seite 109
Kopieren Sie die Sammelrolle in PFCG und wählen Sie die Option, die dazugehörigen
Einzelrollen ebenfalls zu kopieren
Ihr Ansprechpartner

Seite 110
Vergeben Sie neue Namen bei diesem Vorgehen, denn nur so sind die Ziel-Einzelrollen
tatsächlich vollständig angelegt
Ihr Ansprechpartner

Seite 111
Ihr Ansprechpartner

Seite 112
Wie immer beim Kopieren: hinterher müssen die Rollen noch generiert werden (Reiter
Berechtigungen ist gelb)
Nachteil: Orgebenen bzw. Beschreibungen werden nicht angepasst und wenn Sammelrollen
vorher schon verwendet wurden ist diese Funktion ausgeschlossen
Massenkopieren Rollen Variante 2:

Laden Sie die Rollen über PFCG Mass Download herunter
Editieren Sie die Dateien mit einem Texteditor für die neuen Namen, Beschreibungen und
Orgebenen --> Achtung: Ist sehr fehleranfällig, da die Formatierung verlorengehen kann
Eine ausführliche Beschreibung dazu finden Sie hier: https://rz10.de/sap-
Ihr Ansprechpartner

Seite 113
berechtigungen/rollen-umbennen-sap-download-upload/
Massenkopieren Rollen – die eigentliche Lösung:

SAP bietet API-Methoden für PFCG seit 7.40 an (siehe z.B. hier). Die API's sind nicht sehr
einfach, sie sind jedoch stabil. Ein Tool, was diese API's nutzt und von uns in Projekten
verwendet wird, ist die Xiting XAMS.
Kennen Sie weitere Möglichkeiten (manuell oder Tools), SAP Rollen in einem größeren
Umfang einfach und zügig zu kopieren? Ich freue mich auf Ihr Feedback.
Ihr Ansprechpartner

Seite 114
Potentielle Sicherheitsrisiken bei

Antragsprozessen in IDM-
Systemen
von Christian Stegemann - Beitrag vom 2. Januar 2018 - Artikel online öffnen
Governance, Risk & Compliance: Welche Anforderungen und Vorteile bietet ein modernes
Identity-Management-System (IDM) im GRC-Kontext und worauf sollte man bei
Antragungsprozessen achten?
Moderne Unternehmen müssen für eine optimale Unternehmenssteuerung und

-Überwachung die Zugriffsmöglichkeiten und Systemberechtigungen ihrer Mitarbeiter
wirksam kontrollieren können. Diese Notwendigkeit lässt sich nicht zuletzt auch von
gesetzlichen Anforderungen ableiten.
Unter IDM versteht man das Benutzer- und Berechtigungsmanagement innerhalb eines
Unternehmens. Diese Systeme sind elementarer Bestandteil des internen Kontrollsystems.
Darunter fällt die fortlaufende Überwachung und Vergabe von Zugriffsmöglichkeiten sowie
die systemseitige Sicherstellung von Funktionstrennungen (SoD - Segregation of Duties) in
den IT-Systemen. Dieses dient in erster Linie dazu relevante Geschäfts- und Finanzrisiken
besser zu steuern und kriminelle Handlungen zu Unterbinden. Bei der Verwaltung von
Benutzer- und Berechtigungsstrukturen muss sichergestellt werden, dass bei Änderung von
Aufgaben- und Verantwortungsbereichen die Berechtigungen der betroffenen Mitarbeiter in
den Systemen angepasst werden. Versäumt man diesen Prozess, besitzt ein Mitarbeiter der
mehrere Abteilungen durchläuft letztendlich umfangreiche Berechtigungen die in
Kombination kritisch sein können.
Vertrauen ist gut, Kontrolle ist besser

Um es zu vermeiden das Mitarbeiter über Ihren Kompetenzbereich hinaus berechtig sind,
müssen Benutzerdaten und Berechtigungen fortlaufend den aktuellen Erfordernissen
angepasst werden. Es ergibt daher Sinn regelmäßig einen Rezertifizierungsprozess
durchzuführen, in dem Rolleneigner und Führungskraft unter Beachtung des
Vieraugenprinzips abzeichnen das der Mitarbeiter die aktuellen Berechtigungen zurecht
besitzt oder ob ihm möglicherweise Rechte aus vorhergegangenen Tätigkeiten entzogen
werden können/müssen.
Ihr Ansprechpartner

Seite 115
Provisionierung als zentrale Funktion des IDM

Eine zentrale Funktion von IDM-Systemen bilden Provisionierungskomponenten, die den
Anwendern entsprechend ihrer Aufgabe individuelle Zugangsberechtigungen für die
erforderlichen IT-Ressourcen verschaffen. Ohne diese Provisionierungskomponente
müssten Anpassungen von Mitarbeiterberechtigungen in den jeweiligen IT-Ressourcen von
den zuständigen System-Administratoren umgesetzt werden. Manuelle
Provisionierungsabläufe bilden allerdings naturgemäß eine Fehlerquelle. Ändert sich das
Aufgabenspektrum eines Mitarbeiters müsste der Systemadministrator bei der Änderung
und Löschung von Zugängen alle aktiven Benutzerkonten berücksichtigen. Ein modernes
IDM-System hilft den Unternehmen deshalb gerade in komplexen und heterogenen
Systemlandschaften den Überblick zu Benutzern und deren Berechtigungen zu behalten.
Vorteile eines IDM-Systems

Automatisierung der Prozesse
In einem IDM werden IT-Geschäftsprozesse, das Anlegen, Ändern sowie das Löschen eines
Benutzers anhand eines eindeutigen Regelwerks zentral definiert. Anschließend laufen alle
notwendigen Schritte mittels automatisierter Workflows ab. Die Benutzerverwaltung muss
nicht mehr für jedes einzelne System separat administriert werden, sondern nur noch an
einer zentralen Stelle (Single Point of Administration).
Datenkonsistenz
Mitarbeiterdaten werden in einer IDM-Architektur nur einmal in einem führenden System

angelegt. Alle angeschlossenen Systeme nutzen diese Daten in ihrer Benutzerverwaltung
bedarfsorientiert. Bei einem Abteilungswechsel oder einer neuen Tätigkeit werden
Berechtigungen automatisiert angepasst.
Sicherheit und Dokumentation
In einer zentralen Benutzerverwaltung lassen sich Anwender effizient auf allen Systemen
sperren oder die Zugriffsrechte ändern. Durch die Anbindung an den Personalprozess wird
der Änderungsprozess automatisch angestoßen sobald in der Personalabteilung der
Stammdatensatz angepasst wird. Außerdem können durch Dokumentationslösungen alle
Ihr Ansprechpartner

Seite 116
Vorgänge lückenlos archiviert werden. Dadurch entsteht eine Transparenz die auch den
Nachweis eines funktionierenden und sicheren Berechtigungskonzepts bei
Revisionsprüfungen erleichtert.
Anforderungen an IDM-Systeme
Personen erhalten elektronische Identität
Attribute beschreiben die Rolle der Person
Qualitätsanforderungen
Verlässlichkeit: Missbrauchsverhinderung
Nachvollziehbarkeit: Dokumentation und Logging
Ausfallsicherheit: Back-up-Systeme
Einklang mit rechtlichen Vorgaben
Datenschutzgesetz
Worauf sollte man bei Antragsprozessen achten?

Bei der Implementierung und auch im laufenden Betrieb eines IDM gibt es bestimmte Dinge
die man bei Antragsprozessen zwingend beachten sollte. Die wichtigsten Punkte habe ich
Ihnen in Form einer Checkliste zusammengefasst.
Ihr Ansprechpartner

Seite 117
Ihr Ansprechpartner

Seite 118
Precalculation Server selber

installieren
von Alexander Depold - Beitrag vom 19. April 2018 - Artikel online öffnen
Der Precalculation Server ist eine Standalone Anwendung, mit der es möglich ist auf Basis
der SAP BI Daten Excel Arbeitsmappen zu generieren und diese entsprechend zu verteilen.
Nutzen Sie den Precalculation Server bereits oder möchten seine Vorzüge in Zukunft für sich
nutzen? Gerne erläutere ich Ihnen die Schritte von der Installation des Precalculation
Servers bis zum schlussendlichen Start der Instanzen auf dem Zielsystem sodass Sie den
Precalculation Server für Ihre Zwecke nutzen können.
Als Leser unseres RZ10 Blogs interessieren Sie sich sicher für Tricks und Kniffe, die Ihnen die
Handhabe Ihres SAP-Systems erleichtern. Vielleicht kennen Sie die Situation, dass Sie selber
einen Precalculation Server installieren wollen. Bei uns erfahren Sie wie diese Aufgabe im
SAP Umfeld umgesetzt werden kann.
Voraussetzungen
Für den Betrieb des Precalculation Servers brauchen Sie beispielsweise eine Windows 7
oder eine Windows Server 2012 Instanz auf dem der Precalculation Server installiert wird.
Hierbei sind sowohl 32 als auch 64-Bit Versionen nutzbar. Zudem ist auf der Maschine
neben einer Microsoft Excel Installation (unbedingt 32-Bit version) eine .NET Installation zur
Ausführung des Precalculation Servers erforderlich.
Download der Installationsdateien

Vorab sollten Sie die neuesten Installationsdateien der offiziellen SAP-Website auf die
Zielrechner herunterladen.
Cleanup Phase
Ihr Ansprechpartner

Seite 119
Sollten Sie bereits eine bestehende Installation auf dem System haben, müssen Sie als
erstes alle Elemente deinstallieren um einen sauberen Host für den Precalculation Server zu
verwenden. Hierzu kann das Control Panel von Windows aufgerufen werden:
Die Reihenfolge ist gemäß der SAP Dokumentation einzuhalten. Daher die folgende
Vorgehensweise für die Deinstallation anwenden, es sollte keine Installation mehr von SAP
sichtbar sein:
Reihenfolge:
1. SAP BW Precalculation Service

2. SAP Business Explorer
3. SAP GUI for Windows XY
Hinweis: Während der Installation und Deinstallation einzelner Komponenten kann es dazu
kommen, dass der Status des Fortschrittsbalken an gewissen Stellen stehen bleibt. Dies ist
kein Grund zur Beunruhigung, sondern ein normales Verhalten. Oft bleibt es bei 92% oder
95% für etwa 10 Min stehen.
Im Anschluss werden die folgenden Ordner auf dem System komplett gelöscht:
C:\Program Files (x86)\Common Files\SAP Shared\BW löschen

C:\Program Files (x86)\SAP löschen
C:\Program Files\SAP löschen
Damit ist die Phase des CleanUps abgeschlossen.
Neue Version installieren
Ihr Ansprechpartner

Seite 120
SAP GUI und Bex (BI Addon)

Als erstes muss die SAP GUI und der Business Explorer (Bex) installiert werden.
Im Installer bitte folgendes auswählen und installieren (siehe Screenshot):
SAP GUI Suite unter SAP GUI for Windows (=Frontend)

Business Explorer komplett
Der Fortschrittsbalkens bleibt oft bei ca.93% stehen. Es dauert ein paar Minuten, bis die
Installation abgeschlossen wurde.
SAP GUI Patches / Hotfixes

Nach der Installation der GUI sollten die GUI Patches nachgezogen werden soweit
verfügbar. Hierzu zählen auch die Hotfixes nach den Patches, die unbedingt erst nach den
Patches installiert werden.
BI Addon Patch
Eventuell muss erst ein neues Service Package und dann der Patch installiert werden. Es
kann auch sein, dass direkt gepatched werden kann wenn ein anderes SP besteht. Der
Prozess nimmt etwa 30 Minuten in Anspruch. Der Fortschritt der Installation pausiert wie
bereits oben genannt bei einer gewissen Prozentzahl, muss also nicht vorschnell
abgebrochen werden. Sollte die Installation nicht möglich sein, wird die neueste Version
bereits in einem anderen Setup mitgeliefert.
Installation des Precalculation Servers

Weiter wird der Precalculation Server installiert. Auch hier sind eventuelle Patches mit zu
Ihr Ansprechpartner

Seite 121
installieren.
Service
Durch die Installationen wird ein Service angelegt. Dieser kann unter Services aufgerufen
werden.
Den Startup Type des Services auf "Automatic" stellen (Standard Manual)
Login Credentials eingeben
Recovery für First und Second Failure auf "Restart the Service" stellen
Service starten
Logon SAP
Es folgt ein Login auf das SAP System mit dem entsprechenden Mandanten vom
Precalculation Server aus. Hierfür kann der eigene Login des SAP-Systems genutzt werden.
Achtung: Es müssen Rechte für die Transaktion RSPRECALCADMIN und SM51 vorhanden
sein. Die Transaktion SM51 wird im Anschluss aufgerufen. Vor dem Anlegen der Instanzen
muss sichergestellt sein, dass der korrekte Applikationsserver angewählt ist, da es sonst
später zu Problemen mit den Instanzen in der Anwendung der Nutzer kommen kann.
Anschließend wird die Transaktion RSPRECALCADMIN aufgerufen. Angezeigt wird eine
gewisse Anzahl von Instanzen. Diese sollen alle markiert und gelöscht werden bis die
Ansicht wieder leer ist. Anschließend werden diese wieder neu angelegt mit einer
fortlaufenden Nummerierung um diese später unterscheiden zu können. Eingegeben
werden muss nur die ID und die Beschreibung. Der Rest wird automatisch vergeben.
Nun wird der Service neu gestartet und alle Instanzen sollten grün angezeigt werden. Dies
kann mitunter 2-3 Minuten dauern. Wichtig ist: Am Ende müssen alle Instanzen grün sein.
Damit ist die Erstellung und Konfiguration abgeschlossen.
Ihr Ansprechpartner

Seite 122
Haben Sie ähnliche Erfahrungen mit der Installation des Precalculation Servers gemacht
oder kennen einen alternativen, noch einfacheren Weg? Ich freue mich auf Ihr Feedback und
lade Sie herzlich dazu ein diesen Beitrag zu kommentieren.
Ihr Ansprechpartner

Seite 123
Prüfregelwerke für SAP - mit

Sebastian Schreiber
Auf dem DSAG Jahreskongress 2018 habe ich mit Sebastian Schreiber von der Firma IBS
Schreiber über Prüfregelwerke für SAP gesprochen. Was sind typische Herausforderungen
bei der Prüfung mit Tools? Wann lohnt es sich, das Prüfregelwerk eines Tools zu
aktualisieren?
Viel Spaß euch allen mit der Podcast-Folge! Vielen lieben Dank für all euren Support!

Oder auf youtube:

-------------------------------
Noch Fragen? Expert Session mit mir buchen:
-------------------------------
Links und Downloads

[PDF-Download] Easy Content Service für SAP Access Control
Ihr Ansprechpartner

Seite 124
Vorstellung des Easy Content Service von IBS Schreiber am Beispiel von SAP Access Control.
(PDF-Download, 18 Folien, ca. 15 Minute Lesezeit)
IBS Schreiber / Easy Content Service for SAP Acces Control Produktseite
https://www.ibs-schreiber.de/sap-sicherheit/ecs-for-sap-access-control/
-------------------------------
Kapitelmarken
01:15 Prüfregelwerke - warum ist gerade jetzt relevant?
02:25 Was setzen die Kunden für Tools zur Prüfung ein?
04:05 Gründe für ein Update von Prüf-Regelwerken
08:20 Wie kann ich Funktionstrennungskonflikte besser verstehen?
13:10 Anpassung von Regelwerken an Organisation und Branchenlösungen
17:55 Ab welcher Unternehmensgröße brauche ich automatisierte Prüfung?
20:31 Was kommt demnächst?
-------------------------------

PODCAST: https://rz10.de/podcast
WEB: https://rz10.de
Ihr Ansprechpartner

Seite 125
Regeln des erfolgreichen

Testmanagements
von Matthias Gfrörer - Beitrag vom 12. Dezember 2018 - Artikel online öffnen
Bis ein Programm in den Produktivbetrieb übernommen werden kann, sind einige Schritte
notwendig. Ein häufig vernachlässigter ist dabei das Testen. Dabei kann ein gutes
Testmanagement im Nachhinein hohe Wartungs- und Supportkosten verhindern oder
zumindest verringern. In diesem Artikel finden Sie einige Regeln, die Sie für ein erfolgreiches
Testmanagement beachten sollten.
Erstellen eines Konzepts

Das Konzept soll einen schnellen Überblick über alle Bestandteile des Testfalls liefern. Dazu
gehören u.a. die Testobjekte, die Umgebung, das Vorgehen und die Abnahmekriterien. Es
sollte sowohl mit den Entwicklern, als auch dem Fachbereich abgestimmt werden, um
verschiedenen Blickwinkel auf ein Szenario aufnehmen zu können.
Das Testen vorbereiten
Bevor Sie das erstellte Konzept in Tests umsetzen, müssen diese vorbereitet werden.
Besonders wichtig sind dabei die benötigten Testdaten, Zugänge für die Tester und die
Einweisung dieser. Je besser das Testen vorbereitet wird, desto besser wird der Start
gelingen.
Den Test anpassen
Stellen Sie beim Durchlaufen des Tests fest, dass diese nicht alle erforderlichen Funktionen
oder Varianten berücksichtigt werden, muss der Test angepasst werden. Damit solche
Informationen nicht verloren gehen, ist es besonders wichtig mit den Testern zu reden und
Auffälligkeiten zu dokumentieren. Durch diesen sukzessiv besser werdenden Test werden
zukünftig mehr Fehlerquellen in ihrem Programm abgedeckt.
Ihr Ansprechpartner

Seite 126
Nutzen Sie Tools

Durch die Nutzung von Tools im Testverfahren können Sie sicherstellen, dass kein Testfall
vergessen wird. Ebenso können die meisten Tools Berichte zu den hinterlegten Tests
generieren und somit eine schnelle Übersicht liefern, wie gut der Testdurchlauf war. Ein
weiterer großer Nutzen ist die Verfügbarkeit von Daten vergangener Testfälle. So ist
dokumentiert, wie viele Fehler seit dem ersten Testdurchlauf beseitigt wurden und wie oft
ein Fehler schon aufgetreten ist.
Automatisieren Sie
Nutzen Sie die Möglichkeiten, die Ihnen Automatisierungstools bieten. Je mehr Tests Sie
automatisiert durchführen können, umso mehr Ressourcen haben Sie für anderweitige
Tätigkeiten zur Verfügung. Ein weiterer Vorteil von automatisierten Tests ist, dass sie in
sekundenschnelle genaue Ergebnisse liefern können und nicht so fehleranfällig sind wie die
manuelle Durchführung. Natürlich müssen diese Tests erst mal erstellt werden, die
eingesetzte Zeit hat man jedoch schnell wieder zurückgewonnen.
Fehler im produktiven Umfeld sind meist äußerst nervenaufreibend. Ganz auszuschließen

ist die Gefahr leider nie, jedoch können Sie sie mithilfe dieser Tipps minimieren.
Konnte dieser Beitrag Ihnen bei ihrem Testmanagement helfen? Hinterlassen Sie gerne
einen kurzen Kommentar.
Ihr Ansprechpartner

Seite 127
Revisionssicheres
Berechtigungskonzept toolgestützt
generieren und überwachen
von Jonas Krueger - Beitrag vom 6. Februar 2018 - Artikel online öffnen
Die etablierten Abläufe zur Berechtigungsverwaltung, Rollenbeantragung und -zuteilung

sind in Ihrem Unternehmen gar nicht oder nicht an einer zentralen Stelle dokumentiert? In
der Revision ist aufgefallen, dass ein schriftliches Berechtigungskonzept nicht existiert, nicht
aktuell ist oder die Prozesse nicht den Anforderungen entsprechen?
Regelmäßig wenden sich Kunden mit einem derartigen Fall an uns.
Die Erstellung eines Berechtigungskonzepts von Grund auf ist häufig eine zeitraubende
Aufgabe. Weiterhin fehlt oft das Know-how, welche Aspekte in einem Berechtigungskonzept
behandelt werden sollten und wie die entsprechenden Prozesse praxistauglich und
gleichzeitig revisionssicher aussehen können.
Unsere Lösung: toolgestützte Generierung eines

individuellen, schriftlichen
Berechtigungskonzepts
Unseren Kunden haben wir in dieser Situation die toolgestützte Generierung eines
schriftlichen Berechtigungskonzepts direkt aus dem SAP-System heraus empfohlen. Hierzu
verwenden wir das Werkzeug XAMS Security Architect, mit dem wir gute Erfahrungen
gemacht haben. Dieses beinhaltet ein Template für ein revisionssicheres und
verständliches, schriftliches Berechtigungskonzept. Darin enthalten sind etablierte Best-
Practices für die Rollen- und Berechtigungsverwaltung. Durch das Template werden alle in
einem Berechtigungskonzept relevanten Bereiche abgedeckt.
Der mitgelieferte Text des Berechtigungskonzeptes ist vollständig individualisierbar, sodass

das Konzept passgenau auf Ihre Situation zugeschnitten werden kann, ohne ein
Berechtigungskonzept von Grund auf neu zu erstellen.
Ihr Ansprechpartner

Seite 128
Schriftliches Berechtigungskonzept dynamisch

aktualisieren
Eine der größten Herausforderungen nach dem Aufbau eines Berechtigungskonzepts ist es,
dieses auch langfristig aktuell zu halten und die nachhaltige Umsetzung im System zu
messen. Dies erreichen wir durch die Einbindung von Live-Daten wie
Konfigurationseinstellungen und definierten Regelwerken direkt aus dem angeschlossenen
System. So werden beispielsweise Listen vorhandener Rollen oder Benutzergruppen sowie
Tabellen bei jeder Generierung des Dokuments aus dem System ausgelesen und im
Berechtigungskonzept aktualisiert. Im folgenden Screenshot können Sie beispielhaft sehen,
wie die Darstellung im Konzeptdokument aussehen kann.
Einhaltung des Konzepts automatisiert prüfen

und überwachen
Um die Einhaltung des Konzepts zu prüfen beinhaltet der XAMS Security Architect
umfangreiche Prüfwerkzeuge. Diese decken die im Konzept formulierten Regelungen ab
und eignen sich, um zu messen, in wieweit die Realität im System den im Konzept
formulierten Anforderungen entspricht. Die Ergebnisse der Prüfungen können
dokumentiert werden, sodass die Entwicklung über einen Zeitraum betrachtet werden kann.
So kommen Sie der Revision zuvor und sind für die relevanten Punkte bereits vor der
Prüfung sensibilisiert.
Haben Sie bereits ein schriftliches Berechtigungskonzept für Ihr System toolgestützt
generiert? Teilen Sie gerne Ihre Erfahrungen in einem Kommentar oder einer E-Mail mit mir.
Ich freue mich auf Ihre Nachricht.
Ihr Ansprechpartner

Seite 129
RFC-Callback Positivliste
generieren
von Tobias Koch - Beitrag vom 8. Oktober 2018 - Artikel online öffnen
Die RFC-Callback-Funktion kann in einigen Fällen sehr nützlich sein, bietet jedoch auch ein
großes Risikopotential, wenn es ohne Einschränkung zur Verfügung steht. Um das Risiko
eines Angriffs zu minimieren, bietet SAP die Erstellung von Whitelists, bzw. im "SAP-Sprech"
die Positivlisten an. Im Folgenden erkläre ich Ihnen, wie Sie diese konfigurieren und
aktivieren können.
RFC-Callback - Was ist das überhaupt?
Mittels dem Funktionsaufruf "CALL FUNCTION <function> DESTINATION "BACK"> ist es

möglich, aus einem System A eine Funktion auf dem via RFC rufendem System B
auszuführen. Das Problem bei dieser Methodik ist, dass dabei die Rechte des aufrufenden
Users aus dem System B verwendet werden und somit weitgehende Rechte misbraucht
werden können.
Das lässt sich am besten an einem gern genommenen Beispiel erklären: Aus dem
Produktionssystem P wird mittels RFC ein Funktionsbaustein im Entwicklungssystem E
aufgerufen.
Ein Angreifer ergänzt den Code der Standardfunktion RFC_PING auf dem E-System um einen
"BACK"-Aufruf, der auf dem rufenden System einen User mit kritischen Rechten anlegt.
Wenn er nun einen priviligierten Administrator darum bittet, vom P-System einen
Verbindungstest per SM59 auszuführen, um einen Funktionsbaustein zu testen, wird
automatisch die manipulierte BACK-Funktion aufgerufen. Auf dem P-System steht nun dem
Angreifer ein eigener User mit kritischen Berechtigungen zur Verfügung. Der Administrator
hat davon jedoch nichts mitbekommen.
Callback Aufrufe mittels rfc/callback_security_method

kontrollieren
Um dieses Risiko zu minimieren, bietet SAP mittels des Systemparameters

rfc/callback_security_method die Möglichkeit, die Callback-Aufrufe zu protokollieren und
Ihr Ansprechpartner

Seite 130
einzuschränken. Dazu gibt es 4 verschiedene Einstellungsmöglichkeiten:
rfc/callback_security_method = 0 -> Es sind sämtliche Callback-Aufrufe erlaubt

rfc/callback_security_method = 1 (Default) -> Es sind sämtliche Callback-Aufrufe
erlaubt, außer diese, die aktiv in einer Whitelist blockiert werden
rfc/callback_security_method = 2 -> Simulationsmodus. Im Security Audit Log (SAL)
wird protokolliert, ob die Aufrufe bei aktivierten Whitelists aktzeptiert oder
abgelehnt worden wären
rfc/callback_security_method = 3 -> Es sind nur noch die Callback-Aufrufe erlaubt,
die in der Whitelist erlaubt werden
Damit die Protokollierung im Simulationsmodus auch stattfinden kann, muss das Security
Audit Log auch aktiviert sein. Wie Sie das erledigen, können Sie aus diesem Beitrag
entnehmen.
Der derzeitige Status des Parameters lässt sich auch in der SM59 bildlich anzeigen. Ist
oberhalb der RFC-Verbindungen die Ampel auf rot, dann ist der Parameter auf dem Wert 0
oder 1. Bei gelben Anzeiger befindet sich das System in der Simulationsphase (2) und bei
grünem Anzeiger befindet sich der Parameter auf 3 und die Callbacks werden blockiert.
Die Ampel zeigt einen roten Status, wenn sich

der Parameter auf dem Wert 1 oder 0 befindet.
Protokollierte Aufrufe ansehen
Es empfiehlt sich vor dem Blockieren aller Nicht-Whitelist einträge (Parameterwert 3) die
eigentlichen Aufrufe zu protokollieren. Wenn Sie den rfc/callback_security_method
Parameter auf 2 gestellt und damit den Simulationsmodus gewählt haben, können Sie alle
Callback Aufrufe in der SM20 nachvollziehen. Dazu müssen Sie über Detailauswahl unter
der Auditklasse „RFC Funktionsaufruf“ die folgenden 3 Optionen anhaken:
Ihr Ansprechpartner

Seite 131
RFC-Callback ausgeführt (Destination &A, Gerufen &B, Callback &C)

RFC-Callback abgewiesen (Destination &A, Gerufen &B, Callback &C)
RFC-Callback im Simulations-Modus (Destination &A, Gerufen &B, Callback &C)
Abschließend sehen Sie eine Übersicht zu allen aufgerufenen Callbacks.
Positivliste generieren und aktivieren
Nach einer gewissen Laufzeit im Simulationsmodus bietet SAP die Möglichkeit, über die
SM59 eine Whitelist / Positivliste zu generieren. Dazu die SM59 öffnen und den Button „RFC-
Callback-Positilisten generieren“ auswählen. Im nächsten Dialog den gewünschten Zeitraum
einstellen. Falls Sie das Feld leer lassen, werden sämtliche Einträge ohne zeitliche
Beschränkung durchsucht. Im nächsten Dialog bietet SAP eine Übersicht über alle
gefundenen Aufrufe. Unerwünschte Callback-Aufrufe können hier aussortiert werden. Die
Positivliste kann anschließend über “Positivlisten-Generierung und Aktivieren” generiert und
aktiviert werden.
Um sich die aktuellen Einträge der Positivliste einzusehen, rufen Sie in der SE16 die Tabelle
RFCCBWHITELIST auf. Dort sind alle Einträge gelistet. Um zu sehen, welche Verbindungen
auch aktiv sind, reicht ein Blick in die Tabelle RFCCBWHITELIST_A.
Parameter scharf schalten
Ist die globale Positivliste zu Ihrer Zufriedenheit gepflegt, können Sie den Parameter auf 3
setzen.
Es können dabei auch separate Callback-Positivlisten pro Verbindung gepflegt werden. Dazu
die Verbindung auswählen und im Tab Anmeldung und Sicherheit die Positivliste pflegen.
Ihr Ansprechpartner

Seite 132
RSMEMORY: Dynamisches setzen

von Speicherparametern
von Maria Joanna Born - Beitrag vom 30. Januar 2018 - Artikel online öffnen
Mit Hilfe von Profilparametern können wir im SAP System alles konfigurieren. Dabei sind
einige Parameter dynamisch änderbar, das heißt, dass sie geändert werden können ohne
das System neu zu starten. Diese Änderungen sind dann aber nicht permanent, das heißt,
nach einem Systemneustart, werden wieder die vorher eingestellten Profilparameter
verwendet. Andere Parameter hingegen sind statisch, also nur mit einem Neustart und nur
permanent änderbar.
Die meisten Profilparameter für die Speicherallokation sind eigentlich statisch. Es gibt
jedoch die Möglichkeit diese mit dem Report RSMEMORY dynamisch anzupassen. Lesen Sie
hier wie Sie herausfinden, ob ein Parameter statisch oder dynamisch ist und wie sie den
Report RSMEMORY verwenden um die Speicherallokationsparameter dynamisch
anzupassen.
RZ11 - Pflege der Profilparameter

Die Transaktion RZ10 gibt uns Informationen über Profile, die wiederum verschiedene
Profilparameter enthalten. In der Transaktion RZ11 ist es hingegen möglich sich
Informationen zu einzelnen Parametern anzuschauen, vorausgesetzt man kennt ihren
Namen. Wie Sie in unserem Beitrag zu Speicherparametern lesen können, sind für die
Speicherverwaltung besonders die folgenden 5 Parameter wichtig:
abap/heap_area_total
abap/heap_area_dia
abap/heap_area_nondia
ztta/roll_extension_dia
ztta/roll_extension_nondia
Wenn Sie mal nicht genau wissen, wie ein Parameter heißen könnte, lohnt es sich an dieser
Stelle auch die F4-Hilfe zu verwenden.
Für den Parameter abab/heap_area_dia gibt die RZ11 beispielsweise folgendes aus:
Ihr Ansprechpartner

Seite 133
Beschreibung des Parameters abap/heap_area_dia in der RZ11

Wie Sie hier sehen können, handelt es sich nicht um einen dynamischen Parameter. Nun ist
es doch ziemlich leidlich, wenn getestet werden soll, ob genug Speicher zur Verfügung steht
immer wieder das System neu zu starten. Zu diesem Zweck gibt es den Report RSMEMORY.
RSMEMORY - Testen Sie ihre

Speicherallokationsstrategie
Den Report rufen Sie in der SE38 auf. Nach dem ausführen des Reports zeigt sich Ihnen
folgendes Bild:
Ihr Ansprechpartner

Seite 134
Anzeige des Reports RSMEMORY

Hier ist weder eine Dokumentation, noch eine Wertehilfe Verfügbar, aber die SAP
Dokumentation verrät, wie der Report zu benutzen ist. Hier wird zunächst zwischen Dialog
und Nicht-Dialog-Workprozessen unterschieden. Das heißt im ersten Bereich können Sie
den Extended Memory (Speicherklasse 1) und den Heap Memory (Speicherklasse 2) für
Dialog Workprozesse festlegen und in der zweiten selbiges für Nicht-Dialog-Workprozesse.
Das heißt, dass hier die Werte für abap/heap_area_dia, abap/heap_area_nondia,
Ihr Ansprechpartner

Seite 135
ztta/roll_extension_dia und ztta/roll_extension_nondia dynamisch gesetzt werden können.

Außerdem kann im unteren Bereich auch der Wert für abap/heap_area_total dynamisch
gesetzt werden. Sobald Sie auf den "Übernehmen" Button klicken sind die Werte bis zum
nächsten Neustart Ihres Systems geändert.
Außerdem stellt der Report auch noch Möglichkeiten zur Verfügung, den globalen
erweiterten Speicher (Extended Global Memory) zu analysieren, die hinter den beiden
Buttons "EG Übersicht" und "EG Dump" verborgen sind.
Ihr Ansprechpartner

Seite 136
SAP absichern - Jenseits von

Berechtigungen
von Jonas Krueger - Beitrag vom 29. November 2018 - Artikel online öffnen
Bei der Absicherung von SAP Systemen beschäftigen wir uns oft hauptsächlich mit
Berechtigungen. In diesem Artikel möchte ich anhand einiger Beispiele aufzeigen, welche
Ansatzpunkte es jenseits von Berechtigungen gibt, um die Sicherheit eines SAP Systems zu
steigern.
In diesem Zusammenhang möchte ich zwei Aspekte beleuchten, die nach meiner Erfahrung
häufig vernachlässigt werden:
Sichere Prozesse in der Benutzer- und Berechtigungsverwaltung

Sicherheitskritische Systemparameter
Sicherheitskritische Prozesse in der Benutzer- und

Berechtigungsverwaltung
Wie sehen in Ihrem Unternehmen die Prozesse für die Neuanlage von Benutzern, für die
Vergabe von Rollen oder das Zurücksetzen von Kennwörtern und die Benutzerentsperrung
aus? Wie gehen Sie mit Benutzern um, die sich länger nicht am System angemeldet haben?
Wenn Sie auf diese Fragen mit einem Verweis auf Ihr SAP Sicherheitskonzept antworten
können, haben Sie vieles richtig gemacht. In den meisten Fällen erlebe ich aber, dass diese
Prozesse zwar existieren und mehr oder weniger streng gelebt werden, aber nirgends
niedergeschrieben wurden. Dies lässt keinen Review dieser Prozesse zur Erkennung
potenzieller Sicherheitslücken zu. Wie kann beispielsweise die wahre Identität eines
Anfragestellers zuverlässig verifiziert werden?
Wenn Unternehmen wachsen kennt nicht mehr jeder jeden, schon gar nicht an der Stimme
am Telefon. Rufnummern und E-Mail-Absender können von Hackern schnell gefälscht
werden. Dies stellt IT-Mitarbeiter vor eine Herausforderung und eröffnet Angriffspunkte. Auf
die Herausforderungen im Zusammenhang mit der Benutzerentsperrung und dem
Passwort-Reset bin ich in einem früheren Beitrag schon eingegangen und habe technische
Lösungen aufgezeigt.
Ihr Ansprechpartner

Seite 137
Hinterfragen Sie die kritischen Prozesse in Ihrer Systemlandschaft? Wie haben Sie diese
Herausforderung gelöst? Teilen Sie Ihre Erkenntnisse gern in den Kommentaren.
Sicherheitsrelevante Systemparameter
Die Auswirkungen solcher Einstellungen kennen die meisten SAP User: beispielsweise
Vorgaben zur regelmäßigen Kennwortänderung. Über die Vor- und Nachteile hiervon kann
gestritten werden, jedoch ist diese Einstellung ohne Frage sicherheitsrelevant.
Darüber hinaus gibt es jedoch noch eine Vielzahl weiterer Einstellungsmöglichkeiten im SAP
System, die die Sicherheit betreffen. So können bestimmte Zeichenkombinationen im
Passwort verboten werden, indem sie in der Tabelle USR40 erfasst werden. Hier ist meine
Empfehlung, leicht zu erratende Zeichenfolgen wie *passwor*, *h*llo*, *123* oder den
Namen der Firma oder des bekanntesten Produktes zu erfassen.
Auch die Einstellung zu maximalen Loginversuchen bevor der Benutzer wegen Fascheingabe
des Passwortes gesperrt wird (login/fails_to_user_lock), oder die automatische Entsperrung
dieser Nutzer um Mitternacht (login/failed_user_auto_unlock) sind sicherheitskritische
Parameter.
Wie gehen Sie das Thema an? Setzen Sie auf Security jenseits von Berechtigungen und
konnten Sie hierdurch bereits einen Schaden verhindern? Ich freue mich über Ihre
Kommentare und Fragen rund um das Thema SAP absichern.
Ihr Ansprechpartner

Seite 138
SAP Business Warehouse:

Quellsystem zurückbauen mit
Funktionsbausteinen
von Florian Paetzold - Beitrag vom 24. April 2018 - Artikel online öffnen
Ein BW-System spielt häufig in größeren Unternehmen eine sehr zentrale Rolle. Hier werden
die Daten von den verschiedenen angebundenen Quellsystemen zentral ausgewertet und
reportet. Ein früherer Kunde von mir hatte ein BW-System, an welches insgesamt über 20
andere SAP-Produktivsysteme angeschlossen waren. Bei so einer großen und meist
lebendigen System-Landschaft ist es normal, dass von Zeit zu Zeit einzelne Systeme
zurückgebaut werden.
Gerade bei großen SAP-Landschaften gibt es allerdings strenge Regelungen betreffend

Berechtigungen von technischen RFC-Nutzern. Aus diesem Grund wird das einfache
"Rechtsklick --> Löschen" eines Quellsystems in der RSA1 häufig nicht zum Ziel führen,
sondern in eine gescheiterte Berechtigungsprüfung.
Mit diesem Blogbeitrag zeige ich Ihnen einen Workaround, wie sie ein Quellsystem sauber
von einem BW-System trennen können mit Hilfe der Funktionsbausteine
RSAR_LOGICAL_SYSTEM_DELETE und RSAP_BIW_DISCONNECT.
Falls Sie die Hintergründe überspringen wollen und eine direkte Schritt-für-Schritt-Anleitung
bevorzugen, können Sie direkt in den letzten Abschnitt springen.
Vorbereitung
Für diesen Workaround benötigen Sie vor allem Zugänge auf sowohl das Quellsystem als
auch das BW-System. Zusätzlich müssen sie berechtigungstechnisch die Möglichkeit haben,
die SE37 aufzurufen und dort Funktionsbausteine auszuführen. Gerade in
Produktivsystemen ist dies allerdings eine sehr kritische Berechtigung. Gehen Sie also davon
aus, dass sie eventuell einen Firefighter-Nutzer für diese Aktion benötigen.
Ihr Ansprechpartner

Seite 139
Arbeiten im BW-System
Nun, da die Vorbereitungen abgeschlossen sind müssen Sie jeweils auf dem BW-System und
auf dem Quellsystem einen FuBa aufrufen, welcher auf der jeweiligen Seite die Verbindung
löst.
Beginnend auf dem BW-System begeben Sie sich nun in die Transaktion SE37 und rufen den
Funktionsbaustein "RSAR_LOGICAL_SYSTEM_DELETE" auf:
RSAR_LOGICAL_SYSTEM_DELETE
Hier geben Sie nun die benötigten Werte ein. Folgende Tabelle hilft ihnen bei der
Ausfüllung:
Feld Beschreibung
I_LOGSYS Der Logische Name des Quellsystems. Hier wird der Name des Quellsystem
eingetragen werden, wie er in der RSA1 zu finden ist.
Zusätzlich kann dieser Name auch in der DB-Tabelle TBDLT gesucht werden
I_FORCE_DELETE Boolean, X = Löschen trotz Fehlermeldungen
I_NO_TRANSPORT Boolean, X = Diese Änderung soll nicht in nachfolgende Systeme transportie
werden
I_NO_AUTHORITY Boolean, X = Ignorieren von Berechtigungsprüfungen
Ihr Ansprechpartner

Seite 140
Arbeiten im Quellsystem
In dem Quellsystem begeben Sie sich nun auch in die Transaktion SE37 und rufen hier den
Funktionsbaustein "RSAP_BIW_DISCONNECT" auf:
Folgendes sind die Beschreibungen zu den jeweiligen Feldern. Diese können in der
Quellsystem-Verbindungstabelle RSBASIDOC entnommen werden
Feld Beschreibung
I_BIW_LOGSYS Der logische Name des BW-Systems. In der Tabelle RSBASIDOC ist der richt
Wert in der Spalte "RLOGSYS" zu finden.
I_OLTP_LOGSYS Der logische Name des Quellsystems. Die Spalte "SLOGSYS" in der Tabelle
RSBASIDOC .
I_FORCE_DELETE Der logische Name des BW-Systems. In der Tabelle RSBASIDOC ist der richt
Wert in der Spalte "RLOGSYS" zu finden.
Ihr Ansprechpartner

Seite 141
Abschluss
Im Endeffekt müssen Sie also jeweils im BW- und Quellsystem den jeweiligen
Funktionsbaustein aufrufen, die Parameter ausfüllen und den Funktionsbaustein ausführen.
Hier finden Sie noch eine kurze Schritt-für-Schritt Anleitung für den Wiedergebrauch:
Im Quellsystem:
Aufruf SE37
Funktionsbaustein RSAR_LOGICAL_SYSTEM_DELETE aufrufen
Parameter eingeben
Funktionsbaustein ausführen
Das gleiche führen Sie dann im BW-System mit dem Funktionsbaustein

RSAP_BIW_DISCONNECT aus.
Hat Ihnen dieses Tutorial weitergeholfen?
Wenn Sie weitere Fragen oder Themen-Vorschläge zum Thema SAP Business Warehouse
haben, lassen Sie sehr gerne einen Kommentar hier oder kontaktieren Sie mich per Email.
Ihr Ansprechpartner

Seite 142
SAP Gateway Installation -

Deployment Optionen
von Torsten Schmits - Beitrag vom 4. Juni 2018 - Artikel online öffnen
Sie benötigen eine SAP Gateway Installation, um zum Beispiel SAP Fiori einzuführen? Es gibt
verschiedene Deployment Optionen, die jeweils ganz spezifische Vor- und Nachteile haben.
Wir bieten Ihnen hierfür eine Übersicht, damit Sie eine perfekte Wahl für Ihre existierende
Systemlandschaft treffen können.
Insgesamt existieren vier verschiedene Varianten, wie Sie ein SAP Gateway installieren
beziehungsweise einrichten können. Sie können es entweder losgelöst von Ihrer Business
Suite als Standalone Gateway (Hub Deployment) nutzen oder auf das in der Business Suite
enthaltene Gateway (Embedded Deployment, ab NetWeaver 7.40) zurückgreifen. Im Falle
eines Hub Deployments können Sie zusätzlich die Entscheidung treffen, ob Sie auf dem
Gateway oder der Business Suite entwickeln wollen. Als vierte Variante gibt es die
Möglichkeit, das SAP Cloud Platform OData Provisioning (kurz: OData provisioning) zu
nutzen. Im Folgenden werden alle vier Optionen kurz vorgestellt.
Option 1: Hub Deployment mit Entwicklung in der

SAP Business Suite
Das SAP Gateway dient in diesem Szenario als Kommunikationsendpunkt. Es können
mehrere SAP Business Suites an das SAP Gateway angebunden werden. Es ist somit als ein
Zugangspunkt zu allen dahinterliegenden Business Suite Backends zu sehen. Durch die
Wahl eines Standalone Gateways sind die Backend Systeme nicht direkt mit dem Internet
verbunden, was zu einer erhöhten Sicherheit beiträgt. Außerdem kann das SAP Gateway
unabhängig von der SAP Business Suite geupgraded werden. Da in diesem Szenario auf der
Business Suite entwickelt wird, müssen Funktionen per RFC für das SAP Gateway
bereitgestellt werden. Der große Vorteil bei einer Entwicklung auf dem Backend liegt im
Zugang zum DDIC.
Option 2: Hub Deployment mit Entwicklung im

SAP Gateway Hub
Ihr Ansprechpartner

Seite 143
Bei einer Entwicklung im SAP Gateway Hub müssen die SAP Gateway Komponenten im
Backend nicht installiert beziehungsweise aktualisiert werden. Jedoch liegt der
entscheidende Nachteil darin, dass das DDIC nicht vorhanden ist und nur Remote-
verfügbare Interfaces wie RFC zur Verfügung stehen.
Option 3: Embedded Deployment mit Entwicklung

in der SAP Business Suite
Wird das in der SAP Business Suite integrierte Gateway genutzt, ist weniger Overhead im
Netzwerkverkehr vorhanden, da weniger Remote Function Calls ausgeführt werden. Jedoch
gibt es dazu noch sehr entscheidende Nachteile. Es kann immer nur die jeweilige SAP
Business Suite angebunden werden und für den Fall, dass mehrere SAP Business Suites
vorhanden sind, muss das SAP Gateway auch mehrfach konfiguriert werden. Außerdem hat
diese Variante ein Sicherheitsrisiko. Das SAP Gateway erfüllt in der Regel den Zweck die SAP
Business Suite mit dem Internet zu verbinden. Bei der Nutzung des vorhandenen,
integrierten SAP Gateways wäre das Backend direkt mit dem Internet verbunden. Dies sollte
vermieden werden.
Option 4: OData provisioning

Als vierte Option kann das SAP Cloud Platform OData Provisioning genutzt werden. Dieses
bietet alle klassischen Cloud Vorteile, wie das Entfallen von Upgrades, Skalierung, Sicherheit,
etc. Eine Anbindung mehrere Business Suites ist darüber hinaus möglich und es muss selbst
kein eigener weiterer Server verwaltet werden. Das DDIC ist darüber hinaus ebenfalls
verfügbar. Jedoch werden noch nicht alle Features von SAP bereitgestellt. Weitere
Informationen dazu finden sich in SAP Note 1830712.
Welche Deployment Option ist für mich die

Richtige?
Ohne Kenntnisse über Ihre Systemlandschaft kann auf diese Frage keine klare Antwort
gegeben werden. Jedoch können wir Ihnen dennoch einige Hinweise geben, die Sie bei der
Wahl Ihrer gewünschten Deployment Option beachten sollten.
Von Option 3, dem Embedded Deployment mit Entwicklung in der SAP Business Suite, raten
Ihr Ansprechpartner

Seite 144
wir ab. Bei dieser Variante wäre das Backend direkt mit dem Internet verbunden, wodurch
ein Sicherheitsrisiko gegeben ist. Außerdem können auch nicht mehrere Business Suites
angebunden werden.
Sofern Sie keinen Zugriff auf Ihr DDIC benötigen, käme Option 2 (Hub Deployment mit
Entwicklung im SAP Gateway Hub) noch in Frage. Sie bietet den Vorteil, dass keine
Veränderungen am Backend notwendig sind. In vielen Fällen ist das DDIC jedoch über kurz
oder lang von Nöten, weshalb auch diese Option nur selten empfehlenswert ist.
Die verbleibenden Optionen 1 (Hub Deployment mit Entwicklung in der SAP Business Suite)
und 4 (OData provisioning) bieten beide sehr identische Vorteile. So können mehrere
Business Suites angebunden werden und auch der Zugang zum DDIC ist vorhanden. Sofern
die in SAP Note 1830712 erwähnten Einschränkungen bezüglich des OData provisioning für
Sie kein Problem darstellen, können Sie zwischen den beiden Optionen frei entscheiden.
Weitere Informationen zur Einrichtung von SAP Gateways finden Sie hier.
Haben Sie noch Anmerkungen oder weitere Ideen zur Vorgehensweise bei der Einführung
eines SAP Gateways? Lassen Sie es mich wissen! Ich freue mich über Ihre Kommentare!
Ihr Ansprechpartner

Seite 145
SAP Gateway und Infrastruktur für

SAP Fiori - mit Rico Magnucki
Ich spreche mit dem SAP Experten Rico Magnucki über das SAP Gateway und was ich für
Infrastruktur für SAP Fiori benötige. In unserem Gespräch geht Rico auch auf typische
Fragen im Zusammenhang mit Gateway und Fiori ein.
Inhalt
Video
Überblick
Kapitelmarken
Downloads & Links
Video
Rico und ich gehen darauf ein, was das SAP Gateway ist und wofür es benötigt wird.
Außerdem reden wir über eine typische Gateway-Architektur und gehen auch auf
Implementierungs-Beispiele ein. Auch im Zusammenhang mit angeschlossenen Backend-
Systemen und Webdispatchern. Zuletzt schauen wir dann auch auf eine Variante in
Verbindung mit den Cloud Services der SAP.
SAP Gateway Überblick

In dem Video wird unter anderem die Architektur des SAP Gateway erklärt und der
Zusammenhang mit SAP Fiori. In dem Bild gibt es einen kleinen Überblick.
Ihr Ansprechpartner

Seite 146
Kapitelmarken
00:51 Was ist SAP Gateway und wofür braucht man das?
03:33 SAP Gateway Architektur
09:40 Beispiel-Implementierung SAP Gateway 1
14:36 Beispiel-Implementierung SAP Gateway 2 (abgesetzter Web Dispatcher)
14:51 Beispiel-Implementierung SAP Gateway 3 (zusammen mit Cloud Services)
19:31 Der eine Tipp zum Schluss
Downloads
Download e-Book SAP Fiori: https://mission-mobile.de/download/e-book-sap-fiori/
Links
Alle aktuellen Infos zu SAP Fiori: https://mission-mobile.de/sap-fiori/
Mobile Infrastruktur: https://mission-mobile.de/mobile-infrastruktur/
Ihr Ansprechpartner

Seite 147
unter dem Beitrag.
Ihr Ansprechpartner

Seite 148
SAP HANA DB to go - HANA 2.0

Express Edition als VM installieren
von Tobias Harmes - Beitrag vom 27. Juni 2018 - Artikel online öffnen
Eine Umstellung auf die HANA DB ist eine der notwendigen Schritte, wenn ich mein SAP-
System S/4HANA Ready machen will. Um schon mal Knowhow für die HANA DB zu sammeln,
wäre eine Test-Datenbank ganz praktisch. Freundlicherweise steht mit der HANA 2.0
Express Edition eine kostenlose Version zur Verfügung, die innerhalb von zwei Stunden inkl.
Download und Installation online sein kann. Und das ganze gerade noch passend für einen
(gut ausgestatteten) Laptop und ohne die Notwendigkeit, dafür einen neuen Serverschrank
zu kaufen.
Zutatenliste
Wir brauchen dazu folgendes:
Downloads
Hypervisor herunterladen (z.B. VMware oder VirtualBox)

SAP JVM herunterladen
HANA Download Manager herunterladen (benötigt S-User oder
Registrierung bei SAP)
Hana Express Edition-VM herunterladen
Importieren der VM in VirtualBox
VM starten
Funktionstest
Shutdown
Downloads
Ihr Ansprechpartner

Seite 149
Hypervisor herunterladen und installieren
Ich habe hier VirtualBox genommen. Herunterladen und installieren. Achtung: VirtualBox
funktioniert nicht zusammen mit Windows Hyper-V, das muss dann deinstalliert werden.
https://www.virtualbox.org/
Wenn kein JAVA installiert: JAVA JRE (SAPJVM) herunterladen, den brauchen wir für den
HANA Download Manager.
https://tools.hana.ondemand.com/#cloud
Umgebungsvariable für JAVA_HOME setzen
HANA Download-Manager herunterladen. Dafür muss erst das Registrierungsformular der

SAP ausgefüllt werden:
Ihr Ansprechpartner

Seite 150
https://www.sap.com/developer/tutorials/hxe-ua-register.html
Am Ende sollte diese Datei auf dem Rechner landen:
HXEDownloadManager_win.exe
Danach die Datei ausführen, die benötigt die JAVA JRE. Falls die Umgebungsvariable
JAVA_HOME nicht sauber zieht, entweder das Programm aus einem neuen Command-
Fenster öffnen (Start->Ausführen->cmd) oder Windows neustarten (:
Aufruf des Download Managers aus der CMD heraus.
Ihr Ansprechpartner

Seite 151
Ich habe hier die größere Variante inklusive WebIDE gewählt, diese benötigt mindestens
16GB Hauptspeicher auf dem Rechner. Die "Server only virtual machine"-Version
funktioniert ab 8 GB Hauptspeicher, dort muss dann den Client selbst liefern, z.B. Eclipse mit
entsprechendem Plug-in.
Erfolgsmeldung.
Ihr Ansprechpartner

Seite 152
Die Download-Dateien, die HANA DB VM ist hier noch 11 GB groß. Nach der Installation ca.
35GB. Platz sollte aber für 120GB sein.
Importieren der VM in VirtualBox

VirtualBox installieren und starten.
Ihr Ansprechpartner

Seite 153
Appliance importieren…
Die hxexsa.ova auswählen und öffnen
Ihr Ansprechpartner

Seite 154
Hier habe ich die Standardeinstellungen übernommen. Da der Rechner nur 16GB hat, war
der RAM automatisch auf 12GB limitiert.
Ihr Ansprechpartner

Seite 155
VM starten
VM starten, die VM läuft unter SUSE Linux Enterprise Server (SLES).
Ihr Ansprechpartner

Seite 156
Wichtig: Die IP-Adresse notieren, damit kommen wir auf die Management-Oberfläche.
Beim Login-Prompt hxeadm mit Passwort HXEHana1 verwenden.
Ihr Ansprechpartner

Seite 157
Das Masterkennwort wird dann für Zugänge wie SYSTEM oder andere Accounts verwendet.
Ihr Ansprechpartner

Seite 158
Installation erfolgreich. Der Speicher ist voll, aber das System rennt.
Funktionstest
Dazu einen Browser öffnen und folgendes in die Adresszeile eintippen: <ip Adresse>:8090
z.B.: http://192.168.0.29:8090
Ihr Ansprechpartner

Seite 159
Wenn dieser Status erscheint, ist die Einrichtung abgeschlossen und der HANA Server kann
benutzt werden.
Jetzt den Hostnamen und die IP in die Hosts-Datei von Windows eintragen. So kann der
Ihr Ansprechpartner

Seite 160
Name "hxehost" auch im Browser verwendet werden. Die Änderung der hosts-Datei von
Windows benötigt immer Admin-Rechte und sehr oft das kurzzeitige Ausschalten von
Malware-Scannern. Die halten da (aus naheliegenden Gründen) oft den Daumen drauf. Die
Datei liegt unter C:\Windows\System32\drivers\etc\hosts
Zuletzt einmal als hxeadm den Befehl
>xs-admin-login
ausführen, damit komme ich auf die XSA-Admin ebene und bekomme auch die URL der XSA-
Ihr Ansprechpartner

Seite 161
Web-Consolehttps://hxehost:39030
Beispieluser: Login mit User XSA_DEV mit dem zuvor definierten Masterpasswort
Shutdown
Ihr Ansprechpartner

Seite 162
Wenn ich die VM herunterfahren will, auch wieder als hxeadm:
>HDB stop
Das stoppt HANA DB.
Danach ein
>shutdown -h now
Ihr Ansprechpartner

Seite 163
um das Betriebssystem herunterzufahren und die VM zu beenden.
War das hilfreich? Ich freue mich über Feedback, Anregungen und Kommentare unter
diesem Beitrag oder gerne auch per Mail. Und jetzt viel Spaß mit der HANA DB.
PS: die SAP hat hier sehr gute (englische) Beschreibungen online gestellt:
https://www.sap.com/developer/groups/hxe-install-vm.html
https://www.sap.com/developer/tutorials/hxe-ua-getting-started-vm-xsa.html
Ihr Ansprechpartner

Seite 164
SAP Identity Management FAQ

SAP IDM vs. Zentrale Benutzerverwaltung vs. SAP GRC Access Control. Ich hatte in der
letzten Zeit mehrere Gespräche und Expert Sessions zum Thema SAP Identity Management.
Zeit mal wieder einen "neuesten Stand" zu ziehen: ein SAP Identity Management FAQ mit
den häufigsten Fragen zum Thema zentrale Benutzerverwaltung und
Berechtigungsmanagement im SAP.
Hinweis: Hier sind häufig gestellte Fragen zusammengefasst, über die ich im Rahmen
meiner Beratungstätigkeit gesprochen habe. Wer zu SAP Identity Management selbst
Grundlagen wissen will, dem empfehle ich diesen Artikel.
Was kostet SAP IDM?

SAP Identity Management ist für das Management von SAP Produkten in den
Wartungsgebühren enthalten. Es kann also jeder mit SAP Lizenz auch SAP Identity
Management einsetzen. Erst wenn ich Non-SAP Produkte managen will (z.B. Microsoft Active
Directory oder die Benutzerverwaltung meiner Zutrittskontrolle) müssen Lizenzen gekauft
werden.
Ist SAP IDM geeignet als zentrales IDM?

Ja, SAP IDM zielt eindeutig auch auf das Management von Non-SAP Systemen ab. Bei einer
Entscheidung kann z.B. eine Rolle spielen, ob ein größerer Anteil von Servern und
Applikationen SAP oder Non-SAP ist. Bei einem überwiegenden SAP Anteil ist SAP IDM ein
ernsthafter Kandidat. Es ist aber auch denkbar SAP IDM nur als Identity Management
System für die SAP Welt zu verwenden.
Ist für uns SAP IDM oder SAP GRC Access Control
besser geeignet?
Das ist ohne Analyse der Umgebung nicht leicht zu sagen. Generell gilt: wenn die
Anforderung für eine Identity Management stärker aus den Reihen der IT und des
Ihr Ansprechpartner

Seite 165
Managements kommt, dann ist eher SAP IDM der geeignete Kandidat. Hier spielen
Funktionen wie Multi-User – Multi-System-Management, Skalierbarkeit über viele Systeme
und Unterstützung von Mobile und Cloud-Szenarien eine gewichtige Rolle. Wenn dagegen
die Anforderungen eher aus dem Bereich der Compliance kommt, dann spielen Themen wie
Mehr-Wege-Zugriff, Funktionstrennung (Segregation of Duties, SoD) und Data-Loss-
Prevention eine größere Rolle. Und da spielt SAP GRC Access Control seine Stärken aus.
Dieses Produkt ist wie IDM auch in der Lage, Benutzeranforderungsprozesse abzubilden.
Nur das diese dann auch zusätzliche Compliance-Prüfungen durchlaufen. Wer diesbezüglich
mehr wissen will, siehe den Beitrag Potentielle Sicherheitsrisiken bei Antragsprozessen in
IDM-Systemen. SAP betont, dass diese beiden Produkte komplementär sind, das heißt sie
ergänzen sich gegenseitig. Einen parallelen Betrieb beider Lösungen kommt aus meiner
Erfahrung nur für große Umgebungen bzw. sehr hohen Compliance-Anforderungen in
Frage.
Kann ich die Berechtigungsvergabe und das

Berechtigungsmanagement zentral aus dem SAP
IDM durchführen?
Ja, das geht. Mit SAP IDM kann ich zentral bestimmen, was ein Anwender für
Berechtigungen in den angeschlossenen Systemen hat. Allerdings ist es wichtig zu wissen:
genauso wie die zentrale Benutzerverwaltung kann ich mit dem SAP IDM nicht die
Berechtigungen selbst zentral verwalten. Ich kann also nicht z.B. eine SAP PFCG-Rolle auf
mehrere Systeme übertragen. Sowohl die zentrale Benutzerverwaltung als auch SAP IDM
können nur das auf dem Satellitensystem vergeben, was auch dort an Berechtigungen zur
Verfügung steht.
Kann ich mit dem SAP IDM einen User zentral

stilllegen?
Ja, das ist eines der wichtigen Kern-Features. Und hier bietet SAP IDM auch einen Mehrwert
gegenüber der zentralen Benutzerverwaltung: es werden neben JAVA-Applikationsservern
auch Cloud-Applikationen unterstützt. So kann sichergestellt werden, dass ein Benutzer
schnell und effektiv deaktiviert wird. Viele Unternehmen verlassen sich dort noch zu sehr
auf den Grundsatz: wer keinen Zugang von außen mehr hat (VPN, Citrix, …) der kommt erst
mal nicht mehr rein. Das stimmt aber nicht mehr für Cloud Applikationen, die im Internet
Ihr Ansprechpartner

Seite 166
weiterhin erreichbar sein.
Kann ich mit SAP IDM Genehmigungsworkflows

realisieren?
Ja, das geht. Entsprechend berechtigte Benutzer können Benutzer- und
Berechtigungsänderungen anfordern. Dies kann relativ frei konfigurierbare
Genehmigungsworkflows auslösen, die dann von den Genehmigern per Mail bzw. Web
Frontend abgearbeitet werden können.
Kann ich SAP HCM / HR als Auslöser verwenden?

Ja, auch das ist möglich. Typische Join, Move, Leave Szenarien können mit dem SAP IDM
gekoppelt werden, so dass die HR-Abteilung grundlegende Benutzer-Änderungen sogar
unabhängig von der IT auslösen kann.
Welche Adapter stehen zur Verfügung bzw. mit

was kann sich SAP IDM alles verbinden?
SAP stellt dafür einen SAP IDM Connector Overview bereit (Link auf sap.com, bei der letzten
Prüfung war das Seite 9). An Betriebssystemen, Verzeichnisdiensten und Datenbanken sind
alle großen Namen dabei. Generell kann man sagen: alles was Text (ASCII) versteht kann
gekoppelt werden. Wenn es möglich ist, z.B. über Textdateien Steuerbefehle an das
Zielsystem zu übermitteln, dann ist auch eine Anbindung an das SAP IDM möglich.
Kann ich die Rechte-Hierarchie eines Benutzer

reporten (z.B. für Rezertifizierungen und für
Wirtschaftsprüfer)?
SAP IDM unterstützt verschiedenste Report-Funktionalitäten. Neben den eingebauten
Reports ist es auch möglich via Chrystal Reports und SAP Lumira / SAP BW eigene Abfragen
und Analysereports zu erstellen.
Ihr Ansprechpartner

Seite 167
Erst zentrale Benutzerverwaltung und dann SAP

IDM oder gleich SAP IDM?
Für viele wirkt es so, als ob die zentrale Benutzerverwaltung (ZBV, englisch: CUA) nicht mehr
funktioniert und nicht mehr installiert werden sollte. Das ist nicht der Fall. Es ist ohne
Probleme möglich, zunächst die zentrale Benutzerverwaltung einzuführen, damit überhaupt
ein zentrales Management von Benutzern ermöglicht wird. Das hat auch den Charme, dass
dafür nicht gleich zusätzliche Server notwendig werden. Aber die zentrale
Benutzerverwaltung bietet keine Unterstützung bei Workflows. Und sie wird durch die
Einführung von SAP IDM auch vollständig abgelöst. Weitere Infos dazu gibt es auch in einem
FAQ der SAP.
Bietet SAP IDM Self-Service-Funktionalitäten?

Ja, ich kann z.B. über SAP IDM Passwort-Reset als Self-Service realisieren.
Fehlt Ihre Frage?

Ich freue mich über einen Kommentar. :)
Haben Sie Unterstützungsbedarf in diesem

Thema?
Schicken Sie mir eine email an harmes@rz10.de. Wenn Sie schon ein Schritt weiter sind, und
über Ihre Ausgangssituation sprechen wollen (ohne gleich einen Workshop machen zu
müssen) – fordern Sie eine Expert Session an. Ich freue mich von Ihnen zu hören.
Ihr Ansprechpartner

Seite 168
SAP PFCG Standard-Rollen für Fiori

Apps ermitteln
Wenn ich Fiori Apps von SAP berechtigen möchte, dann kann ich in der Regel auf
ausgelieferte Standardrollen zurückgreifen. Die richtige Rolle kann ich über die SAP Fiori
apps reference library finden.
Neben dem Finden der richtigen Rolle, müssen die Rollen auch an der richtigen Stelle
zugeordnet werden. So benötige ich in der Regel auf dem Frontend (das SAP Gateway)
andere Rollen als auf dem Backend (z.B. dem ERP-System mit den relevanten
Geschäftsdaten). Das Bild zeigt die verschiedenen Zugriffsarten in der Übersicht.
Wenn ich weiß, welche App und für was (Frontend oder Backend) ich berechtigen will, dann
kann ich in der SAP Fiori app reference library suchen. Diese enthält technische
Informationen zu allen Fiori Apps, unter anderem welchen Rollen dazu ausgeliefert werden.
Ihr Ansprechpartner

Seite 169
Ihr Ansprechpartner

Seite 170
(1)Ich suche nach dem Namen der App oder nach einem passenden Stichwort, wie z.B. HCM
und wähle dann die passende App aus. Hier auch aufpassen, die richtige Version der App
auszuwählen.
(2) Implementation Information auswählen
(3) Configuration aufklappen
Fleißig scrollen ;-)
(1) Das ist die Vorlage für die Back-End PFCG-Berechtigungsrolle.(2) Das ist die technische
Rolle für den Zugriff auf das SAP Fiori Launchpad (Technischer Katalog)
Ihr Ansprechpartner

Seite 171
(3) Das ist die Business Rolle für den Zugriff auf diese Fiori App. Diese ist unter diesem
Namen ebenfalls in der PFCG zu finden.
Wenn ich sehen will, welche Business Rollen auf meinem Frontend-Server schon verfügbar
sind, dann kann ich nach "*_BCR_*" in der PFCG suchen.
War das hilfreich? Ich freue mich über ein Feedback bzw. einen Kommentar unter diesem
Beitrag.
Ihr Ansprechpartner

Seite 172
SAP RFC Gateway Sicherheit durch

secinfo und reginfo ACL Dateien
von Maria Joanna Born - Beitrag vom 6. März 2018 - Artikel online öffnen
Die Sicherheit eines SAP Systems benötigt den Schutz vor unerlaubten Zugriffen, z.B. durch
die Dateien secinfo und reginfo. Ein sauber umgesetztes Berechtigungskonzept schützt vor
Angriffen innerhalb des SAP-Systems. Es ist jedoch auch möglich ihr SAP System über das
Netzwerk anzugreifen. Über den RFC Gateway Server kommuniziert Ihr System mit externen
Servern und Programmen. Eine besonders effektive Möglichkeit der Absicherung sind
sogenannte Access-Control-Listen (ACL). Erfahren Sie hier, was das ist und wie Sie es nutzen
können, um Ihr SAP System noch besser zu schützen.
Der SAP Standard bietet verschiedene Ansätze für die Absicherung des Gateways. Dabei
können alle Methoden in Kombination für eine noch höhere Sicherheit sorgen. Es ist zum
Beispiel möglich mit Hilfe von Access-Control-Lists (ACL) genau zu kontrollieren welche
externen Programme und welche Hosts mit dem Gateway kommunizieren können. Eine
weitere Möglichkeit ist es das Gateway so zu konfigurieren, dass Secure Network
Communication (SNC) unterstützt. Zu guter Letzt gibt es diverse Sicherheitsparameter für
das Gateway. Dieser Artikel konzentriert sich auf die Verwendung von ACL-Dateien wie die
secinfo und reginfo-Dateien.
Was ist eine ACL?

Access-Control-Lists sind Dateien in denen erlaubte oder verbotene
Kommunikationspartner festgehalten werden können. Damit das Gateway diese ACL-
Dateien verwendet, müssen Parameter im Standardprofil des SAP Systems gesetzt und
natürlich die Dateien entsprechend gepflegt werden. Mit Hilfe von Logs und Traces, die
extra zu diesem Zweck konfiguriert werden können, kann im Vorfeld der Aktivierung eine
genaue Untersuchung gemacht werden, welche Verbindungen zur Zeit über das Gateway
laufen. So können sie verhindern, dass wichtige Anwendungen, mit denen Ihr System
kommuniziert durch die ACL-Dateien blockiert werden. Die Regeln in den ACL-Dateien
werden von oben nach unten vom Gateway gelesen, um zu entscheiden, ob eine
Kommunikationsanfrage erlaubt wird. Entspricht keine der Regeln dem anfragenden
Programm, wird es blockiert.
Ihr Ansprechpartner

Seite 173
Netzwerkbasierte ACL
Die Netzwerkbasierte ACL-Datei enthält erlaubte und verbotene Subnetze oder spezifische
Clients. Es ist möglich für jede Regel in der ACL-Datei ein Trace-Level anzugeben, um jeden
Kommunikationskanal individuell zu überwachen. Sie lässt sich ohne weitere Konfiguration
mit SNC verwenden. Die Verwendung der Datei wird über den Parameter gw/acl_file
gesteuert, indem er einfach auf den entsprechenden Dateinamen gesetzt wird.
Verwendung von externen Programmen

Wenn ein externes Programm mit Ihrem SAP System kommunizieren will, muss es sich
zunächst am Gateway registrieren. Welchen Programmen dies genehmigt wird, wird über
die ACL-Datei reginfo gesteuert. Hier werden also Regeln definiert, die bestimmte
Programme erlauben oder aber verbieten. Die Syntax der Datei lässt es dabei zu, nicht nur
den Namen des Programms, sondern auch den Host auf dem das Programm läuft und
Hosts die das Programm verwenden und beenden können zu definieren. Zur Verwendung
dieser Datei muss der Parameter gw/reg_info gesetzt sein.
Außerdem gibt es die ACL-Datei secinfo, mit der es möglich ist zu konfigurieren, welche
User ein externes Programm starten können. Hier werden also Regeln definiert, die
bestimmten Usernamen aus dem SAP System erlauben bestimmte externe Programme zu
verwenden. Zusätzlich können auch hier die Hosts definiert werden auf denen diese
Programme ausgeführt werden. So ist es zum Beispiel möglich einem User zu erlauben das
Programm "BSP" auf dem Host "XYZ" auszuführen, aber nicht auf dem Host "ABC". Diese
Datei wird über den Parameter gw/sec_info gesteuert.
Verwendung des Gateways als Proxy

Da das Gateway Ihres SAP Systems außerdem als Proxy-Server dienen kann, sollte zusätzlich
die ACL-Datei prxyinfo über den Parameter gw/prxy_info aktiviert werden. Nehmen wir an,
sie haben 3 SAP Systeme in Ihrem Netzwerk: SRC, TRG und PRX. Wenn SRC nicht direkt mit
TRG kommunizieren kann, aber beide mit PRX wäre es möglich das Gateway des Systems
PRX als Proxy-Server zu verwenden, also darüber zu kommunizieren. Damit dies nicht jedem
erlaubt ist, sollte diese Eigenschaft also dringend eingeschränkt werden. Wie schon bei den
anderen ACL-Dateien werden hier Regeln definiert, welche Hosts über das Gateway mit
welchen Hosts kommunizieren können.
Ihr Ansprechpartner

Seite 174
Die Syntax der verschiedenen ACL-Dateien kann je nach Release-Stand abweichen. Es ist
deshalb ratsam sie vor der Aktivierung der ACL-Dateien in der entsprechenden SAP
Dokumentation nachzulesen. Weitere Unterstützung bei der Verwendung von ACL-Dateien
finden Sie auch im SAP Community Wiki. Haben Sie schon Erfahrungen mit der Verwendung
von ACL-Dateien zum Schutz Ihres SAP Systems gemacht oder haben Sie Fragen? Ich freue
mich über Ihre Kommentare!
Ihr Ansprechpartner

Seite 175
SAP S/4HANA FAQ - Wann muss ich

auf S/4HANA gehen? - mit Ingo
Biermann
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Wann
muss ich auf S/4HANA gehen? Wir gehen dabei auch darauf ein, was das Ende für ERP 6.0 im
Jahr 2025 für die Projektplanung heute bedeutet.
Inhalt
Video
Kapitelmarken
Links & Downloads
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Wann muss ich auf S/4HANA
gehen?

Kapitelmarken
00:50 Ich habe da was gehört mit 2025...
01:06 Auf S/4HANA gehen - was bedeutet das?
03:10 Was bedeutet "bis Ende 2025"?
05:08 Ab wann sollte ich starten?
09:10 Wann und womit starten andere?
Links & Downloads
Ihr Ansprechpartner

Seite 176
SAP HANA Infografik:

https://erlebe-software.de/download/infografik-sap-hana/
Checkliste Voraussetzungen S/4HANA:
https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/
Alle aktuellen Infos zu SAP HANA:
https://erlebe-software.de/sap-hana/

unter dem Beitrag.
Ihr Ansprechpartner

Seite 177
SAP S/4HANA FAQ - Was ist

eigentlich dieses HANA? - mit Ingo
Biermann
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Diesmal die
Frage: Was ist eigentlich dieses HANA? In unserem Gespräch geht Ingo auf die
verschiedenen Aspekte von SAP HANA ein und vor allem, was alles bei SAP den Namen
HANA trägt.
Inhalt
Video
HANA Überblick
Kapitelmarken
Downloads & Links
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Was ist HANA?
HANA Überblick
In dem Video werden alle aktuellen Komponenten der Cloud angesprochen. In dem Bild gibt
es einen kleinen Überblick.
Ihr Ansprechpartner

Seite 178
Kapitelmarken
0:21 Was ist HANA? - Einführung
01:39 ERP mit AnyDB - ERP mit HANA DB
03:23 ERP mit HANA DB - Simple Finance // S/4 Finance
05:07 S/4 HANA
06:57 HANA Enterprise Cloud (HEC)
08:40 S/4HANA Cloud Edition
09:56 Cloud Services: Success Factors, SAP C4C / SAP C/4HANA
10:35 SAP Cloud Platform
11:36 SAP Cloud Connector
12:02 Was ist HANA? - Zusammenfassung
Downloads
SAP HANA Infografik: https://erlebe-software.de/download/infografik-sap-hana/
Checkliste Voraussetzungen
S/4HANA: https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/
Ihr Ansprechpartner

Seite 179
Links
unter dem Beitrag.
Ihr Ansprechpartner

Seite 180
SAP S/4HANA FAQ: Ist das noch

ABAP? - mit Ingo Biermann
Ich spreche mit SAP Experten Ingo Biermann über typische S/4HANA Fragen. Heute: Ist das
noch ABAP? Wir gehen auf den Technologiestack ein, den SAP in der neuen ERP-Version
S/4HANA im Standard verwendet. Und inwiefern das sowohl Nutzer, Entwickler als auch die
SAP Basis betrifft.
Inhalt
Video
Kapitelmarken
Links & Downloads
Video
Tobias Harmes im Gespräch mit Ingo Biermann über die Frage: Ist das noch ABAP? Spoiler:
ja, es ist noch ABAP. Aber die Tage der SE80 sind wohl gezählt. Und auch das SAP Basis &
Security Team muss sich auf neue Anforderungen einstellen.

Kapitelmarken
04:56 Datenbank: SAP HANA DB, in memory Technologie
05:20 Datenmodellierung: Core Data Services (CDS) - Layer mit Meta-Daten
07:24 Transaction Services: Business Object Process Framework (BOPF) Kapselung von
Geschäftsobjekten - Standard Design-Patterns dem Framework überlassen
09:42 Geschäftslogik: moderne ABAP Software-Entwicklung, SE80 vs. ABAP in Eclipse, ABAP
OO
13:43 Daten-Bereitstellung: SAP Gateway, ODATA Services, Unterschiede zu SOAP-
Ihr Ansprechpartner

Seite 181
Webservices, Zusammenarbeit mit UI-Services

14:30 User Interface: Fiori Style, SAPUI5
18:50 Alte Welt vs. neue Welt, Know-How Aufbau und Schulung: was kann, was sollte man
sich jetzt ansehen?
Links & Downloads

SAP S/4HANA Schulungen:
https://erlebe-software.de/angebote/schulungen/
SAP HANA Infografik:
https://erlebe-software.de/download/infografik-sap-hana/
Checkliste Voraussetzungen S/4HANA:
https://erlebe-software.de/sap-hana/s4-hana/checkliste-voraussetzungen-s4hana/
Ihr Ansprechpartner

Seite 182
unter dem Beitrag.
Ihr Ansprechpartner

Seite 183
SAP Salesforce Integration - im

Gespräch mit Robert Richter
Salesforce ist einer der weltweiten Marktführer für CRM-Lösungen. Ein CRM ohne ERP
funktioniert allerdings auch nicht so richtig rund. Grund genug um mit meinem Kollegen
und Salesforce Experten Robert Richter über das Thema SAP Salesforce Integration und
Schnittstellen zwischen SAP und der Salesforce Cloud zu sprechen.
Viele Unternehmen überdenken zurzeit ihre Vertriebsstrategien - und damit automatisch

auch die Werkzeuge. In manchen Szenarien wird sogar die Frage gestellt: was ist das
führende System? Cloud-Lösungen bieten hohe Flexibilität - trotzdem wollen und können
die meisten die aufgebauten Geschäftsprozesse nicht komplett über den Haufen werfen.
Wenn sich ein Unternehmen für Salesforce als CRM-Lösung interessiert kommt unweigerlich
die Frage hoch: wie kann ich meine bestehende Landschaft mit so einer Cloud-Only-Lösung
koppeln? Was sind auch Best Practices, die wir empfehlen können? Das ist genau unser
Gesprächsthema.
Timecodes und Inhalt

0:44 Was zum Geier ist Salesforce?
2:36 Strategiewechsel in Unternehmen - SAP nicht mehr first?
4:13 Salesforce SAP Integration / Typen der Salesforce Integration
Datenintegration
UI integration
Prozessintegration
8:53 Datenintegration im Detail
12:30 Integrationsstrategien / Einfache uni-/bidirektionale Schnittstellen
16:05 Sternschema ohne extra Middleware
Ihr Ansprechpartner

Seite 184
18:13 Sternschema mit extra Middleware
22:19 Der eine Tipp / take-away :)
3 Typen der Salesforce Integration
Datenintegration
Austausch und Synchronisierung von Daten

Bereitstellung von Daten zur Laufzeit
Synchroner und asynchroner Datenverkehr
UI Integration
Integration von SAP Oberflächen (z.B. Web Dynpro)

SFDC als Single Point of Entry
Portalfunktionalität
Prozessintegration
Abbildung komplexer Prozesse

Aufruf von SAP Funktionsbausteinen und Bediehnung von SFDC Services
z.B. Validierung und anschließende Verbuchung von Angeboten
Ihr Ansprechpartner

Seite 185
Zu klären für eine Datenintegration:
Typ der Daten Stammdaten oder Bewegungsdaten?

Mengengerüst Mit welchem Datenvolumen ist zu rechnen?
Standort der Daten Wo liegen die Daten in SAP und in SFDC?
Abhängigkeiten Wie hängen die Daten zusammen und
welche Beziehungen liegen vor?
Stand der Synchronisierung Sind die Daten bereits auf beiden Systemen
synchron?
Datenzugriff Wer darf auf welchem System welchen Teil
der Daten anlegen, ändern oder sogar
löschen?
Führende Systeme Welches System führt bei welchen Daten?
Verwendung von Middlewares für die Salesforce-

Anbindung
Ihr Ansprechpartner

Seite 186
Links
Salesforce SAP Integration |
https://mind-force.de/salesforce-integration/
Download Salesforce eBook |

https://mind-force.de/download/e-book-salesforce-fuer-einsteiger/
Ihr Ansprechpartner

Seite 187
SAP Security im Wandel – SAP

HANA Berechtigungen
von Alexander Depold - Beitrag vom 23. Januar 2018 - Artikel online öffnen
Seit den letzten Jahren ist SAP HANA eines der großen Themen im SAP Umfeld. Viele Kunden
stehen aktuell vor der Frage, ob Sie Ihr SAP System migrieren sollen oder nicht. Neben der
eigentlichen Umstellung an sich, gibt es aber zahlreiche andere Themen bei denen Sie sich
vorab schon informiert haben sollten, da diese den Erfolg von SAP HANA bei Ihnen
beeinflussen. Was wissen Sie bereits über SAP HANA? Gerne möchte ich Sie mit dem
folgenden Artikel dazu anregen sich Gedanken zu Thematik der Sicherheit zu machen.
Möchten Sie etwas über die Architektur von HANA erfahren, empfehle ich Ihnen einen
Beitrag unserer Kollegen von erlebe Software.
SAP HANA Szenario

Doch warum sprechen wir überhaupt über HANA Security? Warum ist es so wichtig, sich mit
der neuen Technologie auch neue Sicherheitsstrategien zu überlegen? Mit HANA ist es
möglich, Daten schnell zu analysieren. BW-Szenarien profitieren in erster Linie von der
verwendeten In-Memory-Datenbank (IMDB), da sich hier Geschwindigkeitsvorteile beim
Datenzugriff besonders positiv auswirken. Im Vergleich zu einem klassisches ERP / R3
Szenario wird die normale DB gegen HANA ausgetauscht. Es resultieren die gewünschten
Geschwindigkeitsvorteile. Bei der Umstellung ist jedoch mit einem Migrationsaufwand zu
rechnen. Verursacht wird dies, durch kundeneigene Entwicklungen im System. HANA ist
jedoch keine Weiterentwicklung von SAP ERP, HANA ist die nächste Stufe eines ERP Systems.
In einem ERP-Systeme steckt bekanntlich das Kapital der Unternehmen. Daher ist auch ein
neues HANA-System wie alle anderen ERP Systeme für Angreifer interessant. Zum einen
enthält ein solches System die kritischen Geschäftsdaten die sich für eine Spionage
anbieten. Darüber hinaus sind die meisten Geschäftsprozesse in einem solchen System
abgebildet und bieten eine Angriffsfläche für Sabotage. Hinzu kommt, Nutzer kennen sich
mit der neuen Technologie anfangs nicht gut aus. Dies gilt ebenso für Administratoren in
dem Bereich einer neuen Technologie. Angreifer haben schnell einen gefährlichen
Wissensvorsprung vor diesen Nutzergruppen. In SAP HANA gibt es viel neues, obwohl auf
vieles existierendes von SAP ERP zurückgegriffen wird, daher besteht hier ein Risiko.
Ihr Ansprechpartner

Seite 188
Neue Risiken in SAP HANA

Neben den bekannten Risiken bestehen auch neue Risiken durch die Verwendung von SAP
HANA. Ein sehr gutes Beispiel sind häufig verwendete Webanwendungen, die etwas neues
im SAP Bereich darstellen. HANA Systeme bestehen im Gegensatz zu einem SAP ERP System
hauptsächlich aus Webanwendungen, die in den vorherigen Versionen eher als optional zu
betrachtet wurden. Diese Webanwendungen können durch diverse Suchmaschinen im
Internet aufgefunden werden. Das gilt übrigens auch für das SAP Portal oder Netweaver. Es
gibt URL-Schemata die zum Auffinden des Systems beitragen. Dies gilt auch für andere SAP
Systeme, die Webanwendungen verwenden. Damit ist auch die neue Technologie für
typische Webangriffe verwundbar. Zu nennen sind hier SQL Injection, ABAP Code Injection
oder XSS.
Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA
System. Die Daten werden unverschlüsselt im RAM abgelegt. Erst dadurch gewinnt das
System diesen Geschwindigkeitsvorteil. Hieraus resultieren Risiken wie ein auslesen durch
Memory-scraping-malware. Diese greifen Daten im Arbeitsspeicher ab. Verschlüsselung
kostet Performance, daher wird diese standardmäßig nicht verwendet. Gerade während
einer Migration läuft HANA in einem Parallelsystem, daher kommt zu Ihrer Landschaft
mindestens ein neues System dazu. Beachten Sie darüber hinaus: HANA hat eigene Tools
und eigene Einstellmöglichkeiten die gekannt und konfiguriert werden müssen. Unterm
Strich muss beim Betrieb des Systems einfach mehr beachtet werden. Viele
Einstellmöglichkeiten resultieren nicht selten in mehr Fehlern.
Drei - Punkte - Plan zur HANA Sicherheit
Ihr Ansprechpartner

Seite 189
1. Rollen und Berechtigungen

Im einem bisherigen SAP System zählen Rollen und Berechtigungen sicherlich auch zu den
Hauptsäulen eines sicheren Systems. Rollen und Berechtigungen funktionieren aber anders
in einem HANA System. Es gibt zwei Nutzertypen:
1. Standard (eingeschränkt): Mit diesem Nutzertyp gibt es verschiedene Zugriffsmethoden
auf die Datenbank. Hier werden beispielsweise die Technologien JDBC oder HTTP
verwendet, um zwei Beispiele zu nennen. Diese Zugriffsmethode hängt ausschließlich von
den Rechten ab, die dem Nutzer zugewiesen sind.
2. Systemuser: Nutzer dieser Nutzergruppe sind vergleichbar mit SAP*. Sie fungieren im
System als Administrator. Daher sollten sie schnellstmöglich deaktiviert / auf inaktiv gesetzt
werden, sobald der Systembetrieb sichergestellt ist. Die Behebung dieses Sicherheitsrisikos
sollte Ihnen noch aus dem SAP ERP Umfeld bekannt sein.
In einem HANA-System gibt es Privilegien statt Berechtigungen. Der Unterschied besteht
erst einmal in der Begrifflichkeit. Trotzdem werden die Berechtigungen auch anders
zugeordnet (direkt / indirekt) über die Zuordnungen von Rollen. Diese sind somit
Ansammlungen von Privilegien. Wie in älteren SAP-Systemen müssen die Systemuser
deaktiviert werden und bestimmte Rollen die schon bestehen eingeschränkt werden. Im
Vergleich zu einem SAP ERP System werden statt große Anwendungen kleine Apps
berechtigt. Hier sollte auf jeden Fall auf eine individuelle Berechtigungsvergabe geachtet
werden. Für die Nutzer sollte es selbstverständlich sein, sichere Passwortregeln
implementiert zu haben.
2. Einstellungen
Eine Absicherung des Systems bringt auch die Absicherung der darunter liegenden
Infrastruktur mit sich. Vom Netzwerk bis zum Betriebssystem des Hosts muss alles
abgesichert werden. Bei der Betrachtung der Systemlandschaft fällt auf, dass die neue
Technologie viele Verbindungen mit bringt, die abzusichern sind. Auch das SAP Gateway,
welches für die Verbindung zwischen Backend und Frontend zuständig ist, ist ein
Sicherheitsrisiko und muss betrachtet werden. Alle Sicherheitseinstellungen der bisherigen
und zukünftigen Komponenten müssen auf HANA Kompatibilität validiert werden. Sichere
Kommunikation der Verbindungen erhalten Sie dann, wenn Sie den Zugriff einschränken wo
möglich. Verschlüsselung der Daten eines HANA Systems ist standardmäßig deaktiviert.
Achten Sie darauf, dass sie sensiblen Daten trotzdem verschlüsseln. Vor allem Daten die
archiviert werden. Wenn ein Angriff auf Ihr System erfolgt, sollten forensische Analysen
Ihr Ansprechpartner

Seite 190
gefahren werden können, daher sollten Sie das Audit Log aktivieren. Darüber hinaus sollten
nur wenig Nutzer Zugriff darauf haben.
3. Anwendungen
Ein SAP HANA System lebt von Anwendungen. Wenn Sie diese Anwendungen entwickeln,
sollten Sie frühzeitig daran denken, diese absichern. HTTPS zu verwenden statt HTTP gehört
zu den Basics. Darüber hinaus sorgen Sie für eine sichere Authentifizierung und
implementieren einen Secure Software Development Lifecycle um die Sicherung in Ihren
Eigenentwicklungen sicher zu stellen. Bei Ihren Anwendungen fangen Sie besser früh an,
diese auf Risiken zu untersuchen und betreiben diesen Sicherungsprozess regelmäßig. Den
Zugriff auf Quelltexte können Sie im weiteren Verlauf analysieren und einschränken. Bauen
Sie sich ein Risikoregister auf und behandeln sie Sicherheitslücken risikobasiert. Je später
Sie ein Risiko entdecken, desto teurer wird die Behebung.
Weitere Informationen zum SAP Security ergänzend zum Artikel finden sie hier. Haben Sie
weitere Fragen oder Anregungen zur Thematik? Möchten Sie, dass wir weiter auf die
Thematik eingehen? Ich freue mich auf Ihr Feedback!
Weitere Artikel zum Thema HANA:

Erklärung der neuen Technologie, erlebe-software.de
Die Top 3 Programmierfehler in ABAP für SAP, erlebe-software.de
Ihr Ansprechpartner

Seite 191
SAP Support als managed Services

- wie funktioniert das eigentlich?
von Florian Paetzold - Beitrag vom 17. Dezember 2018 - Artikel online öffnen
In vielen Unternehmen gibt es aktuell die Strategie, den SAP Support über sogenannte
"managed Services" zu strukturieren. Managed Services unterscheiden sich von den
klassischen IT-Dienstleistungen und sind eine gute Möglichkeit für Unternehmen,
wiederkehrende Aufgaben und Services auszulagern, um sich wieder mehr auf das
Kerngeschäft zu fokussieren.
Was bedeutet "managed Services"?
Viele Unternehmen stehen vor der Herausforderung, dass ihre Top-Mitarbeiter stark im
Tagesbetrieb eingebunden sind und so ihr Potential nicht voll entfalten können. Somit fehlt
das Potential dieser Mitarbeiter, um das Kerngeschäft des Unternehmens voranzubringen
und zu Verbessern. Das Ausgliedern dieser Standard-Aufgaben an einen außenstehenden
Dienstleister ist somit der nächste logische Schritt zu einer besseren Effektivität im eigenen
Unternehmen. Bei managed Services wird genau diese Herausforderung adressiert.
In einer vertraglichen Vereinbarung wird mit einem Dienstleister abgestimmt, welche

konkreten Aufgaben dieser übernimmt. Dies wird in sogenannten SLAs (Service-Level-
Agreements) festgehalten, sodass eine klare Grundstruktur vorliegt. Die Verantwortung der
Einhaltung dieser SLAs liegt somit beim Dienstleister und das Unternehmen ist von nun an
nur noch in einer kontrollierenden Funktion tätig.
Im SAP-Support kann so eine Vereinbarung zum Beispiel für den Betrieb von mehreren SAP-
Linien getätigt werden. Der Dienstleister wäre beispielsweise zuständig, dass aufkommende
Probleme mit dem SAP-System schnell und effizient bearbeitet werden. Zusätzlich hält er
sich bei der Bearbeitung an die vorher abgestimmten Zeiten zur Beantwortung,
Lösungsfindung und Analyse aufgekommener Probleme. Auch regelmäßig auftretende
Aufgaben wie Upgrades, Notfall-Tests oder das Bereinigen der Berechtigungen im System
können nach Abstimmung Teil eines Managed Services werden.
Vorteile von "managed Services"
Ihr Ansprechpartner

Seite 192
Neben der Entlastung der eigenen Mitarbeiter vom Tagesbetrieb bieten managed Services
noch weitere Vorteile. So können auch stark schwankende Anforderungen an die IT-
Abteilungen durch einen managed Services-Vertrag abgefangen werden. Gibt es bspw. feste
Zeitpunkte in einem Kalenderjahr, wo mit erhöhtem Arbeitsvolumen gerechnet wird, muss
bei einem managed Services-Vertrag der Dienstleister dafür sorgen, dass er genug
Ressourcen bereithält, die im Notfall unterstützen können.
Ein weiterer Vorteil ist die klare Strukturierung des Supports durch die festgelegten SLAs.
Dadurch, dass genau feststeht, wann welche Aufgaben zu erfüllen sind, wird eine starke
Klarheit und Transparenz geschaffen. Dies hilft dem Management, einen Überblick zu
halten, wie der aktuelle Stand der Abteilung ist und auch hier kann der Fokus somit mehr
auf dem Kerngeschäft und auf strategischen Projekten liegen.
Unterschied zum klassischen Time & Material-Geschäft
Das "klassische" Time & Material-Geschäft im Bereich der IT-Dienstleistungen sieht vor, dass
ein Unternehmen externe Ressourcen für einen bestimmten Zeitrahmen einkauft und diese
unterstützen das Unternehmen dann im Rahmen ihrer Möglichkeiten. Dies ist besonders
effizient, wenn es darum geht, noch nicht vorhandenes Know-How in das Unternehmen zu
holen um besonders schwierige Projekte zu meistern. Bei der Übernahme von
Regelaufgaben ist das Time & Material-Geschäft allerdings leicht im Nachteil, da sich (je nach
Teamgröße) der Koordinationsaufwand des Unternehmens sehr schnell steigern kann und
somit zu einer weiteren Belastung werden kann. Dies ist sowohl bei der fachlichen
Koordination ein großer Punkt, aber auch in der Budgetplanung kann es schnell Verwirrung
geben.
Beide Punkte sind durch managed Services abgedeckt. Die Verantwortung der Einhaltung
und der Koordination liegt bei dem Dienstleister. Und auch die Budget-Planung gestaltet
sich mit einem managed Services-Vertrag einfacher, da der Service zu einem festen Preis
eingekauft wird und es keine schwankenden Kosten gibt.
Um es zusammenzufassen...
Managed Services sind eine gute Möglichkeit für Unternehmen, ihre internen Ressourcen
wieder dort einzusetzen, wo sie ihre größte Wirkung entfalten: In strategischen Projekten,
die die Zukunft ihrer IT ausbauen und verbessern. Zusätzlich werden durch klar gegebene
Abstimmungen die internen Prozesse entschlankt und eine gute Möglichkeit der
Ihr Ansprechpartner

Seite 193
Transparenz und Kontrolle gegeben
Falls Sie Interesse an weiteren Informationen zu diesem Thema haben, schauen sie gerne
bei unserer Abteilung für Managed Services vorbei.
Dies sind meine Erfahrungen im Bereich der managed Services. Wie sieht es bei Ihnen aus,
haben Sie schon Erfahrungen in dem Bereich gemacht?
Berichten Sie mir gerne!
Ihr Ansprechpartner

Seite 194
SAP TechEd 2018 Video

Empfehlungen
von Tobias Harmes - Beitrag vom 9. Januar 2019 - Artikel online öffnen
Im Oktober und November 2018 ist ja die SAP TechEd gelaufen - in Las Vegas, Barcelenoa
und Bengalore. Und mittlerweile sind viele der Sessions auch online verfügbar inklusive der
Folien. Hier meine Video Empfehlungen.
Oder auf youtube:
So, ich bin nach meinem Urlaub aus dem Winterschlaf erwacht. Vor dem Jahreswechsel
habe ich es nicht mehr geschafft, daher sei es hier nachgereicht. Meine Empfehlungen aus
der Mediathek der TechEd 2018 Aufzeichnungen. Auf den Session-Seiten kann sich jeder
auch die Folien des Vortrags herunterladen.
SEC201 - Worried about threats such as SQL

injections? SAP Cloud Platform can help!
In dieser Session wird eine neue Art des automatischen Schutzes vor SQL-Injections anhand
einer Node.js-Applikation auf der SAP Cloud Platform vorgestellt. Die Idee ganz kurz ist, dass
die SAP Cloud Platform externe Eingaben als "verdorben" markiert ("tainting"). Wenn so
markierte Eingaben dann dem Datenbank-Layer z.B. in Form von SQL-Abfragen übergeben
werden, wird diese automatisch geprüft und ggf. entwertet. Das läuft dann unter dem
Begriff Runtime application self protection (RASP) und ist so etwas wie der magische
Security-Schalter. Denn der Entwickler muss seinen Code dafür nicht anpassen.
Aktuell für Node.js als Beta verfügbar wird auch an einer Java und auf der Roadmap auch an
Ihr Ansprechpartner

Seite 195
einer Lösung für ABAP entwickelt. Die Idee finde ich schon ziemlich cool und könnte als
zusätzliche Verteidungslinie vor Programmier-Fehlern schützen.
Zur Session-Seite: https://events.sap.com/teched/en/session/41196
SEC304 - GDPR Blocking and Deletion with SAP ILM

and Data Retention Manager
In dieser Session geht es um das Thema DSGVO (GDPR) und SAP ILM. Neu in diesem Vortrag
für mich war die Vorstellung des Produkts bzw. Services Data Rentention Manager, der mich
beim DSGVO-konformen Löschen in der Cloud unterstützt.
SEC305 - Identity and Access Management

Services Offered by SAP Cloud Platform
Diese Session fand ich noch mal gut als Übersicht über IAM Services im Zusammenhang mit
den vielen verfügbaren SAP Cloud Applikationen.
INT102 - Integration Architectures for Hybrid

System Landscapes
Diese Session hat eine ziemlich hohe Flughöhe - aber ein paar interessante Folien, die sich
Interessierte auf der Session-Seite herunterladen können. Und mit denen man dann intern
sicherlich den einen oder anderen Kollegen abholen kann über Integrationsszenarien. Wer
mit den vielen Abkürzungen nichts anfangen kann - eine Legenda gibt es in den verlinkten
eBooks.
Ihr Ansprechpartner

Seite 196
Ein Tipp
Wer sich bezüglich der Namensgebung etwas verloren fühlt (so wie ich): über den Agenda-
Builder der noch online ist, ist die Agenda zu den Abkürzungen der Videos hinterlegt. Zum
Beispiel der Prefix SEC für Security by default oder INT für Integration out of the box.
Ich denke es lohnt sich auch noch weiter in der Mediathek der TechEd 2018 Aufzeichnungen
zu stöbern. Gerade was die Entwicklung auf der SAP Cloud Plattform angeht, ist wirklich
einiges dabei, was vermutlich demnächst dann auf dem Tisch der SAP Basis liegt. :)
Was sind Ihre Tipps und Empfehlungen? Ich freue mich auf Feedback, gerne hier unter
diesem Beitrag oder per Formular.
Ihr Ansprechpartner

Seite 197
SAP Web Dispatcher Security -

Einschränkung des Admin-Zugriffs
von Maria Joanna Born - Beitrag vom 30. Oktober 2018 - Artikel online öffnen
Falls Anwendungen Ihres SAP-Systems aus dem Internet erreichbar sind, setzen Sie im
Idealfall einen SAP Web Dispatcher ein, um Ihr System gegen Angriffe von außen zu
schützen. Der SAP Web Dispatcher bildet die Schnittstelle zwischen dem Internet und Ihrem
SAP-System. Ist diese nicht korrekt abgesichert, können sich potentielle Angreifer Zugriff auf
ihr SAP System und die darin enthaltenen sensiblen Daten verschaffen. Erfahren Sie hier,
wie Sie den Admin-Zugriff Ihres SAP Web Dispatchers zusätzlich absichern können.
Warum sollte der Admin-Zugriff für den SAP Web

Dispatcher eingeschränkt werden?
Der Zugriff auf die Administrationskonsole des SAP Web Dispatchers erfolgt über den
Browser. In der standardmäßig ausgelieferten Konfiguration Ihres Web Dispatchers erfolgt
hier bis auf die Abfrage von Usernamen und Passwort keine Zugriffskontrolle. Hierbei
handelt es sich jedoch um eine besonders kritische Komponente, denn von der
Administrationskonsole aus können Verbindungen eingerichtet werden, denen vertraut
wird, HTTPS deaktiviert werden und die Whitelist konfiguriert werden. Außerdem sind hier
Informationen über Ihre Backend-Systeme einsehbar. Alles in allem öffnet ein Zugang zur
Administrationskonsole Angreifern Tür und Tor. Daher sollte diese gesondert abgesichert
werden. Zusätzliche Sicherheit können Sie über eine Einschränkung der
Administrationsclients, also der PCs von denen aus ein Zugriff auf diese Konsole erfolgen
kann, gewinnen.
Wie wird die Einschränkung konfiguriert?

Um diese Einschränkung vorzunehmen setzen Sie einfach den Profilparameter
icm/HTTP/admin_0 . Über diesen Parameter können Sie zusätzlich steuern unter welchen
Adressen die Administrationskonsole überhaupt erreichbar ist, indem Sie auch einen Host
angeben. Verwenden Sie dafür den Parameter wie folgt:
Ihr Ansprechpartner

Seite 198
icm/HTTP/admin_0 = CLIENTHOST=Admin-
Client, HOST=Web Dispatcher Host, PORT=HTTPS Port
Selbstverständlich ist es möglich hier eine Liste von Hosts anzugeben. Damit der Parameter
wirksam wird, müssen Sie anschließend den SAP Web Dispatcher neustarten.
Wenn also Ihre SAP Administratoren die IPs 152.12.23.1 und 152.12.23.2 haben und ihr SAP
Web Dispatcher unter der Adresse 168.12.23.4 erreichbar sein soll, wäre die richtige
Konfiguration:
icm/HTTP/admin_0 = CLIENTHOST=localhost;152.12.23.1;152.12.23.2, HOST

=localhost;168.12.23.4, PORT=8080
Mit dem Stichwort localhost lassen Sie dabei den Zugriff auf die Adminkonsole vom Host
des SAP Web Dispatcher aus zu. Auch wenn die Angabe des HTTPS Ports hier optional ist,
wird es dringend empfohlen, da im Falle eines HTTP-Zugriffs die Passwörter Ihrer
Administratoren im Klartext übertragen werden.
Erfahren Sie im SAP Help Portal mehr über diesen Parameter.
Haben Sie Fragen zu dieser Sicherheitseinstellung oder haben Sie bereits Erfahrungen mit
dieser Konfiguration sammeln können? Ich freue mich über Ihre Kommentare!
Ihr Ansprechpartner

Seite 199
SAP Web Dispatcher:

Lastverteilung für
Webanwendungen
von Maria Joanna Born - Beitrag vom 8. Mai 2018 - Artikel online öffnen
Verwenden Sie Webanwendungen auf der Basis von Web Dynpro ABAP/Java oder SAPUI5?
Hat Ihr SAP System mehrere Applikationsserver auf denen diese Webanwendungen laufen?
Oder wollen Sie einfach den Internetbasierten Zugriff zu Ihrem SAP System absichern? Der
SAP Web Dispatcher liefert genau die Funktionen, die Sie benötigen und noch einiges
darüber hinaus.
Bei der Verwendung von SAP Webanwendungen, ergeben sich aus technischer Sicht vor
allem zwei Fragen: "Wie kann die Last, die durch Webanwendungen verursacht wird, auf die
verschiedenen Applikationsserver meines SAP Systems verteilt werden?" oder "Wie kann ich
sicherstellen, dass die Applikationsserver zwar aus dem Internet erreichbar sind, dadurch
aber nicht gefährdet? Die Antwort auf beide Fragen lautet: mit dem SAP Web Dispatcher.
Was ist der SAP Web Dispatcher?

Der SAP Web Dispatcher ist ein Programm, das Unabhängig von einem SAP System auf
jedem Server laufen kann. Er wird, sofern er konfiguriert ist, als zentraler Eintrittspunkt für
Web-Zugriffe in Ihr System genutzt. Daher kann er eintreffende Anfragen ablehnen oder
aber an verschiedene Applikationsserver weiterzuleiten.
Um Ihr SAP System abzusichern, sollte es hinter einer Firewall in einem isolierten Netzwerk
verortet sein. Wenn Sie aber Zugriffe aus dem Internet zulassen wollen, muss mindestens
ein Applikationsserver, oder aber der Web Dispatcher auch durch eine Firewall hindurch aus
dem Web zugreifbar sein. Daher werden meist mindestens zwei verschiedene Netze mit
jeweils eigener Firewall genutzt. In der folgenden Grafik sehen Sie, dass der Web Dispatcher
in einer Zwischenschicht, zwischen dem Internet und dem Intranet Ihres SAP Systems
angesiedelt wird. Wenn kein SAP Web Dispatcher verwendet wird, muss an dieser Stelle der
Applikationsserver stehen, der die Webanwendungen bereitstellt.
Ihr Ansprechpartner

Seite 200
Übersicht über die Netzwerke Ihres SAP Systems bei Verwendung des SAP Web Dispatchers.
(Quelle: SAP Help Portal)
Erhöhte Sicherheit durch den SAP Web Dispatcher

Wenn ein Anwender über den Browser eine Webanwendung aufruft, muss dessen Client-PC
mit dem Applikationsserver kommunizieren. Bei Einsatz eines SAP Web Dispatchers, muss
er dabei zunächst eine Firewall überwinden, um den SAP Web Dispatcher anzusprechen. Die
erste Firewall kann somit schon schädliche bzw. ungültige Anfragen an den SAP Web
Dispatcher abfangen. Dieser leitet Anfragen durch eine weitere Firewall an die
Applikationsserver Ihres SAP Systems weiter. Da die zweite Firewall nur noch die
Kommunikation zwischen dem SAP Web Dispatcher und den Applikationsservern zulässt,
kann an dieser Stelle der SAP Web Dispatcher Anfragen, die er für ungültig hält verwerfen
Ihr Ansprechpartner

Seite 201
und so als zusätzlicher Schutz Ihres Systems dienen.

Die Kombination aus einem sicheren System und Lastverteilung ist also (abgesehen von
Drittsoftware) nur mit dem SAP Web Dispatcher möglich. Außerdem stellt dieser zusätzliche
Funktionen bereit, die im Rahmen von Webanwendungen an Bedeutung gewonnen haben:
End-to-End SSL Unterstützung

URL-Filter
Web Caching
SLD-Registrierung
Der SAP Web Dispatcher kennt die aktuelle Last, die jeder einzelne Applikationsserver trägt,
und kann die Anfragen so gleichmäßig verteilen und berücksichtigen auf welchem Server
welche Anfragen überhaupt verarbeitet werden können. Wenn Sie zum Beispiel nur auf
einen Applikationsserver mit einem Java Stack haben, so ist es wenig sinnvoll, die Web
Dynpro Java Anfragen an die anderen Applikationsserver zu senden.
Lastverteilung mit dem SAP Web Dispatcher

Wenn Sie keinen SAP Web Dispatcher verwenden, übernimmt im Regelfall der Message
Server Ihres Systems die Lastverteilung. Das bringt jedoch einige Nachteile mit sich. Bei der
Verwendung des Message Servers als Lastverteiler für Webanwendungen kommt es zu
Fehlern mit sogenannten stateful Applications, also kurzgesagt Applikationen, für die der
Nutzerkontext über die gesamte Dauer der Anwendung vorgehalten werden muss. Mehr
Informationen zu stateful Applications finden Sie hier.
Aufrufe von stateful Applications aus dem Portal können nicht über den Message Server
verteilt werden. Auch die Nutzung von Bookmarks ist mit der Lastverteilung durch den
Message Server nicht möglich, da dieser für die Weiterleitung der Anfragen an die
Applikationsserver die verwendete URL ändert.
Zu guter Letzt kann die Lastverteilung über den Message Server nur dann genutzt werden,
wenn die Applikationsserver direkt aus dem Aufrufenden Netz erreichbar sind und nicht wie
oben dargestellt, durch eine Firewall o.Ä. geschützt werden.
Aus diesem Grund empfiehlt SAP den SAP Web Dispatcher für die Lastverteilung
einzusetzen.
Für welche Systeme sollte ein SAP Web Dispatcher
Ihr Ansprechpartner

Seite 202
eingesetzt werden?
Die eigentliche Frage sollte an dieser Stelle also lauten: Welche Systeme haben einen Nutzen
von Lastverteilung für Webanwendungen und sollten gegen schädliche Zugriffe aus dem
Internet geschützt sein? Die Antwort ist kurz: Alle Systeme, in denen mehrere
Applikationsserver Webanwendungen bereitstellen. Falls Sie mehrere Systeme besitzen, ist
es möglich nur einen einzigen Web Dispatcher für alle Systeme zu verwenden. Ob das in
Ihrem Fall ratsam ist, hängt von der Anzahl, Version und Größe der jeweiligen Systeme ab.
Haben Sie Erfahrungen mit dem SAP Web Dispatcher, die Sie mit uns teilen möchten,
oder haben Sie Fragen zur Installation und Einrichtung Ihres SAP Web Dispatchers? Ich freue
mich über Ihre Kommentare.
Ihr Ansprechpartner

Seite 203
SAP-Berechtigungskonzept vs.
Datenschutz-Folgenabschätzung
von Markus Krieger - Beitrag vom 13. Juni 2018 - Artikel online öffnen
Am 24. Mai 2016 ist in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO)
in Kraft getreten, welche seit dem 25. Mai 2018 verbindlich anzuwenden ist. Auf Sie und Ihr
Unternehmen kommen dabei große Herausforderungen bei der Anpassung Ihres SAP-
Berechtigungskonzepts zu, die es zu überwinden gilt.
Viele der Anforderungen in der DSGVO hätten bereits durch die deutschen, sehr strengen
Datenschutzgesetze umgesetzt werden müssen, was jedoch in der Praxis auch aufgrund der
im Verhältnis geringen Strafandrohungen nur stiefmütterlich realisiert wurde. Speziell die
durch Art. 35 festgehaltene Datenschutz-Folgenabschätzung bringt große
Herausforderungen mit sich. Haben Sie sich in Ihrem Unternehmen bereits damit
auseinandergesetzt?
Mit Aktiv werden der DSGVO können Sie bis zu einer Geldbuße von 20.000.000 € oder 4%
Ihres weltweiten Umsatzes bestraft werden, was für viele Unternehmen einer
Bankrotterklärung gleich käme. Diese Sanktionierungsmaßnahmen durch die EU gilt es zu
vermeiden, ein erster wichtiger Schritt ist dabei ein angepasstes Berechtigungskonzept in
Ihrem SAP-Umfeld.
Dabei ist besonderer Fokus auf die Datenschutz-Folgenabschätzung zu legen. Diese erinnert
in ihren Grundzügen stark an die im alten deutschen Datenschutzgesetz festgehaltene
Vorabkontrolle, birgt jedoch noch weitere Herausforderungen in sich.
Worum handelt es sich bei der Datenschutz-

Folgenabschätzung?
Mit Art. 35 der DSGVO wird eine Datenschutz-Folgenabschätzung eingeführt. „Eine
Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, um das Risiko zu erkennen und
zu bewerten, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz
einer bestimmten Technologie entsteht. Ziel einer DSFA ist es, vor der Verarbeitung von
Daten die Folgen dieses Prozesses abzuschätzen, insbesondere dann, wenn aufgrund dieser
Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen
kann. Es müssen bestimmte Mindestanforderungen bezüglich des Inhalts einer Datenschutz-
Folgenabschätzung erfüllt sein. Dabei muss zunächst eine systematische Beschreibung der
Ihr Ansprechpartner

Seite 204
geplanten Verarbeitungsschritte erstellt werden. Eine Bewertung der Notwendigkeit und

Verhältnismäßigkeit der Verarbeitungsvorgänge, Weiterhin ist eine Bewertung der
entstehenden Risiken anzulegen. Zusätzlich muss ein Katalog mit Maßnahmen erstellt
werden, die ergriffen werden, um den Schutz der personenbezogenen Daten
sicherzustellen. Somit wird garantiert, dass die DSGVO eingehalten wird.
Die Datenschutz-Folgenabschätzung steht in

Verbindung zum interen Kontrollsystem
Die DSGVO birgt viele Dokumentationspflichten inkl. der Datenschutz-Folgenabschätzung,
die große Anforderungen an Berechtigungskonzepte stellen. Eine Dokumentationspflicht
davon, das Erstellen eines Verfahrensverzeichnisses, verlangt Anpassungen des
Berechtigungskonzepts. Für die Datenschutz-Folgenabschätzung sind auch Anpassungen an
SAP-Berechtigungssystemen notwendig. Mit der DSFA soll analysiert werden, wozu Daten
benutzt werden und was mit ihnen geschehen kann, wo kritische Punkte in der Verarbeitung
vorliegen und was daraus für Gefahren entstehen können. Es handelt sich somit um eine
Risikoabschätzung die Daten betreffend. Innerhalb des internen Kontrollsystems werden
Risiken betrachtet, im Berechtigungskonzept selbst wird festgeschrieben, dass dieses
gesetzlichen Grundlagen und dem IKS unterliegt. Somit wird eine Verbindung zwischen der
DSFA und dem Berechtigungskonzept hergestellt.
Wir helfen Ihnen dabei, Ihr Unternehmen DSGVO-konform aufzustellen.
Ihr Ansprechpartner

Seite 205
Was hat der Datenschutzbeauftragte mit der

Datenschutz-Folgenabschätzung am Hut?
Ein weitere Berührung zwischen der Datenschutz-Folgenabschätzung und
Berechtigungssystemen wird durch die Verbindung zum Datenschutzbeauftragten
aufgezeigt. Dieser steht dem Verantwortlichen mit Rat zur Seite und überwacht die
Durchführung der Datenschutz-Folgenabschätzung. Ihm selbst ist es allerdings nicht
aufgetragen, die DSFA selbst anzustoßen oder durchzuführen.
Nichtsdestotrotz kann mit dem Berechtigungskonzept kein deutlich weitergehendes Risk
Management ersetzt werden, so dass ein solches parallel zu einem Berechtigungskonzept
zu entwerfen ist.
Die Umsetzungen der DSFA und der weiteren Anforderungen aus der DSGVO stellen
einen langwierigen Prozess dar, den es gilt, akribisch umzusetzen. Falls Sie dabei
Unterstützung benötigen, freue ich mich sehr über ihre Fragen!
Ihr Ansprechpartner

Seite 206
Schnell und Einfach: SAP

Passwortänderung und Benutzer
entsperren
von Jonas Krueger - Beitrag vom 31. Mai 2018 - Artikel online öffnen
Wie viel Zeit verbringen Ihre Basis- oder Benutzeradministratoren mit einfachen, sich
wiederholenden Aufgaben wie dem Entsperren von SAP Benutzern und der
Passwortänderung? Mit steigender Anzahl der Dialogbenutzer steigt auch die Anzahl
vergessener Passwörter erheblich an.
Ein vergessenes Passwort ist nicht nur das vielleicht häufigste Problem im Alltag der
Anwender, sondern es stellt auch die IT vor einige besondere Herausforderungen. So sind
derartige Anfragen oft zugleich simpel wie auch zeitkritisch. Die Bearbeitung soll
schnellstmöglich erfolgen, da der betroffene Mitarbeiter ohne Systemzugang meist nicht
arbeiten kann.
Unternehmen mit mehreren Standorten stehen häufig noch vor weiteren

Herausforderungen. Durch nicht einheitliche Feiertage oder durch unterschiedliche
Zeitzonen kann es vorkommen, dass die IT-Abteilung nicht schnell erreichbar ist. Hinzu
kommt, dass Hacker immer häufiger gezielt auf menschliche Schwachstellen abzielen: wie
können Sie einen Anrufer am Telefon sicher identifizieren, der um die Rücksetzung eines
SAP Passwortes bittet?
Sichere Kennwortrichtlinien, die den Menschen

nicht vergessen
Durch eine sichere und durchdachte Gestaltung Ihrer Kennwortrichtlinien können Sie die
Häufigkeit des Kennwortvergessens erheblich reduzieren. Bedenken Sie dabei folgendes:
Sichere Kennwörter mit ausreichender Länge und Komplexität

(Groß-/Kleinschreibung, Zahlen, Sonderzeichen) sind für Menschen schwer zu
merken
Ihr Ansprechpartner

Seite 207
Auch Ihre Mitarbeiter können sich nur wenige solcher Passwörter merken und neigen dazu,
sie aufzuschreiben und bei Änderungen nur geringfügig zu variieren. Daher ist es nicht
empfehlenswert, eine regelmäßige Passwortänderung zu erzwingen. Besonders eine
Passwortänderung vor längeren Abwesenheiten durch Urlaub, Krankheit oder Fortbildung
führt häufig zum Vergessen der Zugangsdaten.
Technische Lösungen zur Passwortänderung

Aus technischer Sicht möchte ich Ihnen drei Lösungen vorstellen, mit denen Sie bei der
Passwortänderung und dem Entsperren von SAP Usern erheblich Zeit und Aufwand
einsparen können.
Automatische Entsperrung von Usern nach einem Tag
Mithilfe des Parameters login/failed_user_auto_unlock können Sie festlegen, ob durch

Fehlanmeldungen gesperrte User automatisch wieder entsperrt werden. Das heißt, wenn
Sie den Wert des Parameters auf 1 festlegen, werden wegen Falschanmeldungen gesperrte
User automatisch am nächsten Tag entsperrt.
Weitere Informationen finden Sie im Blogbeitrag meines Kollegen
Password Self-Service der mindsquare
Mit diesem Werkzeug können Anwender ihr Passwort selbstständig zurücksetzen. Dies
funktioniert über einen Webservice und eine anschließende Bestätigung über die im SAP
System hinterlegte E-Mail-Adresse. Die Nutzer kennen diese Vorgehensweise häufig schon
von Online-Diensten wie Amazon oder Facebook. Die Nutzer benötigen dazu keinerlei
zusätzliche Berechtigungen (SU01 oder Ähnliches).
Weitere Informationen finden Sie hier.
CheckIDM - Benutzerverwaltung für Ihr SAP System
Auch mit dem Tool CheckIDM können Nutzer ihr Passwort selbstständig und sicher
zurücksetzen. Neben vergessenen Passwörtern unterstützt es auch bei weiteren häufigen
Fragen in der Benutzerverwaltung und im Berechtigungssupport:
Ihr Ansprechpartner

Seite 208
Anlage und Änderung von SAP Benutzern

Zuweisung oder Entzug von Rollen
CheckIDM hält für diese Anfragen sichere und individuell anpassbare Workflows und
Genehmigungsverfahren bereit, die auf Wunsch auch mehrstufig und unter
Berücksichtigung einer Funktionstrennung gestaltet werden können. Es arbeitet komplett
im SAP System und erfordert keine zusätzliche Infrastruktur.
Weitere Informationen finden Sie hier.
Welche Lösung ist die Beste?

Welches Werkzeug Sie wählen sollen, hängt vor allem von Ihren Anforderungen an den
Leistungsumfang ab. Die vorgestellten Lösungen unterscheiden sich in ihrem
Funktionsumfang erheblich: Während der Parameter login/failed_user_auto_unlock nur die
Entsperrung der User ermöglicht, ohne ein neues Passwort zu vergeben, übernimmt der
Password-Self-Service auch diese Aufgabe. CheckIDM ist das mit Abstand umfangreichste
Werkzeug, da es zusätzlich auch Workflows für die Beantragung und Änderung von Usern
und zur Vergabe von Rollen mitbringt. Auch im Preis unterscheiden sich die Werkzeuge. Um
herauszufinden, welches Werkzeug Ihren individuellen Anforderungen am Besten gerecht
wird, sprechen Sie uns gerne an.
Verbringen Sie oder Ihre Mitarbeiter viel Zeit mit dem entsperren von SAP Usern und dem
Kennwörter zurücksetzen? Erzählen Sie mir von Ihren Erfahrungen in der Bearbeitung
derartiger Anfragen gerne in einer Nachricht oder als Kommentar.
Ihr Ansprechpartner

Seite 209
SoD-Troubleshooting -
Funktionstrennungskonflikte in
SAP
Die Bereinigung von Funktionstrennungskonflikten muss kein Grund für ein Burn-out
werden. Ich zeige hier in dem Beitrag und dem Video, wie ich üblicherweise an SoD-
Feststellungen herangehe.
Funktionstrennungskonflikte, SoD, wie bitte?

Funktionstrennung wird überall dort benötigt, wo ein Geschäftsprozess von einem
Anwender so durchgeführt werden könnte, dass er alleine einen finanziellen Schaden
auslösen kann. Prüfungen auf Funktionstrennung werden oft im Rahmen von
Systemprüfungen durchgeführt und auf Basis der tatsächlich vergebenen Berechtigungen
ermittelt. Hat also ein Anwender sehr weitreichende Berechtigungen, dann hat er mit hoher
Wahrscheinlichkeit auch Funktionstrennungskonflikte. SoD ist die Abkürzung von
Segregation of Duties, zu Deutsch Funktionstrennung.
Beispiel für einen Funktionstrennungskonflikt

"Bankenstammdaten ändern vs. Zahllauf ausführen"
Das Risiko ist hier, dass durch eine Stammdatenänderung eine Zahlung auf das falsche
(eigene) Konto ausgelöst wird.
Das technische Regelwerk sieht dann so aus:
Bankenstammdaten ändern Vs. Zahllauf ausführen

S_TCODE; TCD = S_TCODE; TCD =
FI02F_BNKA_MAN; ACTVT=02 F110F_REGU_BUK; FBTCH
=21F_REGU_KOA; FBTCH = 21
Ihr Ansprechpartner

Seite 210
Vorgehensweise
Mein Rezept um Funktionstrennungskonflikte aufzulösen sieht wie folgt aus:
1. Relevanz des Prüfungsergebnisses hinterfragen

2. Relevante User identifizieren
3. Entscheidung: Akzeptieren | Kompensieren | Bereinigen
4. Ursache identifizieren
5. Bereinigen
Relevanz des Prüfungsergebnisses hinterfragen

Immer wieder erlebe ich es, dass Prüfungsergebnisse "ausgebaut" werden sollen, ohne über
das wirkliche Risiko zu sprechen. Wenn ein Geschäftsprozess zum Beispiel über mehrere
Systeme verteilt ist, dann ist die Feststellung "der kann auch Zahllauf" manchmal wirklich
kein Risiko. Dies muss nicht jedes Mal gemacht werden, aber mindestens beim ersten
Auftreten des Konflikts.
Relevante User identifizieren

Ziel ist es hier, die Menge der User aufzuteilen in "hier haben wir einen Konflikt erwartet"
und "das ist eine Überraschung". Die zweite Gruppe gilt es im Detail zu analysieren. Wenn
ich von 10 Usern mit dem Konflikt 5 Admins dabeihabe, die schon mit SAP_ALL ausgestattet
sind, dann müssen die nicht besonders tief analysiert werden. Umgekehrt muss ein User
"LAGERAZUBI" sicherlich nicht kritische FI-Berechtigungen erhalten.
Entscheidung: Akzeptieren | Kompensieren |

Bereinigen
Es gibt grundsätzlich auch Alternativen zum Bereinigen. Es ist auch möglich, SoD-Konflikte
und Risiken zu akzeptieren. Nach Möglichkeit sollten diese Risiken natürlich durch
weitergehende Maßnahmen kompensiert werden. Zum Beispiel durch Beleglisten, die am
Ende des Monats erzeugt und kontrolliert werden. Wenn ein Risiko vorliegt, das nicht ohne
weiteres kompensiert werden kann oder soll, dann wird eine Bereinigung erforderlich.
Ihr Ansprechpartner

Seite 211
Ursache identifizieren
Typischerweise entsteht die problematische Berechtigung durch eine Kombination von
mehreren Rollen in dem Benutzer. Dadurch ist es oft auch nicht möglich, eine einzige Rolle
als Ursache zu bestimmen. Ich verwende tatsächlich eine Old-school Transaktion dafür: die
SU56. Diese kann für einen User den kompletten Benutzerpuffer anzeigen. In dieser
Übersicht kann ich über STRG+F nach Berechtigungsobjekten und Werten suchen. Und ich
sehe, aus welchen Profilen und Rollen diese Berechtigungen kommen.
Ich würde bei der Analyse auch immer empfehlen, mit der selteneren Funktion anzufangen.
Also bei "Bankenstammdaten ändern vs. Zahllauf ausführen" würde ich nach Rücksprache
mit der Fachabteilung versuchen, den Teil "Zahllauf ausführen" zurückzubauen. Weil diese
Funktion üblicherweise an weniger User vergeben wird. Alle Rollen mit entsprechende
Berechtigungen kommen in eine Arbeitsliste, die dann in der Bereinigung abgearbeitet
werden muss.
Bereinigen
Wenn die Arbeitsliste aus der Ursachen-Analyse steht, muss natürlich noch mal geguckt
Ihr Ansprechpartner

Seite 212
werden, was die Seiteneffekte sind. Nicht dass der Ausbau von Berechtigungen negative
Auswirkungen auf andere User hat. Hier muss dann im schlimmsten Fall sogar mit
Rollenkopien gearbeitet werden. Aber ansonsten benötigt dieser Teil vor allem Geduld und
Genauigkeit - also wie immer bei der Berechtigungsentwicklung.
War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem
Beitrag als Kommentar. Vielen Dank!
Ihr Ansprechpartner

Seite 213
Tagesworkshop 08.03.2018 – EU-

Datenschutzgrundverordnung und
Berechtigungen in 2018
von Alexander Depold - Beitrag vom 1. Februar 2018 - Artikel online öffnen
Das Thema des Tagesworkshops in Berlin, die EU- Datenschutzgrundverordnung. Der

Stichtag lautet: 25.05.2018. Ab diesem Datum muss sich jedes Unternehmen mit SAP im
Einsatz an die EU-Datenschutzgrundverordnung (EU-DSGVO) halten.
Die Umsetzung der Verordnung ist somit gesetzliche Vorschrift und daher ein Thema mit
dem Sie sich jetzt beschäftigen sollten. Damit Sie wissen, was auf Sie zukommt und konkrete
Lösungsansätze erhalten, widmen sich unsere Experten dem Thema in unserem
Tagesworkshop. Darüber hinaus beraten und informieren wir Sie über aktuelle
Berechtigungsthemen, womit wir Ihnen das nötige Know-How für ein erfolgreiches Jahr
2018 vermitteln.
Datum: Donnerstag, 08.03.2018
Ort/Location: Berlin, Mercure Hotel MOA, Stephanstraße 41, 10559 Berlin
Zeitraum: 9:00 Uhr bis 17:00 Uhr
Eintritt: 250,-€
Meinungen der Teilnehmer
„Der Workshop war sehr interessant und hilfreich! Es ist spannend zu erfahren wohin sich
die digitale Welt entwickelt und wie andere Firmen mit der Digitalisierung umgehen.“ –
innogy SE
„sehr interessanter Erfahrungsaustausch mit kompetenten Ansprechpartnern“ – TÜV

Rheinland Service GmbH
„Die Erwartungen an den Tag wurden vollumfänglich erfüllt; eine gelungene Veranstaltung
von sachkundigen Experten“ – thyssenkrupp Rasselstein GmbH
Ihr Ansprechpartner

Seite 214
Unsere Expertenvorträge auf dem

Tagesworkshop:
Sebastian Eßling
SAP HR Consultant
Activate-HR
Ihr Ansprechpartner

Seite 215
Tipps zur Anbindung eines HANA-

Systems an den SAP Solution
Manager
von Maximilian Gill - Beitrag vom 28. Mai 2018 - Artikel online öffnen
SAP HANA hält überall Einzug und somit bietet auch der SAP Solution Manager einige
Szenarien für HANA-Systeme an (z.B. HANA Monitoring), die eine ordnungsgemäße
Anbindung voraussetzen
Bei der Anbindung eines HANA 2.0-Systems über die bekannte Guided-Procedure in der
Konfiguration der verwalteten Systeme gibt es ein paar Besonderheiten, die zu beachten
sind und welche ich in diesem Blogartikel zusammengefasst habe.
1. Update CIM/CR Content im zentralen SLD

Das Common Information Model (CIM-Modell) ist ein Standard der Distributed Management
Task Force (DMTF) und basiert auf dem Objektorientierten Modellierungsansatz. Dieser
Standard stellt ein implementierungsneutrales Schema zur Beschreibung von
Managementinformationen innerhalb einer Rechenumgebung zur Verfügung
Veraltete CIM- Modelle und ein nicht aktuelles Content-Repository (CR) können dazu führen,
dass bei der Anbindung eines HANA-Systems einzelne Systemkomponenten dem SLD nicht
bekannt sind und somit nicht klassifiziert werden können. Um dies zu vermeiden, empfiehlt
es sich, das SLD auf den aktuellsten Stand zu bringen.
Ihr Ansprechpartner

Seite 216
2. HANA-System am SLD Registrieren

Entgegen der gewohnten Anbindung des Data-Suppliers läuft die Anbindung hier über das
Launchpad des Systems ab.
Rufen Sie hierzu die entsprechende URL auf und wählen die Kachel "SLD Registrierung
konfigurieren" auf.
https://<HANAServerHostname>:<Port>/lmsl/HDBLCM/<SID>
3. HANA-Client auf SAP Solution Manager Host

installieren
Der HANA-Client ist eine Software, welche die Kommunikation mit allen Entitäten im Umfeld
Ihr Ansprechpartner

Seite 217
zwischen Server und Applikation ermöglicht, nicht-native Applikationen eingeschlossen.

Unter diesem Link kann die benötigte Software heruntergeladen werden.
https://launchpad.support.sap.com/#/softwarecenter
Die Installation auf dem Host dauert weniger als 1 Minute und kann in zwei verschiedenen
Modi durchgeführt werden:
GUI:
hdbsetup -a
Commandline:
hdbinst -a
4. Weitere Empfehlungen
Aktualisierung der Templates/Views gemäß Note 2403493
MAI-Content aktualisieren (Komponente ST_CONT)
Hier empfiehlt sich die das aktuellste SP-Level
Anlage eines Monitor-Users auf der HANA-DB (wird während des Setups unter
"Systemparameter" eingetragen")
Diesen benötigen Sie, sofern die Datenbank innerhalb eines Monitoring-Szenarios
überwacht werden soll.
Wenn Sie also die oben zusammengefassten Aktivitäten berücksichtigen, steht einer
problemlosen Anbindung ihrer HANA-Landschaft an den SAP Solution Manager nichts mehr
im Wege.
Auf welche Besonderheiten bei der Anbindung sind Sie gestoßen? Stoßen Sie gerne einen
Erfahrungsaustausch an!
Ihr Ansprechpartner

Seite 218
Toolgestützt Funktionsrollen
entwickeln
von Luca Cremer - Beitrag vom 8. Juni 2018 - Artikel online öffnen
Ein nachhaltiges Bereinigen von SAP Berechtigungen beginnt mit der fachlichen Perspektive
auf Rollen und Arbeitsplätze - es werden Funktionsrollen entwickelt, welche später technisch
mit Berechtigungen ausgeprägt und in den produktiven Betrieb überführt werden können.
Eine Funktionsrolle steht für eine Berechtigungsrolle aus fachlicher Sicht. Hier werden auf
erster Ebene die notwendigen SAP Transaktionen gesammelt die basierend auf einer
Arbeitsplatzbeschreibung im täglichen Betrieb aufgerufen werden. In diesem Blogbeitrag
gehe ich auf die Erstellung von solchen Funktionsrollen ein. Hierbei verwenden wir in
unseren Projekten einen toolgestützten Ansatz, welchen ich Ihnen ebenfalls kurz vorstellen
werde.
Ansätze zur Entwicklung von SAP Rollen

Generell gibt es bei einer gewünschten Neudefinition von Rollen in SAP zwei bekannte
Vorgehensweisen:
Top-Down
Bottom-Up
Bei dem Top-Down-Verfahren stehen die fachlichen Anforderungen im Vordergrund. Hier

werden bestehende Geschäftsprozesse analysiert, Interviews mit Experten geführt, etc. Der
Fokus liegt hierbei auf den Kerntätigkeiten eines Mitarbeiters basierend auf einer
Arbeitsplatzbeschreibung.
Bei dem Bottom-Up-Ansatz liegt der Fokus auf den tatsächlichen Nutzungsdaten in SAP. Hier
werden z.B. die Daten der ST03N ausgewertet, um Analysen über die Verwendungshistorie
von Transaktionen zu fahren. Bei diesem Ansatz wird die zu definierende Rolle mit genau
den Berechtigungen ausgeprägt, welche in der Vergangenheit auch genutzt worden sind.
Beide Ansätze bieten verschiedene Vor- und Nachteile. Bei einem reinen Top-Down-Ansatz
werden sehr häufig Transaktionen vergessen. Auch das Durchspielen der üblichen
Tagesaktivitäten basierend auf einem Arbeitsplatz ist kein valides Mittel, um wirklich alle
notwendigen Transaktionen einzufangen. Der reine Bottom-Up-Ansatz lässt dabei die
Ihr Ansprechpartner

Seite 219
fachliche Perspektive völlig außen vor. Fehlende fachliche Ansprechpartner und benötigte
Transaktionen welche außerhalb des betrachteten Nutzungszeitraums aufgerufen worden
sind, werden vergessen und sorgen für viel Aufwand in der Nachbereitung.
Zeitraum der Aufzeichung von Transaktionsnutzungsdaten

erhöhen!
Hier ein kleiner Tipp vorab: Wenn Sie bereits über eine Bereinigung von SAP
Berechtigungen nachdenken, sollten Sie als aller erstes den Aufzeichnungszeitraum der
ST03N erhöhen. Umso länger die Daten hier aufgezeichnet werden, umso sicherer ist das
Ergebnis des Redesigns zum Abschluss des Projektes.
Unsere Best Practice Vorgehensweise -

Funktionsrollen
Um den oben genannten Nachteilen der Rollenentwicklung mit den bekannten klassischen
Vorgehensweisen entgegenzuwirken, verwenden wir in unseren Projekten einen
kombinierten Ansatz. Wir empfehlen sowohl die fachliche als auch die technische
Perspektive zu erfassen und somit das beste aus beiden Ansätzen zu erhalten.
Ihr Ansprechpartner

Seite 220
Durch diese Kombination erreichen Sie folgende Vorteile:
Fachlich korrekte Rollen

Rollen basierend auf Funktionen / Arbeitsplätzen
Stets fachlicher Verantwortlicher für Rollen vorhanden
Das Risiko Transaktionen zu vergessen wird minimiert
Technische Datenanalyse stellt Validität sicher
Diese Kombination der Ansätze wird in unseren Projekten durch den Einsatz der XAMS
Ihr Ansprechpartner

Seite 221
(Xiting Authorizations Management Suite) vereinfacht und unterstützt.
Funktionsrollen toolgestützt erarbeiten

Zur Erarbeitung der Funktionsrollen mit dem oben genannten Ansatz verwenden wir das
Modul "Role Designer" der Toolsuite XAMS von der Firma Xiting. Dieses Modul ermöglicht
ein virtuelles Designen von Rollen. Virtuell bedeutet in diesem Kontext, dass wir ein Projekt
erstellen und für eine spätere Weiterarbeit abspeichern können. Die in diesem Projekt
erstellten Rollen sowie die Zuweisung von Transaktionen oder Benutzern geschieht rein in
dem Tool und hat keine Auswirkung auf die bereits produktiven Rollen.
Das Modul unterstützt den Bottom-Up-Ansatz durch Datenauswertung im SAP System. So
können wir direkt auf die Transaktionsnutzungsdaten der betrachteten User zugreifen.
Damit sehen wir auf einen Blick zu wie viel Prozent ein User mit der momentanen, virtuellen
Rollenzuweisung berechtigt wäre alle Transaktionen aufzurufen welche er auch in der
Vergangenheit bereits aufgerufen hat.
Hier ist ein beispielhafter Screenshot eines Demo-Projekts:
In diesem Screenshot ist zu sehen, wie die Arbeit mit dem Tool aussehen kann. Auf der
linken Seite sind die virtuellen Rollen zu erkennen, welche per Drag&Drop mit
Transaktionen gefüllt werden können.
Auf der rechten Seite sind die betrachteten User im System zu sehen. Diese Benutzer sind
hier bereits nach Funktionen / Abteilungen gruppiert. Das ermöglicht später eine einfachere
Zuweisung. Ebenfalls durch Drag&Drop können die neu designten Rollen den Benutzern
Ihr Ansprechpartner

Seite 222
oder Benutzergruppen zugewiesen werden (rein virtuell). Ganz rechts ist nun ebenfalls zu
erkennen zu wie viel Prozent der User im Vergleich zu seiner Verwendungshistorie
berechtigt ist. Der User EXT_ hat im Betrachtungszeitraum 13 Transaktionen verwenden und
ist mit den zugewiesenen Rollen zu 100% berechtigt und wird in diesem Screenshot deshalb
in grün dargestellt.
Die darunter befindlichen User sind erst zu 3,03 bzw. 1,05 Prozent berechtigt und sollten
daher noch einmal überarbeitet werden.
Verwendung des Moduls in

Fachbereichsworkshops
Wir verwenden dieses Modul, um Funktionsrollen mit dem entsprechenden Fachbereich
aufzubauen. Hier organisieren wir üblicherweise einen Workshop mit dem Fachbereich.
Vorher wird das Projekt in dem Modul aufgesetzt und alles notwendige vorbereitet. In dem
Workshop selbst gehen wir dann mit dem Fachbereich die Transaktionen durch und weisen
diese den Fachbereichsinternen Rollen basierend auf Arbeitsplätzen zu.
So kann der Fachbereich bei der Erstellung der Rollen basierend auf Transaktionen aktiv
mitwirken. Das garantiert eine spätere Sicherheit der Rollen. Wir können Sie gerne bei
einem solchen Workshop unterstützen. Mehr Informationen hierzu finden Sie unter dem
folgenden Link: SAP Redesignworkshop mit Fachbereich.
XAMS im Berechtigungsredesign verwenden

Die Toolsuite der Xiting verwenden wir grundlegend im gesamten Zyklus eines SAP
Redesigns. Die verschiedenen Module unterstützen das neue Designen von Rollen in der
Get Clean Phase sowie in der anschließenden Stay Clean Phase, um die erstellten Rollen mit
ihren SAP Berechtigungen auch nachhaltig sicher und zuverlässig zu halten.
Deshalb empfehlen wir generell den Einsatz der XAMS im SAP Berechtigungskontext. Der
Zeitaufwand der hierdurch gespart wird ist so erheblich, dass ein manuelles Bereinigen der
Rollen nicht mehr wirtschaftlich ist.
Wir zeigen Ihnen gerne die unterschiedlichen Funktionlitäten der XAMS mit den
verschiedenen Modulen. Damit verbunden ist eine einmonatige Testlizenz, damit Sie das
Tool in aller Ruhe testen können. Mehr Informationen hierüber erhalten Sie unter
folgendem Link: XAMS Starter Workshop.
Denken Sie über eine Bereinigung von Ihren SAP Berechtigungen nach oder haben bereits
Ihr Ansprechpartner

Seite 223
Erfahrungen gemacht? Sie können mir gerne einen Kommentar hinterlassen oder mich per
E-mail kontaktieren.
Ihr Ansprechpartner

Seite 224
Top 3 Basis-Fragen zur Einführung

von Adobe Forms in SAP - mit
Jeremia Girke
Ich spreche mit SAP Spezialisten Jeremia Girke über die Top 3 Basis-Fragen zur Einführung
von Adobe Forms in SAP. Es geht um die Infrastruktur, das Sizing für die Systemlandschaft
und auch um die benötigte Software und die Lizenzen.
Inhalt
Video
Kapitelmarken
Downloads & Links
Video
Kapitelmarken
00:39 Frage 1: Was brauche ich für eine Infrastruktur für Adobe Forms?
04:01 Frage 2: Wie kann ich eine robuste Systemlandschaft für Form Processing aufbauen?
Wie muss das Sizing aussehen?
10:30 Frage 3: Woher bekomme ich die Software und die Lizenzen?
12:48 Zusatzfrage: Was kosten Adobe Forms eigentlich?
Links und Downloads

Fact Sheet: Sizing ADS und Massendruck:
https://mind-forms.de/download/fact-sheet-sizing-ads-und-massendruck/
Configuring Adobe Document Services for Form Processing (ABAP):
https://help.sap.com/viewer/d2e18615eb27460d9c0b6533aa01d8a0/7.5.6/en-
Ihr Ansprechpartner

Seite 225
US/3a62c0dbf6da426790ecf3186b37f512.html
Checking ADS Configuration in an ABAP Environment:
https://help.sap.com/viewer/d2e18615eb27460d9c0b6533aa01d8a0/7.5.7/en-
US/4b94e945ea576e82e10000000a421937.html
ADS Configuration in Netweaver 7.5:
https://blogs.sap.com/2016/11/02/ads-configuration-in-netweaver-7.5/
Anleitung Download Adobe LifeCycle Designer:
https://mind-forms.de/sap-formulartechnologien/adobe-forms/adobe-livecycle-designer-
downloaden/
Kostenloses Ebook zum Download:
https://mind-forms.de/download/e-book-sap-adobe-forms/

unter dem Beitrag.
Ihr Ansprechpartner

Seite 226
Topf sucht Deckel – Connect 2018 –

SAP Partner Summit in Düsseldorf
Die SAP Connect ist die größte Partnerveranstaltung der SAP und sie gastierte diesmal am
06.-07.11.2018 in Düsseldorf. Eine gute Gelegenheit sein Netzwerk zu pflegen und der SAP
abseits von Marketing-Folien in die Karten zu gucken. Beteuert doch die SAP, dass die SAP
ohne Partner-Ökosystem wie ein Topf ohne Deckel ist.
Oder auf youtube:
"Die SAP" ist sowieso nicht korrekt – die Vorträge, die ich gesehen habe, waren sorgfältig
vorbereitet, persönlich und interessant. Die BPM-Rate (Buzzwords per Minute) war
naturgemäß relativ hoch – in einem Vortrag wurde das sogar augenzwinkernd als Input für
den Prozess in die Folien geschrieben. Nun, sobald es um Cloud und Plattformen geht, ist
das wohl so.
Ihr Ansprechpartner

Seite 227
Auch wenn es vielleicht noch der eine oder

andere hofft: die Cloud Plattform ist keine Grippe, die wieder weg geht. Die Richtung geht
weiter in die Cloud, insbesondere in die HANA Cloud Plattform. Rouven Morato meinte in
der Keynote: Der Umsatz aus den Cloud-Produkten der SAP übersteigt 2018 erstmals den
der On-Premise-Lizenzen. Läuft bei euch!
Die SAP möchte als Integrationsplattform agieren. Egal wo ich Cloud-Services anmiete (AWS,
Microsoft,…), egal was ich verwende (ja, sogar SalesForce) – ich kann es mit SAP integrieren.
Vorzugsweise natürlich mit dem S/4HANA Digital Core. Oder C/4HANA. Hier sieht Hartmut
Thomsen in der Keynote ein sehr großes Thema für SAP – und den festen Willen diesen
Markt nicht Salesforce & Co. zu überlassen. Ob das CRM-Geschäft das ERP-Geschäft 2019
wirklich überholen wird – ich bin gespannt.
Ein sehr großes Thema war die Einstiegshürden für die SAP Cloud Plattform. Mehre Sessions
haben aktiv Feedback eingefordert. Hier kam hoch: die SAP Cloud Platform-Trial ist zu
limitiert, ein ernsthaftes Setup mit Backend-ERP für mittelständische Softwareentwickler zu
teuer bzw. aktuell kaum lohnend. Gute Ideen wie Per-per-Use-Modelle sind noch nicht
großflächig ausgerollt. Und andere Anbieter wie zum Beispiel die IBM bieten hier günstigere
Möglichkeiten während der Entwicklungsphase. Hier will die SAP nachbessern und bietet
schon jetzt verbesserte Einstiegspakete zumindest für den Cloud Platform-Teil für Partner
an. Dann dürfte sich der App-Store von SAP auch füllen.
Beim Umgang mit Massendaten für meine Plattform, der Integration von IoT-Devices, der
Nutzung von Industrieanlagen, die an den Kunden Twittern (Function as a service) – da
suche ich dann schon mal nach dem Thema Datenschutz und Security. Ja, ich weiß. Hashtag
#GermanAngst. Return of the Spielverderber. Virtual Forge war hier der einzige Name, der
hier die Flagge der Security sichtbar hochgehalten hat. Wenn die Einführung der Cloud-
Ihr Ansprechpartner

Seite 228
Lösung vorbei ist und die ersten Z-Applikationen aus der Cloud Plattform in SuccessFactors
und andere Apps integriert werden. Mal gucken, wer dann das passende Security-Konzept
aus der Tasche ziehen muss. In der PFCG geht das jedenfalls nicht.
Doch so pessimistisch will ich gar nicht schließen. Passend zur Strategie: die App zur
Veranstaltung war wirklich prima und sehr hilfreich. Und letztendlich ging es ja auch darum,
miteinander ins Gespräch zu kommen. Auf analoger Ebene funktioniert die Integration also
schon mal.
Ihr Ansprechpartner

Seite 229
Transaktionen richtig aus einer

Rolle entfernen
von Tobias Koch - Beitrag vom 22. Mai 2018 - Artikel online öffnen
Manchmal kommt es vor, dass eine Transaktion aus dem Menü einer Rolle gelöscht wurde,
die Transaktion für den User jedoch trotzdem noch abrufbar ist. Dies kann an
verschiedenen Gründen liegen. Im Folgenden werden drei mögliche Situationen gezeigt, bei
denen der TCode noch abrufbar ist.
1. TCode wurde manuell hinzugefügt

Es ist sehr zu empfehlen, Transaktionen über das Menü einer Rolle hinzuzufügen. Dadurch
werden die in der SU24 gepflegten Werte automatisch mit übernommen. TCodes aus dem
Menü werden dann in das Standard Berechtigungsobjekt S_TCODE übernommen. In
manchen Situationen kann es dennoch möglich sein, dass weitere Transaktionen manuell
zur Rolle hinzugefügt wurden. Das kann bspw. vorkommen, wenn ein ganzer Bereich von
Transaktionen (z.B. FB*) hinzugefügt werden soll. In solch einem Fall existiert neben dem
Standard auch noch ein manuell gepflegtes Berechtigungsobjekt S_TCODE. Nun kann es
vorkommen, dass dieselbe Transaktion sowohl im Menü als auch manuell direkt im
Berechtigungsobjekt gepflegt wurde:
Die Transaktionen FB01 & FB02 wurden

sowohl manuell als auch über das Menü hinzugefühz
Wenn nun die Transaktion (z.B. FB01) aus dem Menü gelöscht wird, wird sie nur aus dem
Standardobjekt entfernt - im manuellen Objekt ist sie noch vorhanden. Hier müsste die
Änderungen daher auch am manuellen Objekt vorgenommen werden.
2. TCode wurde mehrmals ins Menü eingefügt

Beim Pflegen von Transaktionen über das Menü überprüft SAP nicht automatisch, ob die
gewünschte Transaktion bereits im Menü aufgenommen wurde. Doppelte Einträge sind
gerade bei Rollen mit vielen Transaktionen oder größerer Ordnerstruktur im Menü möglich.
Wird nur einer der vorkommenden Einträge gelöscht, bleiben die gleichen Berechtigungen
Ihr Ansprechpartner

Seite 230
vorhanden. Der einfachste Weg ist hier die Suchfunktion zu benutzen. Dies geht entweder
über das Fernglas-Symbol oder über STRG+F. In der Statusleiste ist nach der Suche einer
Transaktion sichtbar, ob und wie oft die Transaktion gepflegt wurde. Wenn nun der
Löschbutton betätigt wird, werden alle vorkommenden Einträge entfernt und die
Berechtigungen damit entzogen.
3. TCode wird über die SU24 einer anderen

Transaktion übernommen
In der SU24 können die Vorschlagswerte u.a. für Transaktionen gepflegt werden. Dabei ist
es auch möglich, dass als Vorschlagswert für eine Transaktion weitere Transaktionen
automatisch hinzugefügt werden. Das hat zur Auswirkung, dass eine Transaktion im
S_TCODE Standardobjekt vorkommt, obwohl sie im Menü gar nicht gelistet ist.
Obwohl im Menü nur die Transaktion

STMS_QUEUES vorkommt, sind im Standardberechtigungsobjekt S_TCODE auch die
Transaktionen STMS und STMS_IMPORT vorzufinden.
Ein Beispiel ist die STMS_QUEUES. Diese zieht automatisch die Transaktionen STMS und
STMS_IMPORT mit in das Berechtigungsobjekt S_TCODE. Das ganze lässt sich auch über die
SU24 nachvollziehen. Dafür muss nur nach der entsprechenden Transaktion gesucht
werden und unter Berechtigungsobjekte S_TCODE ausgewählt werden. Anschließend
werden die vordefinierten Werte angezeigt.
In der SU24 lassen sich die vordefinierten

TCodes anzeigen.
In solch einem Fall kann z.B. die auslösende Transaktion ebenfalls aus der Rolle entfernt
Ihr Ansprechpartner

Seite 231
werden oder die die SU24 für die Transaktion überarbeitet werden.
Ihr Ansprechpartner

Seite 232
Treffen auf der Warm-Up Party

zum DSAG Jahreskongress 2018 in
Leipzig
SAP Basis und Security Verantwortliche, Administratoren, Architekten, Keyuser, Planer,

Entwickler, Supporter - sie alle verstehen keinen Spaß, sitzen am Liebsten vor ihrer SAP-GUI
und gehen auch sonst ungern raus. Bis auf die drei Tage im Jahr, wo sie mal auf den DSAG-
Jahreskongress dürfen.
Dann dürfen wir uns nämlich entspannen und ungestört unserem (Zweit-)Lieblingsthema
zuwenden: SAP. Wer nach dem ersten Tag Präsentations-Marathon vielleicht doch Lust auf
Gespräche und weniger auf allein im Hotel, Bildschirm und Mails abarbeiten hat: meine
Firma mindsquare und ich veranstalten auch dieses Jahr wieder unsere kleine aber feine
Warm-Up Party am Abend des ersten Kongresstags. Hier können wir entspannt den ersten
Tag bei Bier, Cocktails, Wein und vielfältigen Speisen Revue passieren zu lassen, networken,
Kontakte knüpfen und mit SAP Anwendern und SAP Experten von uns und anderen
Unternehmen austauschen. Lasershow und Techno gibt es ja dann am zweiten Tag auf der
offiziellen DSAG Abendveranstaltung ;-)
Datum: 16. Oktober 2018
Start: 20 Uhr
Ort: Barfusz Club, Leipzig
Also: wer Lust und Zeit hat, hier geht es zu unserer Anmeldeseite:
https://mindsquare.de/dsag-warm-up-party/
Ich freue mich schon!
Ihr Ansprechpartner

Seite 233
Tür zu - es zieht! - SAP Web

Dispatcher URL Filter konfigurieren
Alle Welt setzt den SAP Web Dispatcher ein, um Web-Apps und Webservices aus dem SAP
für das Internet erreichbar zu machen. Allerdings gibt der Web Dispatcher im Standard alles
frei, was das SAP System zu bieten hat. Ein URL Filter für den SAP Web Dispatcher hilft, die
Tür nur so weit aufzumachen, wie wirklich nötig.
Der Bedarf für die Anbindung von SAP Systemen an das Internet ist in den letzten Jahren
sprunghaft gestiegen. Apps und Webservices entwickelt und veröffentlicht auf dem SAP
System werden zum Internet hin freigegeben. Eine praktische Methode das zu tun ist der
SAP Web Dispatcher - er fungiert als Reverse Proxy und kann Anfragen aus dem Internet an
das interne SAP System durchreichen. So muss das interne ERP System nicht direkt mit dem
Internet verbunden werden.
Inhalt
Warum eigentlich URLs filtern?

Die Schritte um den URL Filter zu konfigurieren
Schritt 1: Logging aktivieren für Webzugriffe

Schritt 2: Aus dem Log eine URL-Filter-Access-Liste erstellen
Schritt 3: AUTH-Handler für URL Filtering aktivieren
Schritt 4: Testen :)
Fazit
Warum eigentlich URLs filtern?

Das Dilemma ist, dass zwar viele Unternehmen den Rat beherzigen, einen SAP Web
Dispatcher vor ihr SAP System zu schalten. Aber es erfolgt keine Einschränkung des Zugriffs
hinsichtlich der freigegebenen Zugriffspfade bzw. URLs. So kann ich nicht nur die
gewünschten Apps und Webservices aus dem Internet erreichen, sondern auch viele
Ihr Ansprechpartner

Seite 234
Testwebservices, Webdynpros und auch System-Programme. Und natürlich auch die SAP
WebGUI mit voller Anmeldung. Alles nützlich um mehr von Ihrem Unternehmen zu erfahren
und im schlimmsten Fall diese Informationen zu stehlen und/oder gegen Sie zu verwenden.
Einfacher Selbsttest: Googlen Sie nach site:meinefirma.de inurl:/sap/bc/bsp (Testlink)
Unter Umständen muss man einmal bestätigen, dass man kein Roboter ist – diese Art von
Anfragen wird halt tatsächlich von Bots durchgeführt, die das Internet durchforsten nach
leichter Beute. Und jetzt kann man überlegen, ob die Ergebnisse nicht angepasst werden
können. Man könnte URL-Bingo spielen und neue URLs formen. Z.B. den seit mehr als 10
Jahren bekannten Klassiker - aus /sap/bc/bsp ein /sap/public/info machen (siehe Bild).
Nur weil bei Ihnen da nichts angezeigt wird, muss es natürlich nicht heißen, das nicht doch
etwas da ist. Vielleicht kennen Sie nur die richtige URL noch nicht. Das liegt daran, dass im
Ihr Ansprechpartner

Seite 235
Standard der Web Dispatcher erst einmal alles freigibt, was auch im internen SAP System
freigegeben ist. Während das Risiko dafür im internen Netz vielleicht noch überschaubar ist,
ist es im Internet ungleich höher. Denn dort gibt es keine Client-Richtlinien oder Firewalls die
irgendwelche Roboter-Angriff erkennen und unterbinden.
Grund genug also für die alte Wahrheit: nur das an Diensten freigeben, was man auch
wirklich benötigt.
Glücklicherweise geht das im Web Dispatcher relativ einfach.
Die Schritte um den URL Filter zu konfigurieren
1. Logging aktivieren
Es macht Sinn das Zugriffslogging zu aktivieren, um eine Liste von gerade genutzten
Diensten und URLs zu erhalten. Falls noch nicht vorhanden, muss in das Web Dispatcher
Profil folgender Parameter aufgenommen werden:
icm/HTTP/logging_0 = PREFIX=/, LOGFILE=access_log-%y-%m, MAXSIZEKB=100

00, SWITCHTF=day, LOGFORMAT=SAP
Logformat "SAP" ist eine Abkürzung für den String %t %h %u - "%r2" %s %b %L "
%b sind die Bytes der Anfrage, %L ist die Verarbeitungszeit in Millisekunden.
Wenn mehrere Systeme über verschiedene Ports abgewickelt werden, empfiehlt sich noch
%v %S. Diese stehen für den Zielserver und den Ziel-Port. Z.B. webdispatcher.example.com
8443
Also:
icm/HTTP/logging_0 = PREFIX=/, LOGFILE=access_log-%y-%m, MAXSIZEKB=100

00, SWITCHTF=day, LOGFORMAT=%t %h %u - "%r2" %s %b %L %v %S
Dies würde dann im work-Verzeichnis ein access_log-File anlegen. Beispiel-Log-Eintrag
[21/Sep/2018:15:41:35 +0100] 10.10.10.10 - - "GET /dummy HTTP/1.1" 200

86 10 webdispatcher.example.com 8443
Packungsbeilage: bei einer großen Anzahl von Zugriff kann das Logging Performance-Einfluß
haben. Auch muss der Platz auf dem Filesystem (automatisch) überwacht werden, um dort
Ihr Ansprechpartner

Seite 236
Probleme zu vermeiden. Das wird ja auch primär für den Moment benötigt, wo der URL
Filter aufgebaut wird.
2. Aus dem Log eine URL-Filter-Access-Liste machen
Das Access-Log kann dann ausgewertet werden um alle relevanten URLs zu ermitteln. Ich
verwende sehr gerne Excel. Aber unter Linux geht es wohl mit cut bzw. sed schneller. Die
URLs müssen in eine bestimmte Form als Permission File aufbereitet werden. Im
Wesentlichen muss man vor jede gewünschte URL ein "P" für Permitted, also erlaubt bzw.
eher "S" für HTTPS erlaubt eintragen. Siehe Beispiel weiter unten. Die Datei kann z.B. unter
/usr/sap/<SID>/SYS/profile/perm_filter.txt abgelegt werden. Achtung: keine Leerzeilen
verwenden. Diese haben in einem bekannten Fall im Web Dispatcher den Start verhindert.
Ich würde die Liste am besten auch vom Fachbereich/Applikationsbetreuern verifizieren

lassen.
Beispiel für perm_filter.txt:
# This is the "permission file" used by the Web Dispatcher Authenticat

ion handler# Each line has to start with either "P" (for "Permit"), "D
" (for "Deny") or "S" (for "Secure", meaning that the access is permit
ted only if HTTPS is used).# The next field on the line is the URI pat
tern, or URL path / prefix. For example, "/sap/bc/*".# The next fields
define a user ID, group, client IP address (IP address from the end u
ser) and server IP address (IP address of the Web Dispatcher server).#
Admin# webadmin und ping nur von Admin-Stationen 10.10.10.0/24 erlaub
enP /sap/bc/ping * * 10.10.10.0/24 *P /sap/wdisp/admin/*
* * 10.10.10.0/24 *# Webapps and WebGUI (https only)from intern
al IPsS /sap/bc/webdynpro/* * * 10.0.0.0/8 *S /sap/bc/gui/sap/i
ts/webgui * * 10.0.0.0/8 *# Webapps and WebGUI (https only)from Intern
etS /sap/bc/srt/rfc/meinwebservice * * * * *# Everything not listed ab
ove will be denied because of the final implicit rule "D * * * * *"
3. AUTH-Handler für URL Filtering aktivieren
Wenn die Datei gespeichert ist (Achtung, auf die Rechte achten), dann kann die Datei im
Instanzprofil des Webdispatchers referenziert werden. Der Pfad muss dem Parameter
PERMFILE mitgegeben werden.
icm/HTTP/auth_0 = PREFIX=/, PERMFILE=/usr/sap/<SID>/SYS/profile/perm_f
Ihr Ansprechpartner

Seite 237
ilter.txt
Der Web Dispatcher muss für die Aktivierung gestoppt und gestartet werden.
4. Testen
Nach dem Neustart des Web Dispatchers ist der Filter aktiv. Sollte der Web Dispatcher nicht
starten, sollten Sie kontrollieren, ob sich nicht doch eine Leerzeile in das Permission-File
eingeschlichen hat. Wenn ich nun über den Web Dispatcher auf nicht freigegebene
Ressourcen zugreife, erhalte ich ein HTTP 403 - Access Denied.
Ich kann den aktuellen Status der Access List auch über das Web Admin Interface abrufen
(HTTP Handler -> Access Handler). Dort kann ich übrigens auch die Filter-Liste nach
Veränderung ohne Neustart neu laden (danke für diesen Kundentipp!).
Fazit
Ihr Ansprechpartner

Seite 238
Eine Einschränkung auf gewünschte URLs lässt sich schnell auf dem Web Dispatcher
realisieren. Allerdings muss wie bei Firewall-Regeln genau geprüft werden, ob die Liste
wirklich vollständig ist. Ansonsten gibt es lange Gesichter bei legitimen Benutzern. Es gibt
grundsätzlich auch noch andere Ansätze, diesen URL Filter zu realisieren. Wenn die Regeln
z.B. komplizierter werden müssen, dann kann auch mit regulären Ausdrücken gearbeitet
werden. Weitere Infos dazu gibt es z.B. hier.
Übrigens: Das Vorgehen mit dem Web Dispatcher kann natürlich auch noch eine Ebene
früher verwendet werden. So eine Einschränkung macht auch für interne ERP-Systeme Sinn.
Denn wenn etwas schon im LAN nicht erreichbar ist, dann muss es auch nicht zum Internet
hin abgeschottet werden. Entsprechende Filterregeln gibt es auch für den ICM im ABAP
Stack.
War das hilfreich oder ist noch etwas unklar? In jedem Fall freue ich mich über einen
Kommentar. Und wer es lieber direkt klären möchte: ich biete auch eine Online
Sprechstunde an.
Ihr Ansprechpartner

Seite 239
Umbenennen von Masterrollen und

deren Ableitungen in SAP
von Markus Krieger - Beitrag vom 12. September 2018 - Artikel online öffnen
Das Umbenennen von Rollen in SAP ist eine leidige Aufgabe, welche sich nicht so einfach
realisieren lässt. Dies kann vor allem bei Masterrollen und deren Ableitungen ein echtes
Problem darstellen. Im Folgenden zeige ich Ihnen, wie Sie diese Herausforderung dennoch
meistern können.
Es gibt etliche Gründe, weshalb es für Sie in Ihrem Unternehmen wichtig sein könnte, den
Namen einer Rolle zu verändern, sei es aufgrund von Namenskonventionen, durch den
Wunsch, Rollen besser anhand ihres Namens identifizieren zu können oder aus welchem
Grund auch immer.
Vorgehen zur Umbenennung von Masterrollen

Innerhalb von SAP wird keine Funktion zum simplen Umbenennen von Rollen, egal ob
Master- oder Einzelrolle, angeboten.
Als Workaround bieten sich dabei zwei Möglichkeiten an:
Die erste ist das Kopieren von Rollen und Generieren der Profile mit anschließendem
Löschen der alten Rollen.
Die zweite, etwas risikoreichere Variante ist der Down- und Upload von Rollen. Dies ist über
den Einstiegsbildschirm der Transaktion PFCG möglich via Rolle -> Download:
Ihr Ansprechpartner

Seite 240
Download via PFCG

Als Ergebnis des Downloads wird eine Datei mit der Endung .SAP erzeugt, mit der Sie so
erstmal nicht viel anfangen können.
Der Trick bei der Sache ist, dass Sie neu erzeugte Datei mit einem Texteditor wie z. B. dem
Notepad++ öffnen, um damit arbeiten zu können.
Die heruntergeladene Rolle besteht aus einer reinen Folge von Zeichen, die Sie -
selbstverständlich vorsichtig - verändern können.
Rolle in Notepad++
In Zeile fünf des Screenshots ist z. B. der Name der Rolle zu finden, den Sie nun modifizieren
Ihr Ansprechpartner

Seite 241
können.
Sie sehen, dass es sich bei der Datei um eine sehr lange Textdatei handelt, in welcher jede
Zeile seine Daseinsberechtigung genießt. Ein einfaches Ändern von einzelnen Zeilen, um die
Rolle umzubenennen, ist somit nicht zu empfehlen. Es ist viel besser, mit "Suchen und
Ersetzen" die Rolle anzupassen. Hat Ihre Rolle beispielsweise eine Bezeichnung mit "MM", in
Wahrheit handelt es sich aber um eine "FI"-Rolle, können Sie die Datei nach "MM"
durchsuchen und durch "FI" ersetzen.
Vorsichtig sein bei dem Arbeiten mit "Suchen und ersetzen"!
Dabei ist Vorsicht geboten - in der Rolle können Transaktionen hängen, die auch "MM" im
Namen haben. Diese werden in der Textdatei auch mit angezeigt, was zur Folge hat, dass Sie
versuchen würden, auch die Transaktion selbst umzubenennen. Dabei würde jedoch
lediglich der Name der Transaktion geändert werden, der als Hülle dient, die Transaktion
würde in dieser Rolle somit unbrauchbar werden.
Profilgenerierung und Userzuordnung sowie

Löschung der alten Rolle(n) als finaler Schritt
Nachdem Sie die Datei angepasst und gespeichert haben, können Sie diese in der PFCG
hochladen. Anschließend müssen lediglich nur noch die Profilgenerierungen und
Userzuordnungen zu den neuen Rollen erfolgen. Im Anschluss kann die alte Rolle/können
die alten Rollen gelöscht werden.
Sie mögen sich fragen, warum Sie dieses komplizierte Vorgehen nutzen sollten, scheint eine
Namensanpassung durch die erste Methode, dem Kopieren von Rollen, doch deutlich
einfacher realisierbar zu sein.
Der Vorteil des Umbenennens durch Down- und Upload kommt jedoch bei beispielsweise
folgenden Szenario zur Geltung:
Stellen Sie sich vor, Sie arbeiten in Ihrem Unternehmen mit dem Masterrollenkonzept und
an einer Masterrolle hängen 25 Einzelrollen dran - hätten Sie Lust, alle 25 abgeleiteten
Rollen einzelnen zu kopieren und im Anschluss mit der neuen Masterrolle zu verknüpfen?
Hier kommt die Stärke des Rollendownloads zur Geltung:
Ihr Ansprechpartner

Seite 242
Abgeleitete Rollen werden mit heruntergeladen

Wenn Sie eine Masterrolle herunterladen, werden alle abgeleiteten Rollen mitverarbeitet -
alles in einer einzigen Datei. Sie können somit die abgeleiteten Rollen direkt mit
umbenennen, die Verknüpfung bleibt beim Upload der Rolle erhalten!
Sie sehen, dass der Down- und Upload von Rollen durchaus ein Nutzen mit sich
bringen kann - Sie haben Fragen zu diesem oder sonstigen Vorgehen? Mein Team und
ich stehen Ihnen jederzeit zur Verfügung!
Ihr Ansprechpartner

Seite 243
Umgang mit inaktiven Benutzern

von Sven Schreiber - Beitrag vom 21. November 2018 - Artikel online öffnen
Der Umgang mit inaktiven Benutzern ist in jedem SAP-Umfeld ein verbreitetes Thema. Doch
wie geht man damit um und was sind die Vorteile der einzelnen Lösungen? Ich zeige einen
vielleicht unbekannten Trick zum Sperren von Benutzern.
Benutzer sperren oder löschen?

Durch das Löschen eines Users werden seine Stammdaten gelöscht. Dadurch sind zum
Beispiel Buchungsbelege schwerer nachvollziehbar, weil nur noch der SAP-User aufgeführt
wird. Durch die Sperre des Users bleibt der Bezug zum Mitarbeiter in den
Änderungsbelegen erhalten. Konflikte in der Nachvollziehbarkeit durch einen zweimal
vergebenen Usernamen (z.B. zweimal "AMEYER") werden so ebenfalls ausgeschlossen. Der
User kann auch bei Bedarf reaktiviert werden. Dies erspart administrativen Aufwand.
Deshalb ist hier meine Empfehlung die Benutzer lediglich zu sperren.
Benutzer sperren leicht gemacht

Jeden einzelnen Benutzer durchgehen und sperren? Viel zu aufwändig!
SAP bietet standardmäßig den Report RSUSR_LOCK_USERS um bspw. inaktive Benutzer zu
finden und zu sperren. Hier bietet es sich an eine Filterung auf 90 Tage zu setzen, sodass
Benutzer mit einer Inaktivität von mindestens 3 Monaten erfasst werden. Allerdings ist auch
eine Selektierung auf die Benutzerart möglich. Da bei der Sperre bezüglich Inaktivität in den
meisten Fällen Dialogbenutzer betrachtet werden, sollte auch nur auf diesen Benutzertypen
selektiert werden.
Ihr Ansprechpartner

Seite 244
Später kann dann die Aktion, die auf die selektierten Benutzer angewendet werden soll,
ausgewählt werden. Hier können Nutzer sowohl lokal gesperrt als auch lokal entsperrt
werden und auch die Gültigkeit des Benutzers gesetzt werden. Demnach also bereits zwei
der drei von mir empfohlenen Schritte im Umgang mit inaktiven Benutzern. Es empfiehlt
sich das Gültigkeitsdatum "auf Gestern" zu setzen.
Letztlich sollten in der SU01 die Profile und Rollen entzogen werden, damit der Benutzer
nicht mehr im System berechtigt ist.
Mögliche Konflikte
Trotz der Sperre eines Benutzers kann es in manchen Fällen immer noch möglich sein, dass
sich der Benutzer im System anmelden kann, z.B. durch Single-Sign-On. Um einen User also
endgültig vom System ‚auszusperren‘ entfernen Sie bestenfalls alle zugeordneten Rollen,
deaktivieren das Passwort und – am wichtigsten – setzen das „Gültig bis“-Datum auf einen
Zeitpunkt in der Vergangenheit (siehe auch: SAP Benutzersperren verstehen)
Empfohlene Vorgehensweise im Überblick

Mein Rezept im Umgang mit inaktiven Benutzern sieht wie folgt aus:
Ihr Ansprechpartner

Seite 245
1. Benutzer nach 3-monatiger Inaktivität sperren

2. Dem Benutzer sämtliche Rollen und Profile entziehen
3. Das Gültigkeitsdatum setzen
War das Hilfreich? Ich freue mich über Feedback, gerne per Mail oder hier unter diesem
Beitrag als Kommentar. Vielen Dank!
Ihr Ansprechpartner

Seite 246
Umsetzung des ACID-Prinzips mit

der HANA DB
von Timo Jungblut - Beitrag vom 4. Dezember 2018 - Artikel online öffnen
Im Unternehmenskontext wird an Datenbanken, speziell in Verbindung mit Enterprise

Resource Planning (ERP) Software, das Prinzip von ACID gefordert. Was verbirgt sich jedoch
hinter diesem Prinzip und wie wird dies mit der neuen In-Memory-Datenbank (HANA DB)
von SAP umgesetzt? Hierfür wird im folgenden Blogbeitrag das Prinzip ACID im Detail
erläutert und die Verbindung zur HANA DB gezeigt.
Leitfragen welche im Laufe des Beitrags beantwortet werden sollen sind somit
Was ist die SAP HANA DB?

Wofür steht ACID?
Wie wird das ACID Prinzip bei der SAP HANA DB umgesetzt?
Was ist die SAP HANA DB?

Die SAP HANA (ehemals: High Performance Analytic Appliance) DB ist die neue Datenbank
von SAP, gehört zur SAP Business Suite 4 SAP HANA und löst das in SAP R/3 vorhandene
Konzept der „any DB“ ab. Das neue SAP S/4HANA kann somit nur noch ausschließlich mit
der dazugehörigen SAP HANA DB betrieben werden. Die von SAP, dem Hasso-Plattner-
Institut und der Universität von Stanford entwickelte Datenbank basiert auf dem Konzept
der In-Memory Datenbanken, welche alle Inhalte spaltenweise im RAM halten und bessere
Performance bieten. Durch das arbeiten auf nicht persistenten Speicher Medien stellt sich
jedoch die Frage wie die sichere Durchführung von Transaktionen in diesem Umfeld
gewährleistet werden kann und eine dauerhafte Speicherung von Daten möglich ist.
Wofür steht ACID?

Das Akronym ACID steht ausgeschrieben für die vier Anforderungen und Regeln an
Transaktionen in einem Datenbankmanagementsystem um diese zum Beispiel für den
Einsatz im betriebswirtschaftlichen Bereich verwenden zu können.
Ihr Ansprechpartner

Seite 247
Atomicity (Atomarität)
Die Atomarität einer Transaktion in einer Datenbank wird häufig mit den Worten „ganz oder
gar nicht“ beschrieben“. Das heißt das Transaktionen, welche in einem Fehler gelaufen sind,
alle vorhergehenden Änderungen in der Datenbank vom System wieder rückgängig
gemacht werden müssen. Im Umkehrschluss bedeutet dies, dass Transaktionen erst gültig
sind wenn sie komplett und erfolgreich durchlaufen wurden.
Consistency (Konsistenz)
Konsistenz wird vor und nach jeder Transaktion in einem Datenbankmanagementsystem

gefordert. Diese Regel zielt auf die Prüfung von eindeutigen Beziehungen, Fremdschlüsseln
oder Wertebereiche ab. Kann nach einer Transaktion kein konsistenter Zustand hergestellt
werden muss die komplette Transaktion rückgängig gemacht werden. Zu erwähnen ist
jedoch das während einer Transaktion inkonsistente Zustände auftreten können, welche
jedoch auftreten dürfen.
Isolation (Abgrenzung)
Die Abgrenzung bezieht sich auf den Betrieb eines Datenbankmanagementsystem mit
Zugriffen von mehreren Nutzern und dient zur Verhinderung der damit verbundenen
Anomalien wie z.B. das löschen oder ändern geänderter Datensätze. Generell sollte jeder
Nutzer sich so fühlen als sei er allein auf dem Datenbankmanagementsystem. Häufig wird
dies mit Sperren auf Datensätzen realisiert. Da Sperren in Datenbanken und speziell im SAP-
Umfeld ein enorm umfangreiches Thema sind wird in diesem Beitrag nicht weiter darauf
eingegangen.
Durability (Dauerhaftigkeit)
Nach erfolgreichem Abschluss einer atomaren und konsistenten Transaktion auf einem
Datenbankmanagementsystem müssen die Daten dauerhaft gespeichert sein. Sollte zum
Beispiel der Server ausfallen müssen die erfolgreich abgeschlossenen Transaktionen im
Datenbankmanagementsystem erhalten bleiben und dürfen nicht gelöscht oder erneut
eingefügt werden.
Ihr Ansprechpartner

Seite 248
Wie wird das ACID Prinzip bei der SAP HANA DB

umgesetzt?
Der Persistenz Layer wird während dem Aufsetzen der HANA Datenbank von einem Mitglied
des SAP Basis-Teams konfiguriert. Er dient als Schnittstelle zwischen dem persistenten
Speicher (Festplatte) und dem flüchtigen Speicher (RAM). Dieser Layer trägt vorwiegend
dazu bei, dass in der HANA Datenbank das ACID-Prinzip eingehalten wird. Die wichtigste
Aufgabe des Persistent Layers ist das Erstellen der Savepoints, in welchen alle erfolgreich
abgeschlossenen Transaktionen gesichert sind. Im Falle eines Absturzes können so die
vorhandenen Daten wieder in den Arbeitsspeicher geladen werden. Die Erstellung dieser
wird alle X Sekunden (Default 300 sek.) durchgeführt und kann von einem Basis-Mitglied
verändert werden, hier zählt natürlich ein gutes Verhältnis zwischen Kosten und Nutzen zu
finden.
SAP HANA DB Schichten-Modell
Transaktionen welche vor oder während dem Absturz noch nicht als abgeschlossen
gegolten haben werden in die sogenannten Redo- und Undo- Logs aufgenommen und nach
dem laden des Savepoints wieder auf den bestehenden Datensatz aufgespielt um eine
Ihr Ansprechpartner

Seite 249
konsistente Datenbank zu erhalten. Im Falle eine abgebrochene oder fehlerhafte

Transaktion können so auch wieder alle Änderungen Rückgängig gemacht werden bis die
Datenbank in einem konsistenten Zustand ist.
Der Persistenz Layer trägt somit vorwiegend zur Konsistenz und Dauerhaftigkeit der HANA
Datenbank bei und ermöglich zugleich noch die Atomarität dieser In-Memory Datenbank.
Haben Sie bereits Erfahrungen mit der Konfiguration der HANA DB gesammelt oder haben
eine "best practice" zur Erstellung von Savepoints? Teilen Sie mir gerne Ihre Erfahrungen in
der Kommentarbox mit, ich würde mich sehr freuen!
Ihr Ansprechpartner

Seite 250
Usage Procedure Logging im SAP

Solution Manager
von Maximilian Gill - Beitrag vom 13. Februar 2018 - Artikel online öffnen
Sie möchten gerne detaillierter wissen, was auf Ihren SAP Systemen passiert - dann
empfehle ich Ihnen, sich die Solution Manager Funktionalität "Usage Procedure Logging"
(UPL) genauer anzusehen.
Welcher Code wird häufig ausgeführt? Auf welche Datenbanktabellen wird regelmäßig
zugegriffen? Welche ungenutzten Eigenentwicklungen existieren? - Antworten auf diese
Fragen liefert das UPL.
Sie können die Funktionalität ohne weitere Lizenzkosten und mit moderatem Aufwand in
Ihre bestehende SAP-Landschaft implementieren.
Welche Informationen liefert das UPL?

Mit Usage Procedure Logging werden, grob vergleichbar mit den Workload-Statistiken der
ST03N, Daten zum Nutzerverhalten geloggt und aufgezeichnet. UPL ist in der Lage, den
Aufruf und die Ausführung u. a. folgender ABAP Objekte aufzuzeichnen:
Reports
Funktionsbausteine
Klassen
Methoden
Subroutinen
SQL Aufrufe
Außerdem ist UPL in der Lage, dynamische Programmaufrufe zu erkennen sowie die
Transparenz über genutzte Modifikationen zu erzeugen.
Somit werden sämtliche Nutzungsdaten detailliert und automatisiert aufgezeichnet sowie,

wenn gewünscht, zentral im SAP Solution Manager zur Verfügung gestellt.
Vorteile
Ihr Ansprechpartner

Seite 251
1. Kaum messbarer Performance Impact

2. Zentrale Sammlung der Daten aller Systeme im BW des SAP Solution Managers
3. Keine aufwändige Einrichtung
4. Einmal aktiviert, laufen die Kollektor- und Extraktorjobs regelmäßig und ohne
weitere, manuelle Tätigkeiten
Mögliches Nutzungsszenario
Wenn Sie den Solution Manager 7.2 im Einsatz haben, können Sie UPL im Rahmen des
"Custom Code Lifecycle Managements" (deutsch: Verwaltung kundeneigener Entwicklungen)
aktivieren. Nach einmaliger Aktivierung des BW-Contents sowie einiger Standardjobs wählen
sie ein oder mehrere Systeme aus, für die Sie UPL aktivieren möchten.
Sollten Sie bereits das SP05 installiert haben, existiert im SOLMAN_SETUP eine eigene
"Guided Procedure" zur Konfiguration des UPL.
Ist das UPL einmal aktiviert, können Sie auf die Nutzungsdaten wie folgt zugreifen:
Solution Manager: BW Query 0SM_CCL_UPL_MONTH (weitere, vordefinierte Querys

vorhanden)
Managed System: Report /SDF/SHOW_UPL
Auf Basis der Datensammlung des UPL können Sie nun weitere Funktionalitäten des CCLM
nutzen, um beispielsweise Eigenentwicklungen, welche längere Zeit ungenutzt ist, zu
dekommissionieren.
Kennen Sie das UPL der SAP und nutzen Sie es bereits, um weitere Informationen über ihre
bestehende Systemlandschaft zu gewinnen?
Lassen Sie einfach einen kleinen Erfahrungsbericht in der Kommentarbox, ich würde mich sehr
freuen!
Ihr Ansprechpartner

Seite 252
Veraltete Space Statistics im Early

Watch Report
von Maximilian Gill - Beitrag vom 27. August 2018 - Artikel online öffnen
Wie kann ich veraltete Space Statistics im Early Watch Report (EWA) beheben? Auf das
Problem bin ich vor kurzem bei der Generierung eines "Early Watch Report" im Solution
Manager 7.2 gestoßen und beschreibe hier einen Lösungsweg.
Die Nutzung von Early-Watch-Reports ist eine der ersten und häufigsten von Kunden
genutzten Funktionalitäten im Solution Manager. Das liegt unter anderem daran, dass mit
verhältnismäßig geringem Konfigurationsaufwand eine Vielzahl von Diagnose Daten aus
den Satellitensystemen kompakt und übersichtlich zusammengestellt werden, um dann
regelmäßig per Mail-Automatismus an eine gewünschte Empfängerliste versendet zu
werden.
Veraltete "Space Statistics" im Kapitel Database Administration
Innerhalb eines bestimmten Early-Watch-Reports fiel auf, dass die Statistiken für bestimmte
Unterkapitel (z.B. Datenbankwachstum innerhalb der letzten 12 Monate) veraltet waren.
Es wurde ein Datenzeitraum von Juli 2018 bis August 2017 erwartet, jedoch war dies nicht
der Fall. Die aktuellsten Daten waren in diesem Fall aus dem Jahre 2016 und gingen zurück
bis 2015.
Ausschnitt Kapitel Database Administration
Ursache und Hintergrund
Alle für den Early-Watch-Report benötigten Daten werden auf dem entsprechenden
Ihr Ansprechpartner

Seite 253
Satellitensystem gesammelt, zusammengefasst und bereitgestellt, um periodisch an den

Solution Manager übermittelt zu werden.
Für die Sammlung von Datenbank-Statistiken werden Kollektoren benötigt, sogenannte
"Modules". Eine Übersicht der Modules mit aktuellen Protokollen findet sich in der DB02
unter Additional Functions -> Collector Logs -> Modules.
In diesem Fall wurden hier keine bzw. sehr alte Statistiken angezeigt, was darauf hinweist,
dass der Job für die Sammlung nicht oder mit einem falschen Report eingeplant wurde.
Der Job SAP_COLLECTOR_FOR_PERFMONITOR darf mit keinem anderen Report als
RSCOLL00 eingeplant worden sein.
Lösung
Folgende Schritte sollten nun durchgeführt werden, um die Module wieder zu reaktivieren
und aktuelle Space Statistics im EWA-Report zu erhalten.
• Prüfung der Module auf Aktivität
• Prüfung des Jobs SAP_COLLECTOR_FOR_PERFMONITOR
• Sicherstellung der Korrekten Einplanung des Jobs mit dem Report RSCOLL00
Sollte dieser Job längere Zeit nicht aktiv gewesen sein, kann es durchaus vorkommen, dass
er bei Wiedereinplanung einige Zeit benötigt. Bei uns belief sich die Dauer auf ca. 1h.
Anschließend kann zur Prüfung, ob die Maßnahmen erfolgreich waren, ein neuer Early
Watch Report angelegt und durchgeführt werden.
Vielleicht sind Sie in der Vergangenheit ja bereits auf ähnliche Fehler bei der Early-Watch-
Generierung gestoßen.
Sollte Ihnen dieser Artikel weiterhelfen, hinterlassen Sie gerne einen kurzen Kommentar.
Ihr Ansprechpartner

Seite 254
VPN für Fiori Apps – mit Tim Kostka

von Tobias Harmes - Beitrag vom 7. Dezember 2018 - Artikel online öffnen
In dieser Folge spreche ich mit Tim Kostka von Mission-Mobile. Es geht um die Frage, wie
VPN für Fiori Apps funktioniert und welche Vorteile mir die In-App VPN-Lösung bietet.
Welche Vorteile hat der Einsatz von VPN für Fiori Apps?
Der Vorteil von VPN für Fiori Apps kann man zum Beispiel beim Thema "Ablösung von
Papierprozesse im Bereich Instandhaltung (PM)" zeigen. Das kann man sich so vorstellen,
dass früher beispielsweise ein Monteur am Tagesanfang seine Aufträge in Papierform
bekommen hat und ist diese dann abgefahren. Die Kollegen bauen für solche
Einsatzgebiete Apps, die mehrere Vorteile haben:
Ich kann direkt Arbeit direkt zurückmelden

Fotos dokumentieren
Kundenunterschriften dokumentieren
Aber die Herausforderung ist, wie komme ich nun von meinem Mobilgerät auf mein SAP
System rein?
Normalerweise muss die SAP-Basis das SAP-Gateway hierfür aufmachen, damit über LTE
darauf zugegriffen werden kann. Nur ein Gateway öffentlich nach außen zugänglich machen
– das möchte kaum einer aus der SAP Basis machen. Dafür haben gibt es dann genau
die Lösung: Ein In-App VPN.
Wann sollte ich die App über eine VPN-Lösung anbinden?
Dies ist der Fall, wenn es eine App gibt, die außerhalb des WLAN des Unternehmens
betrieben werden soll und nicht vorgesehen ist, dass das Gateway von außen erreichbar ist.
In dem Fall sollte über die VPN Lösung nachgedacht werden. Es handelt sich also um eine
App, die zwar mobil eingesetzt werden soll, aber nicht öffentlich ist. Ich kann die App auf
bestimmte Geräte einschränken. Dies sind die Funktionen, die mit einer Enterprise Mobility
Lösung umsetzbar sind. Jetzt kann man sich die Frage stellen: "Ich kann doch auch auf
meinem Smartphone VPN öffnen?" – das ist möglich, nur dann ist eine Drittanwender
Ihr Ansprechpartner

Seite 255
Software nötig. Dies hat den Nachteil, dass immer mehrere Schritte durchgeführt werden
müssen. Der User muss die App öffnen, die VPN Verbindung herstellen und Anmeldedaten
(Login Credentials)hinterlegen.
Mit dem In-App Lösung wird das alles komplett umgangen. Der Anwender merkt nur, mit
einem kleinen Zeichen, dass eine VPN-Verbindung nun aktiv ist. Die Sicherheit übernimmt
ein Zertifikatsdienst im Hintergrund. Vorteile sind hier die Zeitersparnis und Usability – der
User muss nur die App starten.
Das Unternehmen bekommt mit dem In-App-VPN zusätzlich die Freiheit, den Internetzugang
des Smartphones nicht direkt im Unternehmensnetzwerk terminieren zu müssen.
Die Voraussetzung: Enterprise Mobility Management
Um In-App-VPN von außen zu realisieren benötigt man ein Enterprise Mobility Management.
Damit werden alle Anforderungen gelöst.
Das Enterprise Mobility Management umfasst die Bestandteile
Mobile Device Management
Ihr Ansprechpartner

Seite 256
sichere Verwaltung der mobilen Endgeräte auf Basis von Unternehmensrichtlinien
Gerätesicherheit -> Sicherheitsrichtlinen festlegen

Gruppierung
Locationtracker für das Device
Device Health Monotoring
Device Provisioning à Gerät mit Zertifikat (Digitaler Ausweis) versehen
Mobile Application Management
Unternehmenspezifische Verwaltung aller erlaubten Apps

Unternehmenseigener App-Store. Passende interne Apps werden automatisch
verteilt (z.B. an Vertriebsmitarbeiter oder Außendienstler)
Um die unternehmenseigenen Apps wird ein Container (Sandbox) gebaut
(Datenaustausch mit nicht autorisierten Apps wird verhindert -> Daten bleiben
innerhalb des Containers)
Mobile Content Management
Zugriffsverwaltung von mobilen Endgeräten und Apps auf

Unternehmensressourcen wie Clouddienste, Mailserver, Fileserver und Sharepoint
Vorteil: Zugriffsdaten müssen nicht mehr eingegeben werden
Bring your own Device (BYOD)
Mitarbeiter können Unternehmensapps von Privatgeräten aus öffnen und damit

arbeiten
Kleiner Container wird erstellt
Wie funktioniert Securing Data in Mobilen Endgeräten?
Das Problem ist, dass wenn ein VPN Zugang auf einem mobilen Device eingerichtet wird,
alle Apps diesen VPN-Zugang nutzen (schädliche Apps eingeschlossen).
Lösung: Nur vom Administrator autorisierte Apps können den VPN-Zugang nutzen. Dies
kann zum Beispiel auch die Fiori App für den Monteur sein. Dieser Ablauf geschieht
Ihr Ansprechpartner

Seite 257
komplett im Hintergrund und bietet so einen großen Usability Vorteil.
Um In-App VPN nutzen zu können ist eine Enterprise Mobility App notwendig (z.B.
MobileIron oder Airwatch, etc.). Die Fiori App wird von einer Web-App zu einer hybriden App
umgebaut. Hierbei wird ein Container drumherum gebaut, das ist eine SDK Schnittstelle,
damit das Mobile Iron auf dem Smartphone auch darauf zugreifen kann. Das sorgt dann
dafür, dass mit dem Zertifikat, welches auf dem Handy hinterlegt ist, ein VPN-Tunnel
aufgebaut werden kann. Um eine fertige App legt der Entwickler oder der Enterprise
Mobility Manager den Container drumherum, das ist dann die Schnittstelle. Die App wird
anschließend in den Enterprise App Store hochgeladen. Der Anwender kann die App nun
runterladen oder sie wird durch Rollen zugeordnet.
Die App "spricht" mit einem Mobile Iron Server – dort wird das VPN terminiert und der
Datenverkehr ausgepackt und zum richtigen Ort geschickt. Bei MobileIron nennt sich das
Ganze beispielsweise "Sentry". Das ist der Server, der für alles zuständig ist, Zertifikate
überprüft und den Traffic wieder entschlüsselt. So dass der Nutzer wieder darauf zugreifen
kann. Dies ist eine normale TLS Verbindung.
Wie lange dauert die komplette Umsetzung?
Wenn noch kein MobileIron oder eine andere Software Suite installiert ist, kann der ganze
Prozess noch ein wenig länger dauern. Es muss erst eine Software Suite eingeführt werden
und Server aufgesetzt werden. Am Besten eignet sich dafür vorher eine Evaluation
durchzuführen, um herauszufinden welche Software am besten geeignet ist. MobileIron gibt
es zum Beispiel in der On-Premise oder in der Cloud Version. Bei der Cloud Version besteht
der Vorteil, dass keine Verwaltung nötig ist. Für die Sicherheitsupdates sorgt hier
MobileIron. Die Cloud Version kann kostengünstig getestet werden und mitwachsen, wenn
das Unternehmen auch wächst.
Kapitelmarken
00:20 Warum sollte ich VPN für Fiori Apps zu benutzen?
4:28 Wie funktioniert VPN Freigabe
6:22 Was ist Enterprise Mobility Management?
10:35 Securing Date in Mobile Devices
12:25 Die In-App VPN-Lösung
19:53 Der eine Tipp
Ihr Ansprechpartner

Seite 258
Links & Downloads

Was ist MobileIron:
https://mission-mobile.de/mobility-strategie/enterprise-mobility-management/was-ist-
mobileiron/
Enterprise Mobility Management:
https://mission-mobile.de/enterprise-mobility-management/

unter dem Beitrag.
Ihr Ansprechpartner

Seite 259
Warum die meisten

Berechtigungskonzepte scheitern |
Tobias Harmes
Spielstraße heißt ja laut StVO Schritttempo. Eigentlich könnte ich ja meine Kinder deshalb
einfach auf der Straße spielen lassen. Leider klappt das nicht wirklich, wenn nicht ab und zu
mal auch die Regeln (z.B. durch einen Blitzer) kontrolliert werden. In vielen Unternehmen
gibt es jedoch kein Interesse an der Durchsetzung von Regeln. Es gibt anscheinend
grenzenloses Vertrauen, dass alle die Geschwindigkeit einhalten - warum eigentlich?
Oder auf youtube:
Kennen Sie jemanden, der beim Wort Regelwerk leuchtende Augen bekommt? Nein, ich
meine jetzt nicht die alte Rollenspiel-Gruppe, die sich jeden Samstagabend zum "Das
schwarze Auge"-Spielen getroffen hat. Dann fällt Ihnen niemand ein? Tja, mir auch nicht.
Regelwerke haben einen schlechten Ruf. Regeln verlangsamen, lähmen und überfordern.
Mit dem Effekt, dass quasi als Selbstverteidigung eine Gemeinde schon mal sämtliche
Straßenschilder bis auf eins abbaut. Das letzte Schild steht am Ortseingang und lautet:
"Vorfahrt geändert." Ab da gilt Paragraf 1 Absatz 1 der Straßenverkehrsordnung: "Die
Teilnahme am Straßenverkehr erfordert ständige Vorsicht und gegenseitige Rücksicht."
Im Prinzip ist so eine Kultur des Vertrauens etwas, was ich jedem Unternehmen wünsche.
Ständige Vorsicht und gegenseitige Rücksicht lässt zwar Ermessungsspielraum, aber
insgesamt versuchen alle dafür zu sorgen, dass niemand unter die Räder kommt.
Ich begegne vielen Unternehmen, die liebend gerne auf ihre Regelwerke verzichten würden
zugunsten einer Kultur des Vertrauens. Nur frage ich mich, ob das in Wirklichkeit nicht
Ihr Ansprechpartner

Seite 260
Bequemlichkeit gepaart mit Naivität ist. Oder netter formuliert: ein großes Missverständnis.
Denn wenn jemand in dem besagten Dorf ohne Nummernschild auf der Straße fahren
würde, dann würde ihn die Polizei trotzdem rauswinken. Fehlende Schilder hin oder her.
Gegenseitige Rücksichtnahme und eine Kultur des Vertrauens erreicht man nur, wenn es
keine Anonymität im System gibt und keine Hintertüren. Und auch alle hinsehen. Und eben
das erreicht man nur mit der richtigen Konfiguration. Wo steht die beschrieben? Richtig – im
Regelwerk, auch Berechtigungskonzept genannt.
Vielleicht ist es auch an der Zeit zu akzeptieren, dass klassische Regelwerke allein zum
Scheitern verurteilt sind. Ich habe schon mehrere dutzend Berechtigungskonzepte gesehen,
die so niemals im System angekommen sind (oder höchstens gehalten haben bis der Polizist
der Prüfer weg war). Weil es auch stimmt, dass wenn ich heute bei SAP Sicherheit alles
richtig machen will, ich bei manuellem Vorgehen genauso wie ein Verkehrsteilnehmer im
Schilderwald überfordert bin. Ich müsste ja nicht nur Informatik, sondern auch Wirtschafts-
Wissenschaften, Jura und am besten auch noch Kriminalistik studiert haben. Wahlweise
noch FI-Prozesswissen mit krimineller Kreativität erforschen. Für die gute Seite versteht sich.
Das schafft aber niemand neben Tickets abarbeiten und interne Projekte zum Erfolg
bringen.
So wie Autos aktuell beigebracht wird, Verkehrsregeln zu befolgen und bei Bedarf
Gegenmaßnahmen einzuleiten, gibt es ebenfalls sehr gute Ansätze Software beizubringen,
aktuelle Sicherheitsregeln im SAP System zu prüfen und zu alarmieren. Der Roboter prüft
automatisch und verschafft mir eine Übersicht, wie die Lage aussieht. Das ist kein
Misstrauen, das ist proaktiv und sorgt dafür, dass niemand überfahren wird. Das ist dann
ein internes Kontrollsystem für SAP IT Sicherheit. Ein Regelwerk mit eingebauter
Selbstprüfung. Das wäre doch mal was.
Wie denken Sie darüber?
Tobias Harmes
PS: Wenn Sie Fragen haben, können mich für eine Expert Session buchen:
Ihr Ansprechpartner

Seite 261
Welcher User hat diese

Transaktion genutzt? – SAP
Transaktionsnutzung ermitteln
Gelegentlich möchte ich in Projekten herausfinden, ob und von welchem Benutzer eine
Transaktion im SAP zuletzt genutzt worden ist. Ein recht einfacher Weg zu dieser
Transaktionsnutzung ist der SAP Workload Monitor (Systemlastmonitor). Die passende
Transaktion dazu heißt ST03N oder in aktuellen Systemen einfach ST03.
ST03N aufrufen
Zeitraum auswählen
Ihr Ansprechpartner

Seite 262
(1) Ggf. prüfen ob Sicht "Experte" eingestellt ist

(2) Monat per Doppelklick auswählen
(3) Prüfen ob der Monat korrekt ausgewählt wurde und ob die Daten vollständig sind.
Analysesicht auswählen
Ihr Ansprechpartner

Seite 263
(1) Transaktionsprofil -> Standard per Doppelklick auswählen

(2) Tasktyp Drop-Down öffnen
(3) "DIALOG" auswählen. Das schränkt die Liste auf Transaktionen und Programme ein, die
über SAPGui aufgerufen worden sind. Wenn auch nicht-DIALOG-Aufrufe relevant sind, muss
hier nichts eingestellt werden.
Ihr Ansprechpartner

Seite 264
Filtern auf die gesuchte Transaktion
Ihr Ansprechpartner

Seite 265
Nun kann ich auf die gewünschte Transaktion filtern und per Doppelklick die Benutzerliste
Ihr Ansprechpartner

Seite 266
öffnen. Manchmal kann es auch Sinn machen, von Tasktyp DIALOG wieder auf alle zu stellen
- die Transaktion könnte ja z.B. auch in der Hintergrund-Verarbeitung (Tasktyp
BACKGROUND) verwendet worden sein.
Benutzerliste prüfen
Es werden alle Benutzer aufgelistet, die im selektierten Zeitraum die VA01 aufgerufen
haben.
Kritik
Vorteil dieser Vorgehensweise: sie funktioniert sehr schnell. Nachteil: ich muss ggf. mehrere
Monate durchsuchen, bis ich einen Treffer gefunden habe. Ein weiterer Erfahrungswert: je
nachdem wie der Entwickler sein Programm geschrieben hat, erfolgt beim Aufruf von
Ihr Ansprechpartner

Seite 267
Transaktionen aus anderen Transaktionen keine Protokollierung in der ST03N. Kein Treffer
in der ST03N lässt daher leider keine Aussage zu, ob die Transaktion überhaupt verwendet
wird. Hier ist es besser für die Transaktionsnutzung auf den Abap Call Monitor (SCMON) zu
setzen. Etwas bequemer geht es, wenn die Daten in eine Excel-Datei exportiert werden. Die
passende Anleitung dafür finden Sie hier. Wenn zu wenig Historie angezeigt wird, dann hilft
eine Verlängerung der Aufbewahrungszeit. Wie das funktioniert, können Sie hier nachlesen.
War diese Information hilfreich für Sie? Ich freue mich über ein Feedback in den
Kommentaren!
Ihr Ansprechpartner

Seite 268
WhatsApp vom SAP Support

Die Ankündigung eines Next-Generation-Supports in den SAP News (passend zum intelligent
Enterprise) würde bei mir normalerweise vom Buzzword-Filter aussortiert werden.
Allerdings stand da auch etwas davon, dass der SAP Support mich auch über WhatsApp auf
dem Laufenden halten kann. Grund genug für mich mal aktuelle SAP-Support-Möglichkeiten
wie Live-Chat und WhatsApp auszuprobieren.
Die SAP nennt ihren Support-Ansatz den "Next-Generation-Support" und zeigt vier mögliche
Wege auf, um schnelleren technischen Support zu erhalten.
1. Expert-Chat
Der Expert Chat, ist eine Live-Chat-Funktion, bei dem der Benutzer bei technischen Fragen,
Support im Chat von einem SAP-Experten in Echtzeit erhält. Vom SAP ONE Launchpad aus
kann der Benutzer auf den Experten-Chat zugreifen. Hierbei gibt es noch bestimmte
Einschränkungen, die FAQs (Frequently Asked Questions), welche der Benutzer auswählen
kann. Nachdem der Benutzer nun sein System auswählt und somit kategorisiert, kann er
nun mit dem technischen Support im Live-Chat kommunizieren. Der Vorteil ist hierbei, dass
der Benutzer seinen Bildschirm freigeben und mit dem SAP-Support-Techniker sharen kann,
um somit die Problemlösung zu erleichtern. Die Expert Session wird dokumentiert und zur
Nachverfolgung aufbewahrt, falls das Problem nicht sofort behoben werden kann. Der
Expert-Chat eignet sich vor allem für Probleme mit einer mittleren oder hohen Priorität.
2. Schedule an Expert
Falls die Frage oder der technische Support nicht dringend benötigt wird oder nur eine
niedrige bzw. mittlere Priorität hat, kann auch die dritte Support-Möglichkeit für den
Customer in Frage kommen. Beim Schedule an Expert-Service kann sich der Benutzer für
einen 30-minütigen Skype-Videocall mit einem SAP-Produkt-Support-Experten verbinden
lassen. Dazu muss ein Termin vereinbart werden. Vom SAP One Support-Launchpad aus,
lässt sich ein solcher Service-Anruf planen. Falls das Problem nicht behoben werden kann,
wird wie auch bei der Expert-Session ein schriftlicher Bericht zum Problem für die
Nachbearbeitung erstellt. Mit dieser Möglichkeit kann sich der Benutzer bei Fragen zudem
Ihr Ansprechpartner

Seite 269
auch weiteres Know-How aneignen.
3. Customer Interaction Center
Bei Problemen oder Fragen, die nicht mit einem Produkt zusammenhängen hilft der
Customer-Interactive-Center-Service weiter. Dieser Service ist eine zentrale Anlaufstelle für
nichttechnische Fragen zu Themen, wie SAP ONE Support Launchpad und SAP Support
Portal, Navigationen und Anwendungen, User Management oder Incident
Management. Dieser Service ist per Telefon, E-Mail, Chat und Social-Media kontaktierbar.
4. Self-Service-Tools
Die Self-Service-Angebote des SAP Supports können jederzeit und ohne Unterstützung von
anderen aufgerufen werden. Sie beinhalten mehrere mögliche Self-Service-Tools:
Mit dem Service der SAP Knowledge Base kann auf Artikel zu gegriffen werden, die
technische Fragen zum Support für SAP-Software betreffen. Hierbei ist es möglich eine
Vielzahl von Repositories zu durchsuchen, darunter das SAP-Hinweis-Tool, Artikel der SAP
Knowledge Base, Inhalte aus der SAP Community und mehr. Diese Artikel sind unter dem
SAP ONE Support Launchpad, im SAP Support Portal und über Suchmaschinen wie Google
und Bing verfügbar. SAP-Notes sind hierbei eher die technischen Programmkorrekturen, die
sich typischerweise in S-Note herunterladen lassen. Während die SAP Knowledge Base-
Artikel erklärende und bebilderte Hinweisartikel sind.
Das automatische Übersetzungswerkzeug , das auf Machine-Learning und künstlicher

Intelligenz basiert, bietet zusätzliche Hilfe, ohne die Anwendung verlassen zu müssen, und
ermöglicht die automatische Übersetzung von SAP Notes und SAP Knowledge Base-Artikeln
in eine andere Sprache.
Das Guided Answers- Tool ist eine Anwendung, mit deren Hilfe der Benutzer anhand einer
schrittweisen Anleitung Fehler beheben und technische Probleme finden kann. Hier sind vor
allem Themen dabei, die häufig auftretende Fehler behandeln. Die Experten von SAP
dokumentieren hierbei exakte Schritte zur Problemanalyse und machen den Prozess somit
für alle verfügbar.
Mit dem Incident Solution Matching-Service ist es möglich relevante Antworten schneller zu
finden. Mit künstlicher Intelligenz und maschinellem Lernen zeigt der Service automatisch
potenzielle Lösungen aus SAP-Notes- und SAP-Knowledge-Base-Artikeln nach Relevanz
Ihr Ansprechpartner

Seite 270
geordnet an. Die Funktion ist in das SAP ONE Support Launchpad integriert.
WhatsApp Messenger ermöglicht das Abonnieren von Channels des Produktsupportteams.

Mit dem Abonnieren des Channels via QR-Code erhält der Benutzer spezifische Updates für
ein von ihm gewähltes Thema, sowie Artikel und Tipps, welche zu dem Thema passen.
Themen sind beispielsweise SAP Solution Manager, SAP GRC oder SAP HANA. Die
Themenauswahl lässt sich jederzeit über einen Link ändern.
Zudem gibt es auch die Möglichkeit, sich bei HotNews einzuschreiben und bei kritischen
Updates oder Sicherheitsproblemen eine E-Mail zu erhalten und somit schnell reagieren zu
können.
Links & Downloads

SAP News: Vier Wege für besseren SAP Support: https://news.sap.com/2018/12/next-
generation-support-four-ways-faster-answers/
Infografik "Next Generation Support

Tool": https://d.dam.sap.com/a/4szDSDc/58700_IG_58700_enUS.pdf
Kapitelmarken
00:20 Vier Wege für besseren SAP Support
1:37 Expert Chat
7:50 Schedule an Expert
10:25 Customer Interaction Center (CIC)
11:41 Self-Service-Options
14:27 WhatsApp Subscribtion
18:14 Weitere Support Möglichkeiten

Ihr Ansprechpartner

Seite 271
unter dem Beitrag.

Ihr Ansprechpartner

Seite 272
Z_SAP_ALL: Erstellung eines

reduzierten SAP_ALL
Mit der Nutzung des Profils SAP_ALL sind nennenswerte Risiken verbunden. Um diese
Risiken zumindest für besonders kritische Berechtigungen wie zum Beispiel Debugging mit
Änderungsberechtigungen zu reduzieren, kann mit wenig Aufwand eine zurückgebaute
SAP_ALL Rolle erstellt werden. Diese ist auch für Nicht-Dialog-Benutzer geeignet.
Wichtig: Die durch diese Anleitung entstehende Rolle ist immer noch mit kompletten Admin-
Berechtigungen ausgestattet. Es ist also weiterhin eine Rolle, die im Dialog nur einem
protokollierten Notfallbenutzer zugeordnet sein sollte. Die Erstellung und Vergabe von
einem zurückgebauten SAP_ALL (auch bekannt als Z_SAP_ALL oder ZSAP_ALL) sollte nur von
Fachpersonal durchgeführt werden. Der wesentliche Unterschied zum reinen SAP_ALL: der
Benutzer kann typische HGB-kritische Funktionen, wie das Löschen von Änderungsbelegen,
nicht durchführen ohne dabei Spuren zu erzeugen. Und Nachvollziehbarkeit ist einer der
wichtigsten Ansprüche der Buchführung.
1 Rolle anlegen/aktualisieren
Voraussetzung ist, dass ein aktuelles SAP_ALL-Profil im SAP-Standard erstellt wurde. Das
Profil ist im Entwicklungssystem in jedem Arbeitsmandanten mit SU21 zu generieren.
Anlegen einer Rolle namens Z_SAP_ALL oder Pflege der bestehenden Rolle: Die Rolle sollte
im Beschreibungsfeld zum Beispiel eine Kurzbeschreibung der durchgeführten Detail-
Änderungen beinhalten, damit auch Adhoc eine Anleitung zur Neuerstellung im System
verfügbar ist.
Die Rolle wird im Berechtigungseditor aufgerufen:
Ihr Ansprechpartner

Seite 273
Sollte die Rolle schon existieren, im Expertenmodus "Profil löschen und neu anlegen"
auswählen.
Ihr Ansprechpartner

Seite 274
Es wird absichtlich keine Vorlage gewählt.
Bearbeiten -> Aus Profil...
Ihr Ansprechpartner

Seite 275
Profil SAP_ALL selektieren.
Alle Berechtigungen einfügen.
Danach Org-Ebenen pflegen (Gesamtberechtigungen, "*").
An dieser Stelle sollte die oberste Ampel "grün" zeigen.
2 Rückbau der Berechtigungen / Detail-

Anpassungen im Editor:
Ihr Ansprechpartner

Seite 276
In den Berechtigungen der Rolle Z_SAP_ALL sind nun folgende Anpassungen durchzuführen.
Die Objekte können über Strg-F einfach gesucht werden.
1. Debug nur mit Anzeige - B-Objekt: S_DEVELOP - Aktivität von "*" auf 03 (anzeigen)
2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 - Aktivität von "*" (all) auf 08
(anzeigen)
3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG - Aktivität von
"*" (all) auf "03" (anzeigen)
4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT - Aktivität von "*"
(all) auf "REA" (anzeigen)
5. Systemberechtigungen – B-Objekt S_ADMI_FCD - Alle Aktivitäten außer RSET
OPTIONAL: Direktes Zuordnen von SAP_ALL unterbinden: Benutzerstammpflege:

Berechtigungsprofil – B-Objekt : S_USER_PRO - Zulässige Berechtigungsprofile (PROFILE) = /*
bis SAP_ALK und SAP_ALM bis Z*
3 Nacharbeiten
Danach wie gewohnt generieren und transportieren. Das Vorgehen muss jedes Mal
wiederholt werden, wenn SAP_ALL neu generiert wird (z.B. weil neue Berechtigungsobjekte
importiert wurden).
4 LINKS & DOWNLOADS

Siehe auch - Bereinigung RFC User - SAP_ALL
entfernen: https://rz10.de/angebot/berechtigungsoptimierung-der-rfc-
schnittstellenbenutzer/
War dieser Artikel hilfreich für Sie? Ich freue mich über ein kurzes Feedback, zum
Beispiel unter diesem Beitrag.
Ihr Ansprechpartner

Seite 277
Schnelle Hilfe benötigt?
Nutzen Sie unsere SAP Basis & Security Expert Session!
SAP Basis & Security Experte Tobias Harmes:
"Eine Expert Session ist eine interaktive Websession, in der Sie Ihre Fragen live und direkt
stellen können. Durch dieses Format kann ich Fragen beantworten oder sogar Probleme
lösen, die wir sonst nur im Rahmen von größeren Beratungsaufträgen und mit mehr
Vorlaufzeit realisieren können."
Unverbindliches Angebot anfordern unter:

Noch Fragen? Ihre Ansprechpartnerin:
Sarah Fritzenkötter
Inbound Sales Manager
Mail: fritzenkoetter@rz10.de
Telefon: 0211 9462 8572 25
Powered by TCPDF (www.tcpdf.org)

SAP Basis & Security 2018 2019-Rz10-Ebook-2018-2019 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

SAP Basis & Security 2018 2019-Rz10-Ebook-2018-2019 PDF

Загружено:

Авторское право:

Доступные форматы

SAP Basis & Security 2018/2019

ausgewählte Artikel von RZ10.de in der Version vom 18.01.2019

Schnelle Hilfe benötigt?

SAP Basis & Security Experte Tobias Harmes:

Unverbindliches Angebot anfordern unter:

Noch Fragen? Ihre Ansprechpartnerin:

Archiver Stuck: Wenn das SAP System steht 8

Bei uns sorgt die Marketing-Abteilung für Innovation | Tobias Harmes 11

Berechtigungsprüfungen in Z-Reports - Quellcodeanalyse im 13

Best Practice - Funktionsrollen mit dem RoleDesigner konzipieren 18

Best Practices - SAP Rollentypen im Überblick 22

Betatest: secinfo und reginfo Generator für SAP RFC Gateway 27

Datenschutz Auskunft mit SAP Read Access Logging (RAL) 38

Die 5 häufigsten Fehler bei Adobe Document Services (ADS) Installationen 52

- mit Jeremia Girke

DSAG Jahreskongress 2018 - meine SAP Basis & Security Nachlese 59

Externe Transportaufträge importieren - geht das auch einfacher? 64

Externe Transportaufträge in ein SAP-System importieren 68

HANA DB mit Eclipse erste Schritte 71

Internes Kontrollsystem für SAP IT Security - mit Hendrik Heyn 82

Konfiguration des Security Audit Log 85

Konsistenzprüfung von Objekten über mehrere Systeme 87

Kontrolle über die Import-Reihenfolge von Transporten 90

Login-Historie von Usern mittels SAL ermitteln 92

Löschen oder Bearbeiten in der SU01 führt zum Dump MESSAGE_TYPE_X 95

Sarah Fritzenkötter Tel.: 0211 9462 8572-25

Managed Services Q&A: Bedeutung und Nutzen für Unternehmen - mit 97

Managen der Lastverteilung in BW-Systemen bei Wartungsmaßnahmen 99

Minimal berechtigte SAP Rollen erstellen 102

Notfallbenutzerkonzept in SAP - Funktionsweise und Vorgehen 105

PFCG Massenkopieren Rollen – Tipps zum optimalen Vorgehen 109

Potentielle Sicherheitsrisiken bei Antragsprozessen in IDM-Systemen 115

Precalculation Server selber installieren 119

Prüfregelwerke für SAP - mit Sebastian Schreiber 124

Regeln des erfolgreichen Testmanagements 126

Revisionssicheres Berechtigungskonzept toolgestützt generieren und 128

RFC-Callback Positivliste generieren 130

RSMEMORY: Dynamisches setzen von Speicherparametern 133

SAP absichern - Jenseits von Berechtigungen 137

SAP Business Warehouse: Quellsystem zurückbauen mit 139

SAP Gateway Installation - Deployment Optionen 143

SAP HANA DB to go - HANA 2.0 Express Edition als VM installieren 149

SAP Identity Management FAQ 165

SAP PFCG Standard-Rollen für Fiori Apps ermitteln 169

Sarah Fritzenkötter Tel.: 0211 9462 8572-25

SAP Salesforce Integration - im Gespräch mit Robert Richter 184

SAP Security im Wandel – SAP HANA Berechtigungen 188

SAP TechEd 2018 Video Empfehlungen 195

SAP Web Dispatcher Security - Einschränkung des Admin-Zugriffs 198

SAP Web Dispatcher: Lastverteilung für Webanwendungen 200

SAP-Berechtigungskonzept vs. Datenschutz-Folgenabschätzung 204

Schnell und Einfach: SAP Passwortänderung und Benutzer entsperren 207

SoD-Troubleshooting - Funktionstrennungskonflikte in SAP 210

Tagesworkshop 08.03.2018 – EU-Datenschutzgrundverordnung und 214

Toolgestützt Funktionsrollen entwickeln 219

Transaktionen richtig aus einer Rolle entfernen 230

Tür zu - es zieht! - SAP Web Dispatcher URL Filter konfigurieren 234

Umbenennen von Masterrollen und deren Ableitungen in SAP 240

Umgang mit inaktiven Benutzern 244

Umsetzung des ACID-Prinzips mit der HANA DB 247

Usage Procedure Logging im SAP Solution Manager 251

Sarah Fritzenkötter Tel.: 0211 9462 8572-25

Veraltete Space Statistics im Early Watch Report 253