In den vorherigen beiden Blogbeiträgen haben wir Ihnen das Mengengerüst in SAP dargestellt. Dies sollte Ihnen zeigen, dass es in SAP viele Wege gibt, ein Programm zu öffnen. Doch welche Berechtigungen benötigt ein User jetzt genau, um eine Transaktion ausführen zu können?
Pflichtobjekte der TSTCA
Die Tabelle TSTCA beinhaltet Objekte und Feldwerte, die bei Transaktionsstart zwangsweise abgefragt werden. Indirekt aufgerufene Transaktionen sind von dieser Berechtigungsprüfung ausgenommen.
Die heutige SAP-Logik bestimmt, dass ein User nur dann einen Zugang zu dem Dynpro (der ersten Bildschirmmaske der Transaktion) erhält, wenn er für den entsprechenden Transaktionscode (Objekt S_TCODE über das Feld TCD) die entsprechende Berechtigung erhält. Über die TSTCA können zusätzlich Pflichtfelder definiert werden, die bei Transaktionsstart in dem Berechtigungsstrang des Users vorhanden sein müssen.
Man könnte auf die Idee kommen, weniger komplexe Berechtigungen mit diesem einzigen Eintrag zu schützen. Dies entspricht jedoch nicht unserer heutigen Denkwelt.
Fakt ist jedoch, dass diese Pflichtobjekte zu den anderen Einträgen „passen“ sollten. Wir haben uns daher einmal diese Objekte minutiös angeschaut und sind zu folgendem Ergebnis gelangt, nachdem wir die unternehmensspezifischen Transaktionscodes (Y/Z-Transaktionen) herausgefiltert haben:
Analyseergebnisse der Tabelle TSTCA
Nr. | Beschreibung | Anzahl | Bewertung |
1 | Zusätzliche Absicherung durch S_TCODE = Transaktion. | 1'023 | Nicht notwendig. |
2 | Nullwerte in den Feldausprägungen (komplett). | 6'902 | Schwierig zu bewerten, da es eigentlich bedeutet, dass keine Ausprägungen innerhalb der Berechtigungen vergeben werden dürfen. |
3 | Nullwerte in den Feldausprägungen (nur S_TCODE). | 18 | Schwierig zu bewerten, da es eigentlich bedeutet, dass keine Transaktionen innerhalb der Berechtigungen vergeben werden dürfen. |
4 | Exakte Übernahme in USOBT. | 11'834 | |
5 | Nullwerte in TSTCA, aber ausgeprägt in USOBT. | 4'123 | Wie unter Nr. 2 beschrieben, sind eigentlich keine Ausprägungen vorgesehen. Innerhalb der USOBT wurden die Felder dennoch ausgeprägt. |
6 | Feldausprägung ungleich USOBT. | 951 | Beschreiben Fehler in der USOBT, da sie andere Werte als in der TSTCA verlangt, beinhalten. |
Die Ergebnisse habe ich in einer Excel-Datei zusammengefasst. Um innerhalb von Excel auch Formeln anzuwenden, wenn in einer Zelle ein „*“ (Wildcard) steht, habe ich den Stern in eine Raute umgewandelt.
Wenn Sie die Berechnungen und Analysen nachvollziehen möchten, lasse ich Ihnen gerne meine Excel-Datei inkl. aller Formeln zukommen. Aufgrund der Vielzahl an verwendeten Formeln, ist die Excel-Datei allerdings zu groß, um sie Ihnen hier direkt online zur Verfügung zu stellen. Schreiben Sie mir daher gerne eine E-Mail an info@addresults.de mit dem Stichwort „SAP und Transaktionen Teil 4“. Sie erhalten dann einen passwortgeschützten Downloadlink für die Excel-Datei.
Die weiteren Objekte und die Unschärfen der „Blaupause“ USOBT
Neben der Tabelle TSTCA, welche Pflichtfelder für den Aufruf einer Transaktion beinhaltet, gibt es zusätzlich in SAP die Tabelle USOBT. Diese dient als sogenannte Blaupause bei der Erstellung von Rollen und sollte einerseits die Pflichtfelder aus der Tabelle TSTCA beinhalten und andererseits zusätzliche optionale Objekte, die die Transaktion noch weiter schützen sollen. Bspw. kann durch das zusätzliche Objekt FBKPFBED die Buchung eines Beleges (FB01) auf eine bestimmte Debitorengruppe eingeschränkt werden. Die Nutzung hängt in diesem Fall davon ab, ob Sie Berechtigungsgruppen auf der Seite der Debitoren nutzen und diese im Customizing-Prozess definiert haben.
Die optionalen Objekte können auch individuell aus- bzw. eingeschaltet werden. Dies kann über die Transaktion SU24 bearbeitet werden, die Ergebnisse können über die Tabelle USOBTC eingesehen werden.
Häufig verlassen sich die Berechtigungsadministratoren auf die „Blaupausen“ der USOBT. Unsere Analysen haben ergeben, dass es einige Unschärfen gibt, die zu Sicherheitslücken führen können.
Die Unschärfen liegen einmal zwischen den Tabellen USOBT und TSTCA. Wenn Pflichtobjekte – wie oben bereits beschreiben – gefordert sind, diese aber schlichtweg fehlen, ist die Blaupause bereits falsch.
Auch im Zusammenspiel zwischen der Tabelle USOBT und der Tabelle TACTZ ergeben sich Deltas.
Die Tabelle TACTZ definiert die möglichen Aktivitäten (Feld ACTVT) pro Berechtigungsobjekt. Innerhalb der Tabelle USOBT gibt es einige Objekte, die Aktivitäten vorschreiben, die gar nicht in der Tabelle TACTZ definiert wurden und somit gar nicht eingesetzt werden können:
Nr. | Beschreibung | Anzahl | Bewertung |
1 | Ausprägung der S_TCODES mit ' ' oder ' | 26 | Diese Ausprägung bedeutet, dass keine Berechtigung vorhanden ist. Das ist allerdings bei dem Objekt S_TCODE schwierig, da ohne Berechtigung kein Zugriff auf die Transaktion möglich ist. |
2 | Feldausprägung = * | 4'383 | Eine Ausprägung mit * verführt dazu, Aktivitäten zu vergeben, die im operativen Betrieb als sicherheitskritisch einzustufen sind, weil schlichtweg die Definition der Blaupause zu unscharf ist. |
3 | ACTVT ist nicht innerhalb der Tabelle TACTZ definiert. | 2'278 | Das bedeutet, dass die Aktivität nicht für das Objekt zur Verfügung steht und somit die Vorschlagswerte unbrauchbar sind. |
4 | Exakte Übernahme aus TSTCA. | 11'834 | Analog Tabelle 1 Nr. 4. |
Fazit
Dieser Blogbeitrag soll Ihnen aufzeigen, dass selbst Hilfsmittel, die von der SAP angeboten werden, nicht immer 1:1 das System abbilden. Es ist also wichtig, durch die Berechtigungsadministration kritisch zu hinterfragen, was auf dem System eigentlich geprüft wird und welche Berechtigungen im Gegenzug vergeben werden müssen. Aus diesem Grund können Sie in dem nächsten Beitrag lesen, wie Sie die tatsächlich erforderlichen Berechtigungen in einem Testsystem „tracen“ und auswerten können.
Vorangegangene Beiträge dieser Reihe
Teil 1 – Die Prüfungswelt der SAP-Berechtigungen (hier geht es zum Beitrag)
Teil 2 – Mengengerüst aus Modulsicht (hier geht es zum Beitrag)
Teil 3 – Mengengerüst aus fachlicher Sicht (hier geht es zum Beitrag)
Dieser Blogartikel wurde von Mitarbeitern der addKnowledge GmbH erstellt und dient Ihrer allgemeinen Information. Alle Rechte und Pflichten diesbezüglich obliegen der addKnowledge GmbH.
SAP, SAP Logo, R/3, ABAP sind Marken oder eingetragene Marken der SAP® SE und unterliegen daher dem Copyright.
Sie haben immer noch nicht genug
von Prüfungen des SAP-Berechtigungskonzepts?
Mit unserem Newsletter erhalten Sie alle zwei Wochen
- aktuelle Artikel und Whitepaper,
- unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
- und die aktuellen Termine unserer Audinare.
Was erhalten wir dafür?
- Die Chance Sie von uns und unserem Know-how zu überzeugen.