Navigation:  Datenzugriff auf SAP >

SAP-Berechtigungswesen
Print this Topic Previous pageReturn to chapter overviewNext page

+++   So können Sie Datras EPTL mit Datras Dynamic ABAP auf Ihrem SAP-System kostenlos testen (Anleitung, Download)   +++   Datras hat die Preise gesenkt   +++

 

s.a. "Wichtige Änderungen ab EPTL 4.0"

 

Alle drei Zugriffsmethoden (SAP-RFC_READ_TABLE, Datras-RFC-Extension, Datras-Dynamic-ABAP) implementieren zwar das Berechtigungsschema der SE16 (SAP Data-Browser), jedoch darf man sich bei SAP keine Illusionen bezüglich der Sicherheit machen, da das SAP-Berechtigungswesen eher als Kosmetik und good-will-Veranstaltung betrachtet werden muss.

 

1.Konstruktionsfehler:

  Die Prüfung der Berechtigungen muss explizit im ABAP-Code durchgeführt werden, und wird nicht implizit durch den SAP-Interpreter beim Ausführen des SQL-Statements durchgeführt.

Beispiel SAP-Funktionsbaustein RFC_READ_TABLE:

SAP fordert die explizite Überprüfung der Berechtigung im ABAP:

 

Der SAP-Interpreter führt keine implizite Überprüfung der Berechtigung beim Ausführen des Selects durch.

 

Dies bedeutet aber, dass prinzipiell jeder ABAP und damit auch jeder ABAP-Entwickler als Sicherheitsrisiko betrachtet werden muss, da man innerhalb eines ABAPs auf alle Tabellen zugreifen kann (= good-will-Veranstaltung, der ABAP-Entwickler muss unterschreiben, dass er sich an die Vorschriften hält und in seinem ABAPs nichts Böses versteckt, wie z.B. einige Updates auf die Tabelle mit den SAP-Berechtigungsobjekten. Beamten-Logik halt).

 

2.Konstruktionsfehler:

  SAP besitzt keine Schemata, die den Wirkungsbereich eines Benutzers einschränken können, so dass wichtige Tabellen (z.Bsp. Systemtabellen) geschützt werden können.

(wie auch bei MS-Access und My-SQL, jedoch gehören diese Datenbanken auch eher ins Spielzeugland als in eine professionelle IT-Landschaft).

Dann hilft auch die Einführung der SAP-Namensräume nichts, da hier wiederum die Überprüfung auch nur explizit im ABAP-Workbench stattfindet (kann man einfach umgehen, indem man direkt den remote-fähigen ABAP "RS_FUNCTION_INSERT" mit beliebigen Namen aufruft).

 

3.Konstruktionsfehler:

  Das SAP-Berechtigungswesen ist sehr mühselig in der Handhabung  und nur sehr eingeschränkt anpassungsfähig:

 

Zitat aus SAP-Berechtigungswesen, SAP-Press, S.28:

Schwafel, Schwafel, Schwafel, ...."SAP-Projekte beginnen oft am Hauptsitz der Firma (z.B. in Deutschland) und werden dann auf verschiedene Filialen im Ausland ausgeweitet. Wenn die entwickelten Rollen nicht von Anfang an die verschiedenen kulturellen und organisatorischen Aspekte der Filialländer in Betracht ziehen, könnte dies zu einem falschen Berechtigungsansatz in diesen Länder führen." ....Schwafel, Schwafel, Schwafel.

Oder einfach und klar ausgedrückt: Wenn Sie heute noch nicht genau wissen, in welche Länder Ihr Unternehmen in der Zukunft expandieren will, benützen Sie lieber SAP nicht, denn dann könnte dieser Spaß schon alleine wegen des SAP-Berechtigungswesens teuer werden.

 

 

 Wichtig:

Das EPTL führt in allen ABAPs immer die explizite Überprüfung der Berechtigungen durch, kann also im Rahmen des SAP-Berechtigungswesens als sicher angesehen werden.
Bei Verwendung von Datras-Dynamisch-ABAP ergibt sich neben den oben genannten Problemen eine weitere Sicherheitslücke: Ein versierter ABAP-Entwickler könnte durch Ausnutzung des "ABAPs Z_DATRAS_ABAP_INSTALL" einen bösen ABAP in das SAP-System einschmuggeln. Der versierte ABAP-Entwickler wäre dann jedoch gar nicht so versiert, da es in SAP-Systemen wesentlich einfachere Methoden gibt, einen ABAP einzuschmuggeln. Nichtsdestotrotz sollte man deshalb unbedingt den Benutzerkreis für Datras-Dynamic-ABAP einschränken, und keinesfalls diese ABAPs generell zugänglich machen (eigentlich müsste man für diese Art des Zugriffs eine asymmetrische Verschlüsselung implementieren, so dass nur das EPTL ABAP-Code schreiben und nur der Installations-ABAP diesen verschlüsselten Code lesen kann. Jedoch ist es zum gegenwärtigen Wissensstand bis dato noch keinem gelungen, solche Algorithmen in ABAP mit der notwendigen Performance zu schreiben).

 

Hinweis:

Umstandshalber ein Exemplar "SAP-Berechtigungswesen, SAP-Press" zum gegenwärtigen Altpapierwert plus Versandkosten gegen Vorkasse, aber ohne Rücknahmegarantie, abzugeben.