Sicherheitsleitfaden SAP BW∕4HANA - SAP Help Portal
-
Upload
khangminh22 -
Category
Documents
-
view
3 -
download
0
Transcript of Sicherheitsleitfaden SAP BW∕4HANA - SAP Help Portal
Inhalt
1 Sicherheitsleitfaden SAP BW∕4HANA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Benutzerverwaltung und Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.1 Benutzerverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Authentifizierung und Single Sign-On. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3 Berechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.1 Berechtigungsprotokoll für Analyseberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113.2 Prüfung von Analyseberechtigungen als anderer Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.3 SAP-HANA-Berechtigungen für die gemischte Modellierung und weitere Funktionen. . . . . . . . . . . . . . . 12
4 Netzwerk- und Kommunikationssicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.1 Kommunikationskanalsicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.2 Kommunikationsdestinationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.3 Netzwerksicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.4 Web Services und ICF-Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
5 Sicherheit bei der Datenspeicherung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
6 Sicherheitsrelevante Protokollierung und Tracing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
7 Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse. . . . . . . . . . . . . . . . . . . . . . . . . . .237.1 Benutzerauthentifizierung am Front-End Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237.2 Berechtigungen für die Modellierung mit den Modellierungswerkzeugen. . . . . . . . . . . . . . . . . . . . . . . 257.3 Schutz der Resources am Front-End Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277.4 Installation von Drittanbieter-Plug-Ins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Inhalt
1 Sicherheitsleitfaden SAP BW∕4HANA
Verwendung
AchtungDieser Leitfaden ersetzt nicht die Administrations- oder Betriebsleitfäden, die für den Produktivbetrieb verfügbar sind.
Zielgruppe
● Technologieberater● Sicherheitsberater● Systemadministratoren
Dieses Dokument ist nicht Teil von Installationsleitfäden, Konfigurationsleitfäden, technischen Handbüchern oder Upgrade-Leitfäden. Diese Leitfäden sind nur für eine bestimmte Phase des Software-Lebenszyklus relevant, während die Sicherheitsleitfäden Informationen liefern, die alle Phasen des Lebenszyklus betreffen.
Warum ist Sicherheit notwendig?
Der zunehmende Einsatz verteilter Systeme und des Internets zur Verwaltung von Geschäftsdaten führt auch zu steigenden Anforderungen an die Sicherheit. Bei einem verteilten System müssen Sie sicher sein, dass Ihre Daten und Prozesse die Anforderungen Ihres Unternehmens unterstützen, ohne unberechtigten Zugriff auf kritische Informationen zu ermöglichen. Benutzerfehler, Nachlässigkeit oder Manipulationsversuche am System dürfen nicht Informations- oder Verarbeitungszeitverluste nach sich ziehen. Diese Sicherheitsanforderungen gelten entsprechend auch für SAP BW∕4HANA. Um Sie bei der Absicherung des SAP BW∕4HANA zu unterstützen, bieten wir diesen Sicherheitsleitfaden an.
SAP Business Warehouse dient der Integration, Transformation und Konsolidierung von Unternehmensdaten aller Bereiche, um diese zur Analyse, Interpretation und Verteilung aufzubereiten - darunter sensible Unternehmensdaten, beispielsweise personenbezogene Daten aus der Personalverwaltung. Auf Basis solcher Daten werden Entscheidungen in sämtlichen Unternehmensbereichen getroffen und zielgerichtete Aktionen abgeleitet. Sicherheit beim Zugriff auf Daten sowie Gewährleistung der Datenintegrität sind daher von hoher Bedeutung.
Folgende Beispiele zeigen, welchen Gefahren das SAP BW∕4HANA ausgesetzt sein kann:
● Angriffe aus dem Internet oder aus dem Intranet bei Nutzung von Web Services● Verletzung von Datenschutzrichtlinien durch unberechtigten Zugriff auf personenbezogene Daten
Über dieses Dokument
Dieser Sicherheitsleitfaden bietet einen Überblick über sicherheitsrelevante Informationen für SAP BW∕4HANA
Zu Grunde liegende Sicherheitsinformationen
SAP BW∕4HANA baut auf dem Application Server for ABAP auf. Der Sicherheitsleitfaden für SAP BW∕4HANA beschreibt die vom Application Server for ABAP abweichenden oder zusätzlichen Sicherheitsinformationen.
Sicherheitsleitfaden SAP BW∕4HANASicherheitsleitfaden SAP BW∕4HANA P U B L I C ( Ö F F E N T L I C H ) 3
Die folgende Tabelle gibt Ihnen einen Überblick über weitere relevante Sicherheitsleitfäden:
Tabelle 1:
Anwendung Sicherheitsleitfaden
Application Server for ABAP Weitere Informationen finden Sie im SAP Help Portal unter http://help.sap.com/nw75 in der Dokumentation Security Guide.
Eine vollständige Liste der verfügbaren SAP Security Guides erhalten Sie auf dem SAP Service Marketplace unter http://service.sap.com/securityguide .
Weitere Informationen
Weitere Informationen über Spezialthemen finden Sie in nachfolgender Tabelle unter den Quick Links:
Tabelle 2:
Thema Quick Link auf dem SAP Service Marketplace oder dem SCN
Sicherheit http://scn.sap.com/community/security
Sicherheitsleitfäden http://service.sap.com/securityguide
verwandte SAP-Hinweise http://service.sap.com/notes
http://service.sap.com/securitynotes
zulässige Plattformen http://service.sap.com/pam
Netzwerksicherheit http://service.sap.com/securityguide
SAP Solution Manager http://service.sap.com/solutionmanager
4 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheitsleitfaden SAP BW∕4HANA
2 Benutzerverwaltung und Authentifizierung
Verwendung
SAP BW∕4HANA verwendet die Benutzerverwaltungs- und Benutzerauthentifizierungsmechanismen des Application Server for ABAP. Daher gelten die Sicherheitsempfehlungen und -richtlinien der Benutzerverwaltung und -authentifizierung wie sie im SAP NetWeaver Application Server für ABAP Security Guide beschrieben sind auch für SAP BW∕4HANA. Zusätzlich zu diesen Richtlinien geben wir Ihnen in den folgenden Abschnitten Informationen zur Benutzerverwaltung und -authentifizierung, die speziell für SAP BW∕4HANA gelten.
2.1 Benutzerverwaltung
Die Benutzerverwaltung für SAP BW∕4HANA verwendet die vom Application Server for ABAP angebotenen Mechanismen, z.B. Werkzeuge und Benutzertypen.
Weitere Informationen finden Sie im Sicherheitsleitfaden für SAP NetWeaver im Abschnitt User Management.
Benutzer
Standardbenutzer, die bei der Installation Systems angelegt werden Weitere Informationen finden Sie unter .
AchtungUm sicherzustellen, dass niemand die Standardbenutzer missbräuchlich verwendet, ändern Sie nach der Installation die initialen Passwörter.
Benutzer in SAP BW∕4HANADie folgende Tabelle gibt Ihnen einen Überblick über weitere Benutzer, die in SAP BW∕4HANA benötigt werden. Diese Benutzer sind nicht Bestandteil der Auslieferung und haben keine Default-Passwörter.
Tabelle 3:
System Benutzer Typ Beschreibung
SAP BW∕4HANA Datenbankbenutzer Datenbankbenutzer Informationen zum Datenbankbenutzer finden Sie im Sicherheitsleitfaden für SAP HANA.
Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 5
SAP BW∕4HANA Hintergrundbenutzer in SAP BW∕4HANA
Technischer Benutzer Der Hintergrundbenutzer in SAP BW∕4HANA wird zur Kommunikation mit den Quellsystemen des SAP BW∕4HANA, zur Datenextraktion und für Hintergrundprozesse in SAP BW∕4HANA verwendet. Sie legen den Hintergrundbenutzer im Customizing an und vergeben ein Passwort (unter
Automatisierte ProzesseBenutzer für Hintergrundprozesse
anlegen ). Das Hintergrundbenutzer-Passwort wird beim Quellsystemanschluss abgefragt. Das Berechtigungsprofil für den Hintergrundbenutzer lautet S_BI-WHM_RFC (siehe ).
6 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Benutzerverwaltung und Authentifizierung
SAP-Quellsystem Extraktionsbenutzer im SAP-Quellsystem
Technischer Benutzer Der Hintergrundbenutzer im SAP-Quellsystem wird für die Kommunikation mit SAP BW∕4HANA und zur Datenextraktion verwendet.
Wenn Sie ein SAP-Quellsystem an SAP BW∕4HANA anschließen, wird der Hintergrundbenutzer im Quellsystem angelegt. Sie können den Benutzer im Quellsystem auch direkt über die Benutzerpflege anlegen. Im Customizing können Sie einen Namen eingeben, der beim Anschluss eines neuen Quellsystems als Name für den Hintergrundbenutzer vorgeschlagen
wird (unter Verbindungen
zu anderen Systemen Verbindungen zwischen SAP-
Systemen und BW-System Vorschlag für Benutzer im Quellsystem (ALE-
Kommunikation) pflegen ). Wenn Sie ein BW-System als Quellsystem verwenden, empfehlen wir Ihnen, den Hintergrundbenutzer für das BW und den Hintergrundbenutzer für das (BW-) Quellsystem getrennt von einander anzulegen. Das Berechtigungsprofil für den Hintergrundbenutzer im Quellsystem lautet S_BI-WX_RFC (siehe ).
Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 7
SAP BW∕4HANA Administrator Individueller Benutzer Der Administrator in SAP BW∕4HANA ist u.a. für den Anschluss und die Verbindung zu Quellsystemen, das Laden der Metadaten und das Durchführen der Statistik verantwortlich. Er erarbeitet das Datenmodell und plant und überwacht die Prozesse im SAP BW∕4HANA (z.B. den Ladeprozess).
Siehe auch:
SAP BW∕4HANA Autoren und Analysten Individueller Benutzer Autoren und Analysten benötigen fortgeschrittene Analysefunktionalität und die Möglichkeit, ad-hoc Daten zu untersuchen. Um ihre Aufgaben zu erfüllen, benötigen Sie nützliche und handhabbare Reporting- und Analysewerkzeuge.
SAP BW∕4HANA Executives und Knowledge Workers
Individueller Benutzer Executives und Knowledge Workers benötigen personalisierte, kontextbezogene Informationen, die über eine intuitive Benutzeroberfläche zugänglich sind. Sie arbeiten i. d. R. über vordefinierte Navigationspfade, benötigen aber auch die Möglichkeit zur tieferen Analyse der Summendaten.
Siehe auch:
SAP BW∕4HANA Information Consumers Individueller Benutzer Information Consumers benötigen spezifische Informationen (Snapshot eines bestimmten Datasets), um ihre operativen Aufgaben ausführen zu können.
Siehe auch:
8 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Benutzerverwaltung und Authentifizierung
2.2 Authentifizierung und Single Sign-On
Die Authentifizierung ermöglicht die Überprüfung der Identität eines Benutzers, ehe dieser Benutzer Zugriff auf SAP BW∕4HANA oder Daten in SAP BW∕4HANA erhält. Der Application Server unterstützt verschiedene Authentifizierungsmechanismen.
SAP BW∕4HANA verwendet vom Application Server angebotene Authentifizierungs- und Single-Sign-On-Mechanismen. Daher gelten die Sicherheitsempfehlungen und -richtlinien für die Benutzerverwaltung und -authentifizierung wie sie im SAP NetWeaver Sicherheitsleitfaden beschrieben sind auch für SAP BW∕4HANA.
Weitere Informationen finden Sie im Abschnitt über Benutzerauthentifizierung und Single Sign-On im SAP NetWeaver Sicherheitsleitfaden.
Authentifizierungs- und Single-Sign-On-Mechanismen für SAP BW∕4HANA
Benutzerkennung und Kennwort
SAP BW∕4HANA nutzt die Anmeldung mit Benutzerkennung und Kennwort.
Weitere Informationen finden Sie unter .
Secure Network Communications (SNC)
SAP BW∕4HANA unterstützt Secure Network Communications (SNC).
Weitere Informationen finden Sie unter .
SAP Anmeldetickets
SAP BW∕4HANA unterstützt SAP-Anmeldetickets. Um Single Sign-On für mehrere Systeme bereitzustellen, kann sich der Benutzer ein SAP-Anmeldeticket ausstellen lassen, nachdem er sich am SAP-System angemeldet hat. Das Ticket kann dann anderen Systemen (SAP- oder Fremdsystemen) als Authentifizierungstoken vorgelegt werden. Der Benutzer braucht zur Authentifizierung keine Benutzerkennung mit Kennwort eingeben, sondern darf auf das System zugreifen, nachdem das System das Anmeldeticket überprüft hat.
Weitere Informationen finden Sie unter .
Client-Zertifikate
Als Alternative zur Benutzerauthentifizierung mit Benutzerkennung und Kennwörtern bei Verwendung von Internetanwendungen über den Internet Transaction Server (ITS) können die Benutzer auch X.509-Client-Zertifikate vorlegen. In diesem Fall wird die Benutzerauthentifizierung auf dem Web-Server über das Secure-Sockets-Layer-Protokoll (SSL-Protokoll) durchgeführt, wobei keine Kennwörter übertragen werden müssen. Die Benutzerberechtigungen gelten entsprechend des Berechtigungskonzepts im SAP-System.
Weitere Informationen finden Sie unter X509- .
Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 9
3 Berechtigungen
Um zu gewährleisten, dass SAP BW∕4HANA die Struktur Ihres Unternehmens abbildet und die Anforderungen Ihres Unternehmens erfüllt, müssen Sie bestimmen, wer auf welche Daten zugreifen darf und wer welche Aktionen an einem bestimmten Objekt in SAP BW∕4HANA ausführen darf. Dabei sind je nach Rolle und Aufgabenstellung des Benutzers zwei Berechtigungskonzepte zu unterscheiden:
● Standard-BerechtigungenMit diesen Berechtigungen regeln Sie das Arbeiten in den Werkzeugen von SAP BW∕4HANA. Das Berechtigungskonzept der Standard-Berechtigungen beruht auf dem Berechtigungskonzept des Application Server for ABAP.
● AnalyseberechtigungenMit diesen Berechtigungen regeln Sie den Zugriff auf Bewegungsdaten von berechtigungsrelevanten Merkmalen, z.B. auf Umsatzdaten von Vertriebsorganisationen. Diese Art von Berechtigungen basiert nicht auf dem Berechtigungskonzept des Application Server for ABAP, sondern verwenden ein eigenes Konzept, das die Besonderheiten von Reporting und Analyse mit SAP BW∕4HANA berücksichtigt.
Kritische Berechtigungen
Kritische Analyseberechtigungen
Tabelle 4:
Berechtigung Beschreibung
0BI_ALL (Berechtigung für alle Werte aller berechtigungsrelevanten Merkmale)
Jeder Benutzer, der diese Berechtigung erhält, kann jederzeit auf alle Daten zugreifen. Ein Benutzer, der ein Profil mit dem Berechtigungsobjekt S_RS_AUTH besitzt und dort 0BI_ALL eingetragen hat (oder mit eingeschlossen hat, z.B. über das Muster *), hat volle Datenzugriffsberechtigung.
Weitere Informationen finden Sie in der Dokumentation der Analyseberechtigungen unter .
Kritische Berechtigungsvorlagen
Wenn Sie Berechtigungsvorlagen verwenden, beachten Sie, dass einige Berechtigungsvorlagen mit weitreichenden Berechtigungen ausgeliefert werden, z.B.:
Tabelle 5:
Berechtigungsvorlage Beschreibung
S_RS_RDEAD (BW-Rolle: Administrator (Entwicklungssystem))
Diese Berechtigungsvorlagen beinhalten weitreichende Berechtigungen auf dem Berechtigungsobjekt S_RFC.
10 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Berechtigungen
Berechtigungsvorlage Beschreibung
S_RS_ROPAD (BW-Rolle: Administrator (Produktivsystem))
S_RS_TREQD (BW: Daten laden (ALE, IDoc's, RFC, Batch, Monitoring))
S_RS_RDEMO (BW-Rolle: Modeler (Entwicklungssystem) ) Diese Berechtigungsvorlagen beinhalten Berechtigungen für alle InfoProvider auf dem Berechtigungsobjekt S_RS_COMP.
S_RS_TREPU (BW: Reporting User)
Weitere Informationen
in der Dokumentation des SAP BW∕4HANA
Berechtigungsprotokoll für Analyseberechtigungen [Seite 11]
Prüfung von Analyseberechtigungen als anderer Benutzer [Seite 11]
3.1 Berechtigungsprotokoll für Analyseberechtigungen
In den Analyseberechtigungen steht ein Werkzeug zur Analyse von Berechtigungsprüfungen zur Verfügung, das detailliert über die berechtigungsrelevanten Datenzugriffe informiert. Diese Prüfung kann personenbezogen permanent oder bei Bedarf ein- und ausgeschaltet werden. Der Zugriff auf dieses Analysetool sollte über Transaktion RSECPROT und über das Berechtigungsobjekt S_RSEC geschützt werden und nur befugten Benutzern zugänglich sein.
Weitere Informationen
3.2 Prüfung von Analyseberechtigungen als anderer Benutzer
In der Verwaltung von Analyseberechtigungen können Sie mit der Funktion Ausführen als... auf der Registerkarte Analyse bestimmte Transaktionen als ein anderer Benutzer ausführen. Dabei werden alle Prüfungen auf Analyseberechtigungen (und nur diese) für den festgelegten Benutzer ausgeführt. Prinzipiell ist es damit möglich,
Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 11
größere Zugriffsberechtigungen zu erlangen, als man als normaler Benutzer besitzt. Deshalb sollte diese Transaktion über das Berechtigungsobjekt S_RSEC speziell geschützt werden.
Weitere Informationen
3.3 SAP-HANA-Berechtigungen für die gemischte Modellierung und weitere Funktionen
Für bestimmte Funktionen in SAP BW∕4HANA benötigen Sie auch Berechtigungen in SAP HANA.
Berechtigungen für die Generierung von SAP HANA-Views
Beim Anlegen von Objekten in SAP BW∕4HANA können Sie während der Aktivierung strukturgleiche SAP HANA-Views generieren lassen. Dies unterstützt Sie in Szenarios, in denen Daten, die in SAP BW∕4HANA modelliert werden, mit Daten, die in SAP HANA mit SAP HANA-Werkzeugen modelliert werden, zusammenspielen (Mixed Scenarios).
Um auf SAP HANA-Views zugreifen zu können, die aus SAP BW∕4HANA heraus generiert wurden, benötigen Sie bestimmte Berechtigungen in SAP HANA als auch in SAP BW∕4HANA. Zur Administration der Berechtigungen stehen Ihnen verschiedene Transaktionen zur Verfügung.
Berechtigungen für die Suche mit SAP HANA
Für die Suche mit SAP HANA benötigt der technische Benutzer _SYS_REPO in SAP HANA bestimmte Berechtigungen. Um die Sicherheit zu gewährleisten, empfehlen wir die Berechtigungen nur für die tatsächlich benötigten Tabellen zu vergeben und nicht auf Schema-Ebene. Verwenden Sie dazu folgenden Befehl:
GRANT SELECT ON sap<sid>.<table> TO _ sys_repo WITH GRANT OPTION;
● mit <sid> = System-ID des SAP BW∕4HANA-Systems● mit <table> =
Tabelle 6:
Tabellenname
RSBOHDEST
12 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Berechtigungen
Tabellenname
RSBOHDESTT
RSDAREA
RSDAREAT
RSDBCHATRXXL
RSDCHA
RSDCHABAS
RSDFDMOD
RSDFDMOD_LOCAL
RSDFDMODT
RSDHAMAP
RSDHAMAPT
RSDIOBC
RSDIOBCIOBJ
RSDIOBJ
RSDIOBJCMP
RSDIOBJT
RSDKYF
RSDS
RSDST
RSDTIM
RSDUNI
RSFBP
RSFBPFIELD
RSFBPSEMANTICS
RSFBPT
RSKSFIELDNEW
RSKSNEW
RSKSNEWT
RSLTIP
RSLTIPT
RSLTIPXREF
RSOADSO
RSOADSOLOC
RSOADSOT
Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 13
Tabellenname
RSOHCPR
RSOHCPRT
RSOOBJXREF
RSOSEGR
RSOSEGRLOC
RSOSEGRT
RSPLS_ALVL
RSPLS_ALVLT
RSRREPDIR
RSTRAN
RSTRANT
RSWSPLREF
RSZCOMPIC
RSZCOMPDIR
RSZELTDIR
RSZELTTXT
RSZELTXREF
RSZGLOBV
RSZRANGE
RSZWOBJTXT
RSZWVIEW
TADIR
Beachten Sie auch die Informationen in SAP-Hinweis 2362807 .
Berechtigungen für SAP HANA Analyseprozesse
Um mit SAP HANA Analyseprozessen arbeiten zu können, benötigen Sie bestimmte Berechtigungen in SAP HANA als auch in SAP BW∕4HANA.
Berechtigungen für SAP HANA Smart Data Access
Nearline-Storage mit SAP IQ
Für Nearline-Storage mit SAP IQ benötigen Sie folgende Berechtigung in SAP HANA:
14 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Berechtigungen
● System Privilege: CREATE REMOTE SOURCE
Wenn die Remote Source nicht mit dem SAP<SID>-Benutzer, sondern mit einen anderen Datenbankbenutzer angelegt wird, muss dieser Datenbankbenutzer dem SAP<SID>-Benutzer die entsprechenden Objektberechtigungen für die Remote Source zuweisen:
● Objekt-Privilege: CREATE VIRTUAL TABLE auf VIRTUAL_TABLES (SYS)● Objekt-Privilege: DROP auf VIRTUAL_TABLES (SYS)
Zugriff auf die Daten aus dem System herausWenn Sie SAP HANA Smart Data Access einsetzen, erfolgt der Zugriff auf die entfernten Daten aus dem System heraus mit dem Datenbankbenutzer, der für die Verbindung des Systems zur SAP HANA-Datenbank verwendet wird. In SAP HANA haben Sie beim Anlegen einer Remote Source einen Benutzer für die Verbindung zur Quell-Datenbank angegeben. An diesen Benutzer gibt SAP HANA die SQL-Statements weiter. Stellen Sie sicher, dass dieser Benutzer ausreichende Berechtigungen in den relevanten Schemata und Tabellen der Quell-Datenbank besitzt.
Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 15
4 Netzwerk- und Kommunikationssicherheit
Ihre Netzwerkinfrastruktur ist für die Sicherheit Ihres Systems äußerst wichtig. Ihr Netzwerk muss die für Ihre Geschäftsanforderungen erforderliche Kommunikation unterstützen, ohne unberechtigten Zugriff zu gestatten. Eine klar definierte Netzwerktopologie kann viele auf Softwarefehlern basierende Sicherheitsrisiken (auf Betriebssystem- und Anwendungsebene) oder Angriffe auf das Netzwerk, wie z.B. unberechtigtes Abhören, beseitigen. Wenn sich an Ihren Anwendungs- oder Datenbankservern auf Betriebssystem- oder Datenbankebene kein Benutzer anmelden kann, haben Eindringlinge keine Möglichkeit, die Geräte zu missbrauchen und auf die Datenbank oder Dateien des Backend-Systems zuzugreifen. Wenn sich die Benutzer nicht mit dem Server-LAN (Local Area Network) verbinden können, können Sie außerdem keine bekannten Fehler und Sicherheitslücken in Netzwerkdiensten auf den Servern ausnutzen.
Die Netzwerktopologie für SAP BW∕4HANA basiert auf der vom Application Server for ABAP verwendeten Topologie. Daher gelten die Sicherheitsrichtlinien und -empfehlungen, die im Sicherheitsleitfaden für SAP NetWeaver beschrieben sind, auch für SAP BW∕4HANA. Details, die speziell SAP BW∕4HANA betreffen, werden in folgenden Abschnitten beschrieben.
4.1 Kommunikationskanalsicherheit
SAP BW∕4HANA nutzt folgende Kommunikationspfade und Protokolle:
● Für folgende Kommunikationspfade wird RFC als Protokoll verwendet:○ Frontend und Anwendungsserver○ Anwendungsserver zu Anwendungsserver○ SAProuter und Anwendungsserver○ Verbindung zur Datenbank
Weitere Informationen zur sicheren Verwendung von RFC bei der Kommunikation zwischen Systemen finden Sie im .
● Für den Kommunikationspfad zwischen Web Browser und Anwendungsserver wird HTTP, HTTPS, SOAP verwendet.
Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. HTTP-Verbindungen werden mit dem Secure-Sockets-Layer-Protokoll (SSL-Protokoll) geschützt. SOAP-Verbindungen werden mit Web-Services-Sicherheit geschützt.
EmpfehlungWir empfehlen Ihnen eindringlich, nach Möglichkeit sichere Protokolle (SSL, SNC) zu verwenden.
Weitere Informationen erhalten Sie im Sicherheitsleitfaden für SAP NetWeaver in den Abschnitten über Transport Layer Security und Web Services Security.
16 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Netzwerk- und Kommunikationssicherheit
4.2 Kommunikationsdestinationen
Verbindungsdestinationen werden in SAP BW∕4HANA in folgenden Bereichen benötigt:
● Anschluss von Datenquellen an das BW-SystemDiese Destinationen werden i.d.R. nicht ausgeliefert, sondern beim Kunden angelegt.Wenn Sie SAP-Systeme und Nicht-SAP-Datenquellen als Quellsysteme an SAP BW∕4HANA anschließen wollen, benötigen Sie i.d.R. RFC-Destinationen.Die Destination zum Myself-SAP BW∕4HANA wird beim erstmaligen Öffnen der Data Warehousing Workbench vom System automatisch angelegt.Die Kommunikation zwischen SAP BW∕4HANA und Quellsystemen übernehmen der SAP BW∕4HANA-Hintergrundbenutzer und der Hintergrundbenutzer im Quellsystem (im Fall von SAP-Quellsystemen). Der SAP BW∕4HANA-Hintergrundbenutzer, benötigt das Berechtigungsprofil S_BI-WHM_RFC. Der Hintergrundbenutzer im SAP-Quellsystem benötigt das Berechtigungsprofil S_BI-WX_RFC. Weitere Informationen finden Sie unter .
4.3 Netzwerksicherheit
Beachten Sie für SAP BW∕4HANA die Informationen im Abschnitt Network and Communication Security im Sicherheitsleitfaden für SAP NetWeaver.
Um den Netzwerkverkehr in Ihrer Systemlandschaft steuern zu können, empfehlen wir Ihnen Firewalls zu verwenden. Eine Firewall setzt sich aus Hardware- und Softwarekomponenten zusammen, die bestimmen, welche Verbindungen zwischen Kommunikationspartnern zulässig sind. Mit einer Firewall können nur die festgelegten Verbindungen verwendet werden, alle anderen werden von der Firewall gesperrt. Weitere Informationen finden Sie im Abschnitt Using Firewall Systems for Access Control im Sicherheitsleitfaden für SAP NetWeaver.
Um RFC-Verbindungen oder Verbindungen über Internet-Prtokolle abzusichern, empfehlen wir Ihnen, als Sicherheitsmethode Secure Network Communications (SNC) oder Secure Sockets Layer (SSL) zu verwenden.
4.4 Web Services und ICF-Services
Mit SAP BW∕4HANA werden verschiedene Web Services und ICF-Services ausgeliefert.
ICF-Services
ICF-Services basieren auf dem (ICF) des Application Server for ABAP. ICF-Services sind HTTP-Services, da sie der Ausführung von HTTP-Request-Handlern dienen. Die HTTP-Services von SAP BW∕4HANA ermöglichen es, über eine URL Daten von SAP BW∕4HANA entweder anzuzeigen oder auszutauschen. Einige dieser Services sind als Web-Services implementiert.
Aufbau der URL
Sicherheitsleitfaden SAP BW∕4HANANetzwerk- und Kommunikationssicherheit P U B L I C ( Ö F F E N T L I C H ) 17
Die URL eines im Namensraum des BW ausgelieferten HTTP-Service ist nach dem folgenden Schema aufgebaut:
<Protokoll>://<Server>:<Port>/sap/bw/<Service>
● URL-Präfix:Welche Werte für die Platzhalter in dem angegebenen URL-Schema einzusetzen sind, hängt von der jeweiligen Installation ab. Als <Protokoll> stehen http und https zur Auswahl. Als <Server> geben Sie Ihren Message-Server an.Auf die folgende Weise können Sie überprüfen, welchen URL-Präfix Ihr BW-System generiert hat:1. Rufen Sie den Function Builder (Transaktionscode SE37) auf.2. Geben Sie den Namen des Funktionsbausteines RSBB_URL_PREFIX_GET ein.
3. Wählen Sie Testen/Ausführen. Sie gelangen auf das Bild Funktionsbaustein testen.4. Geben Sie als Import-Parameter I_HANDLERCLASS den Namen des ICF-Handlers (HTTP-Request-
Handlers) des gewünschten Service an.
HinweisDen Namen des ICF-Handlers können Sie in der Pflege der Services (Transaktionscode SICF) herausfinden: Navigieren Sie im HTTP-Services-Baum bis zu der gewünschten Servicekomponente. Per Doppelklick gelangen Sie auf das Dialogfenster Ändern/Anlegen eines Services. Auf der Registerkarte Handler-Liste werden die HTTP-Request-Handler der Services angezeigt.
5. Wählen Sie Ausführen. Der Export-Parameter E_URL_PREFIX enthält den generierten URL-Präfix.● Service:
Geben Sie hier den Namen des gewünschten Service an. Der Name besteht aus allen Elementen des Pfades im HTTP-Services-Baum (Transaktionscode SICF).
Voraussetzungen zur Nutzung des Service
Der gewünschte HTTP-Service muss aktiv sein.
HinweisUm dies zu überprüfen, navigieren Sie in der Pflege der Services (Transaktionscode SICF) bis zu der gewünschten Servicekomponente. Wenn der Service aktiv ist, ist der Eintrag Service aktivieren aus dem Kontextmenü nicht wählbar.
18 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Netzwerk- und Kommunikationssicherheit
Für SAP BW∕4HANA notwendige Web Services
Tabelle 7:
Web Service für Web Services Automatische Aktivierung über Aufgabenliste SAP_BW4_SETUP_SIMPLE im Aufgaben-Manager für technische Konfiguration (Transaktion STC01)?
Web Dynpro ABAP als Basis /default_host/sap/public/bc/ur
/default_host/sap/public/bc/icons
/default_host/sap/public/bc/icons_rtl
/default_host/sap/publi/bc/webicons
/default_host/sap/public/bc/pictograms
ja
Startprogramm für Analysis /default_host/sap/bw/analysis ja
Modeling Tools (REST Services) /default_host/sap/bw/modeling ja
Workspace Designer /default_host/sap/bc/webdynpro/sap/rsl_ui_*
ja
Workspace Query Designer /default_host/sap/bc/ui5_ui5/sap/rsl_wqd
ja
SAP BW∕4HANA Master Data Maintenance
/default_host/sap/bc/webdynpro/sap/RSDMDM_MD_MAINTENANCE_APP
/default_host/sap/bc/webdynpro/sap/RSDMDM_MD_NEW_APP
ja
SAP BW∕4HANA Hierarchy Maintenance /default_host/sap/bc/webdynpro/sap/RSSHWDY_HIERARCHY_MAINT_APP
ja
UI-Building-Blocks für die Query-Anzeige /default_host/sap/bc/webdynpro/sap/fpm_bics_ovp
ja
REST-basierte Reporting-Schnittstelle /default_host/sap/bw/ina/* nein
/default_host/sap/bw/xml/soap/xmla nein
Web-Dynpro-basiertes Metadata Repository
/default_host/sap/bc/webdynpro/sap/rso_metadata_repository
nein
Sicherheitsleitfaden SAP BW∕4HANANetzwerk- und Kommunikationssicherheit P U B L I C ( Ö F F E N T L I C H ) 19
5 Sicherheit bei der Datenspeicherung
Datenspeicherung
Die Datenspeicherung in SAP BW∕4HANA erfolgt auf der Application-Server-Datenbank.
Wenn ein Endbenutzer die Auswertung der Daten über MS EXCEL vornimmt, können die Daten vom Endbenutzer auch lokal gespeichert werden. Der Endbenutzer hat sicherzustellen, dass keine unberechtigten Personen auf die lokal gespeicherten Daten zugreifen können.
Vor dem Zugriff durch unberechtigte Endbenutzer können Sie die Daten durch die Vergabe von Analyseberechtigungen schützen. In der Standardeinstellung sind die Daten nicht geschützt. Sie können aber die InfoObjects und Felder in SAP BW∕4HANA als berechtigungsrelevant kennzeichnen. Dann kann auf die Daten nur zugegriffen werden, wenn der Benutzer über die benötigten Berechtigungen verfügt.
Datenschutz
LOPD-Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen
Das spanische Datenschutzgesetz L ey O rgánica de P rotección de D atos de Carácter Personal (LOPD) macht Unternehmen Vorgaben für Verarbeitung, Speicherung und Umgang mit persönlichen Daten. Diese Vorgaben beinhalten die Protokollierung von Zugriffen auf hochsensible, persönlichen Daten. SAP BW∕4HANA stellt einen Menchanismus zur LOPD-Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen zur Verfügung. Weitere Informationen finden Sie im SAP-Hinweis 933441 .
20 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheit bei der Datenspeicherung
6 Sicherheitsrelevante Protokollierung und Tracing
Protokollierung von sicherheitsrelevanten Änderungen und Aktionen bzgl. Analyseberechtigungen
Folgende Tabellen stehen zur Protokollierung von sicherheitskritischen Änderungen und Aktionen bzgl. Analyseberechtigungen zur Verfügung:
RSUDOLOGDiese Tabelle enthält Protokollinformationen darüber, welcher Benutzer in der Verwaltung der Analyseberechtigungen für einen anderen Benutzer im Querymonitor (Transaktion RSRT) eine Query ausgeführt hat (oder auch eine andere Transaktion ausgeführt hat).
Weitere Informationen zur Ausführung von Transaktionen (insbesondere RSRT) mit einem anderen Benutzer finden Sie unter und Prüfung von Analyseberechtigungen als anderer Benutzer [Seite 11].
Die Protokolldaten umfassen insbesondere:
● Benutzernamen des Benutzers, der unter einem anderen Benutzernamen eine Transaktion ausgeführt hat● Benutzernamen des anderen Benutzers● Ausgeführte Transaktion● Kennzeichen zur Passwortabfrage● Kennzeichen zur Korrektheit des angegebenen Passworts● Session-ID● Zeitstempel
RSECVAL_CLDiese Tabelle enthält Protokollinformationen darüber, welche Werteberechtigungen geändert wurden. Die Protokolldaten umfassen insbesondere:
● Berechtigung, die geändert wurde● Merkmal, für das die Berechtigung geändert wurde● Objektversion des Merkmals● Session-ID● Zeitstempel der Änderung
RSECHIE_CLDiese Tabelle enthält Protokollinformationen darüber, welche Hierarchieberechtigungen geändert wurden. Die Protokolldaten umfassen insbesondere:
● Berechtigung, die geändert wurde● Merkmal, für das die Berechtigung geändert wurde● Objektversion des Merkmals● Hierarchie-spezifische Daten
Sicherheitsleitfaden SAP BW∕4HANASicherheitsrelevante Protokollierung und Tracing P U B L I C ( Ö F F E N T L I C H ) 21
● Session-ID● Zeitstempel der Änderung
RSECUSERAUTH_CL
Diese Tabelle enthält Protokollinformationen darüber, welchem Benutzer in der Verwaltung der Analyseberechtigungen welche Analyseberechtigung zugeordnet wurde.
Weitere Informationen zur Berechtigungszuordnung finden Sie unter
Die Protokolldaten umfassen insbesondere:
● Berechtigung● Benutzername, des Benutzers, dem die Berechtigung zugeordnet wurde● Zeitstempel● Session-ID
HinweisDie Änderungen an Werte- und Hierarchieberechtigungen sowie an Benutzer-Berechtigungszuordnungen können Sie auch über InfoProvider des technischen Content auswerten. Weitere Informationen finden Sie unter .
RSECTXT_CL
Diese Tabelle enthält Protokollinformationen darüber, welche Berechtigungstexte geändert wurden. Die Protokolldaten umfassen insbesondere:
● Berechtigung, die geändert wurde● Kurz-, Mittel-, Langtext der Berechtigung● Session-ID● Zeitstempel der Änderung.
RSECSESSION_CL
Diese Tabelle enthält Protokollinformationen darüber, welcher Benutzer in der Session aktiv war, inkl. Änderungsdatum und -Zeit. Über diese Tabelle erhalten Sie die Information darüber, welcher Benutzer Werte- oder Hierarchieberechtigungen oder Berechtigungstexte geändert hat.
Protokollierung von LOPD-relevanten Zugriffen im Rahmen von Reporting- und Planungsanwendungen
SAP BW∕4HANA stellt einen Menchanismus zur Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen zur Verfügung, die gemäß dem spanischen Datenschutzgesetz L ey O rgánica de P rotección de D atos de Carácter Personal (LOPD) sicherheitsrelevant sind. Weitere Informationen finden Sie im SAP-Hinweis 933441 .
22 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheitsrelevante Protokollierung und Tracing
7 Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse
In den folgenden Abschnitten werden die Sicherheitsaspekte erläutert, die Sie bei der Verwendung der Modellierungswerkzeuge für SAP BW∕4HANA berücksichtigen sollten.
Zielgruppe
● Systemadministratoren
Warum ist Sicherheit notwendig?
Der zunehmende Einsatz verteilter Systeme und des Internets zur Verwaltung von Geschäftsdaten führt auch zu steigenden Anforderungen an die Sicherheit. Bei einem verteilten System müssen Sie sicher sein, dass Ihre Daten und Prozesse die Anforderungen Ihres Unternehmens unterstützen, ohne unberechtigten Zugriff auf kritische Informationen zu ermöglichen. Benutzerfehler, Nachlässigkeit oder Manipulationsversuche am System dürfen nicht Informations- oder Verarbeitungszeitverluste nach sich ziehen. Diese Sicherheitsanforderungen gelten entsprechend auch für die Modellierungswerkzeuge in Eclipse. Um Sie bei der Absicherung der Modellierungswerkzeuge zu unterstützen, bieten wir die folgenden Informationen an.
Weitere Informationen
Benutzerauthentifizierung am Front-End Client [Seite 23]Berechtigungen für die Modellierung mit den Modellierungswerkzeugen [Seite 25]Schutz der Resources am Front-End Client [Seite 27]Installation von Drittanbieter-Plug-Ins [Seite 27]
7.1 Benutzerauthentifizierung am Front-End Client
In den Modellierungswerkzeugen arbeiten Sie immer mit BW-Projekten, um auf Metadatenobjekte aus dem Backend-System (SAP BW∕4HANA) zuzugreifen.
Ein BW-Projekt repräsentiert eine echte Systemverbindung am Front-End-Client und verlangt daher einen berechtigten Benutzer, um auf das Backend-System zugreifen zu können. Bei der Standard-
Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 23
Authentifizierungsmethode gibt der Benutzer am Front-End-Client Benutzernamen und Passwort ein, um sich im Backend-System anzumelden.
Risiken
Standard-Authentifizierung mit expliziter Angabe des Benutzernames und des Passworts bedeutet, dass die Benutzerdaten, die am Front-End-Client eingegeben werden, als Klartext in den Hauptspeicher des lokalen Hosts geladen werden. Ein Passwort, das lokal gespeichert wird, stellt eine potentielle Sicherheitslücke dar, weil es von Dritten aus dem Speicher extrahiert werden kann.
Sicherheitsmaßnahmen
Aus Sicherheitsgründen ist das Einschalten von Secure NetWork Communication (SNC) für die ausgewählte Systemverbindung verbindlich.
Verwenden Sie zusätzlich Single Sign-On (SSO). Im Vergleich zu SNC erfüllt SSO die Sicherheitsanforderungen beim Arbeiten mit BW-Projekten in größerem Umfang. Mit SSO muss der Benutzer für Authentifizierung keinen Benutzernamen und Passwort angeben, sondern kann direkt auf das System zugreifen, nachdem es das Anmeldeticket geprüft hat.
HinweisBeachten Sie, dass das Einrichten von SSO ein allgemeiner Konfigurationsschritt ist, der sich nicht von der Konfiguration für ABAP Development Tools unterscheidet. Wenn Sie für ABAP Development Tools SSO bereits in Ihrer Landschaft konfiguriert haben, ist für die Modellierungswerkzeuge keine weitere Konfiguration nötig.
Zusätzlich zu Anmeldetickets können AS-ABAP-Systeme beim Zugriff aus Systemservices auch die restriktiveren Authentifizierungszusicherungstickets (Assertion Tickets) ausstellen. Wenn Sie in den Modellierungswerkzeugen integrierte SAP-GUI-Anwendungen verwenden, ermöglichen Authentifizierungszusicherungstickets ein noch höheres Maß an Sicherheit. Anstatt nach dem Passwort zu fragen, prüft das Backend-System die Gültigkeit des Authentifizierungszusicherungstickets, um dem Benutzer den Zugriff aus Systemservices zu erlauben. Wir empfehlen Ihnen daher, Ihr AS-ABAP-System so zu konfigurieren, dass es nur Authentifizierungszusicherungstickets ausstellt.
Weitere Informationen
Weitere Informationen finden Sie im Installationsleitfaden für die BW-Modellierungswerkzeuge.
24 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse
7.2 Berechtigungen für die Modellierung mit den Modellierungswerkzeugen
Die Zuordnung von Berechtigungen zu Benutzern des Backend-Systems basiert auf Rollen, die im System vordefiniert werden. Dem Benutzer werden eine oder mehrere Rollen zugeordnet, die auf technischer Ebene wiederum auf Berechtigungsobjekten basieren.
Basisberechtigungen
Standardrolle
Die folgende Rolle wird für die Verwendung der Modellierungswerkzeuge benötigt. Falls die Rolle SAP_BC_DBW_ABAPDEVELOPER bereits einem Benutzer zugeordnet ist, enthält diese bereits die benötigten Berechtigungen.
Tabelle 8:
Rolle Beschreibung
SAP_BC_DWB_WBDISPLAY Rolle, die alle Berechtigungen enthält, um ABAP-Entwicklungsobjekte anzuzeigen und zu durchsuchen
HinweisDie Benutzer dürfen ABAP-Entwicklungsobjekte nicht modifizieren.
Berechtigungsobjekt S_RFC
Die Modellierungswerkzeuge benötigen Remote-Zugriff zu den folgenden Funktionsbausteinen, die für das Berechtigungsobjekte S_RFC spezifiziert sind:
Tabelle 9:
Aktivität [ACTVT] Name des RFC-Objekts [RFC_NAME] RFC-Typ [RFC_TYPE]
16 (Ausführen) DDIF_FIELDINFO_GET
RFCPING
RFC_GET_FUNCTION_INTERFACE
SADT_REST_RFC_ENDPOINT
SUSR_USER_CHANGE_PASSWORD_RFC
SYSTEM_RESET_RFC_SERVER
FUNC (Funktionsbaustein)
Berechtigungsobjekt S_TCODE
Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 25
Die Modellierungswerkzeuge müssen für die SAP-GUI-Integration in Eclipse bestimmte Transaktionen starten. Daher benötigen die Modellierungswerkzeuge Zugriff auf die folgenden Transaktionscodes, die im Berechtigungsobjekt S_TCODE spezifiziert sind:
● SADT_START_TCOD● SADT_START_WB_URI
Weitere Informationen finden Sie im SAP Community Network im Dokument Configuring the ABAP Back-end for ABAP Development Tools .
SAP BW∕4HANA-spezifische Rollen und Berechtigungen
Wenn Sie mit den Modellierungswerkzeugen arbeiten, können Sie nur die Objekte anzeigen oder öffnen, für die Sie mindestens Anzeigeberechtigung haben. Bei Aktionen auf Objekten in den Modellierungswerkzeugen werden dieselben Prüfungen durchgeführt wie wenn Sie die Aktionen im Backend-System oder in der Query durchführen. Wir empfehlen daher die folgende Rollenvorlage für Benutzer, die mit den Modellierungswerkzeugen arbeiten:
Tabelle 10:
Rollenvorlage Beschreibung
S_RS_RDEMO BW-Rolle: Modeler (Entwicklungssystem)
HinweisHinweis zu bestimmten Objekttypen:
Wenn das Berechtigungsobjekt das (Berechtigungs-)Feld "Teilobjekt für einen Objekttyp (TLOGO)" definiert hat, muss der Benutzer die Berechtigung * oder zumindest Definition haben, um das Objekt im Project-Explorer-Baum zu sehen.
Insbesondere benötigen Modellierer Berechtigungen, die in den folgenden Berechtigungsobjekten spezifiziert sind:
Tabelle 11:
Berechtigungsobjekt Beschreibung
S_RS_HCPR (SAP HANA CompositeProvider Berechtigungen) Berechtigungen für das Arbeiten mit CompositeProvidern und deren Teilobjekten
S_RS_ODSV (Open ODS View) Berechtigungen für das Arbeiten mit Open ODS Views
S_ADT_RES Berechtigungsobjekt für ADT-Ressourcenzugriff
Das Berechtigungsfeld URI muss den Wert /sap/bw/modeling/* haben.
HinweisDer Platzhalter "*" wird für die Unterordner der URI verwendet.
26 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse
7.3 Schutz der Resources am Front-End Client
In den Modellierungswerkzeugen stellt ein BW-Projekt eine benutzerspezifische Sicht auf die Metadatenobjekte des Backend-Systems (SAP BW∕4HANA) dar.
Wie alle Projekte in Eclipse haben auch BW-Projekte eine lokale Repräsentation ihrer Daten auf dem Front-End und werden in einem Workspace verwaltet. Wenn Sie also ein BW-Projekt haben, gibt es auch lokale Kopien der SAP BW∕4HANA-Metadatenobjekte auf dem Frontend. Dies bedeutet, dass auf die Metadaten auch außerhalb des SAP-Repositories auf der Ebene des lokalen Dateisystems zugegriffen werden kann.
Risiken
Die SAP BW∕4HANA-Metadatenobjekte können von Dritten ausfindig gemacht weren.
Sicherheitsmaßnahmen
Um lokale Projekt-Resources zu schützen, empfehlen wir, Workspace-Ordner für die lokale Ablage von Projekt-Resources so anzulegen, dass nicht von Dritten darauf zugegriffen werden kann. Verwenden Sie die Schutzmaßnahmen, die bereits auf Betriebssystemebene angeboten werden.
HinweisAuf Dateien, die unter Windows in der persönlichen Unterstruktur des Benutzers abgelegt sind, können nur der Benutzer selbst oder lokale Administratoren zugreifen.
TippInsbesondere empfehlen wir den Default-Workspace, der bei der Installation der integrierten Entwicklungsumgebung (IDE) angelegt wurde, zu verwenden.
7.4 Installation von Drittanbieter-Plug-Ins
Ihre Installation der Modellierungswerkzeuge kann durch zusätzliche Plug-Ins von verschiedenen Drittanbietern ergänzt werden.
Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 27
Risiken
Solche Plug-Ins können die Kontrolle über Ihre Client-Installation oder sogar über Ihren kompletten Front-End-PC übernehmen.
Sicherheitsmaßnahmen
Treffen Sie die Entscheidung darüber, welche Plug-Ins Sie installieren, sehr sorgfältig.
28 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA
Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse
Ausschlussklauseln und rechtliche Aspekte
Coding-BeispieleBei dem in der vorliegenden Dokumentation enthaltenen Quell- und/oder Objektcode für Software („Code“) handelt es sich ausschließlich um eine beispielhafte Darstellung. Dieser Code ist in keinem Fall für die Nutzung in einem produktiven System geeignet. Der Code dient ausschließlich dem Zweck, beispielhaft aufzuzeigen, wie Quelltext erstellt und gestaltet werden kann. SAP übernimmt keine Gewährleistung für die Funktionsfähigkeit, Richtigkeit und Vollständigkeit des hier abgebildeten Codes, und SAP übernimmt keine Haftung für Schäden, die durch die Nutzung des Codes entstehen, sofern solche Schäden nicht durch vorsätzliches oder grob fahrlässiges Verhalten der SAP verursacht wurden.
BarrierefreiheitDie in der Dokumentation der SAP-Bibliothek enthaltenen Informationen stellen Kriterien der Barrierefreiheit aus Sicht von SAP zum Zeitpunkt der Veröffentlichung dar und sollen keineswegs obligatorische Richtlinien sein, wie die Barrierefreiheit von Softwareprodukten zu gewährleisten ist. SAP lehnt insbesondere jede Haftung in Bezug auf dieses Dokument ab, (die nicht aus dem vorsätzlichen oder grob fahrlässigen Handeln der SAP resultieren), aus dem weder direkt noch indirekt irgendwelche vertraglichen Verpflichtungen entstehen.
Geschlechtsneutrale SpracheDie SAP-Dokumentation ist, sofern sprachlich möglich, geschlechtsneutral formuliert. Je nach Kontext wird die direkte Anrede mit „Sie“ oder ein geschlechtsneutrales Substantiv (wie z.B. „Fachkraft“ oder „Personentage“) verwendet. Wenn, um auf Personen beiderlei Geschlechts Bezug zu nehmen, die dritte Person Singular nicht vermieden werden kann oder es kein geschlechtsneutrales Substantiv gibt, wird aus Gründen der besseren Lesbarkeit durchgängig die männliche Form des Substantivs und des Pronomens verwendet. Hierdurch wird sichergestellt, dass die Dokumentation verständlich bleibt.
Internet-HyperlinksDie SAP-Dokumentation kann Hyperlinks auf das Internet enthalten. Diese Hyperlinks dienen lediglich als Hinweis auf ergänzende und weiterführende Dokumentation. SAP übernimmt keine Gewährleistung für die Verfügbarkeit oder Richtigkeit dieser ergänzenden Information oder deren Nutzbarkeit für einen bestimmten Zweck. SAP übernimmt keine Haftung für Schäden, die durch die Nutzung solcher Informationen verursacht werden, es sei denn, dass diese Schäden von SAP grob fahrlässig oder vorsätzlich verursacht wurden. Informationen zur Klassifizierung von Links finden Sie unter: http://help.sap.com/disclaimer).
Sicherheitsleitfaden SAP BW∕4HANAAusschlussklauseln und rechtliche Aspekte P U B L I C ( Ö F F E N T L I C H ) 29
go.sap.com/registration/contact.html
© 2017 SAP SE oder ein SAP-Konzernunternehmen Alle Rechte vorbehalten.Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP SE oder ein SAP-Konzernunternehmen nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.Die von SAP SE oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Produkte können länderspezifische Unterschiede aufweisen.Die vorliegenden Unterlagen werden von der SAP SE oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken. Die SAP SE oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation. Die SAP SE oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren.SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP SE (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen.Zusätzliche Informationen zur Marke und Vermerke finden Sie auf der Seite http://www.sap.com/corporate-de/legal/copyright/index.epx.