PUBLIC (ÖFFENTLICH)

SAP BW/4HANA 1.0 SPS022017-01-30

Sicherheitsleitfaden SAP BW∕4HANA

Inhalt

1 Sicherheitsleitfaden SAP BW∕4HANA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Benutzerverwaltung und Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.1 Benutzerverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.2 Authentifizierung und Single Sign-On. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3 Berechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.1 Berechtigungsprotokoll für Analyseberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113.2 Prüfung von Analyseberechtigungen als anderer Benutzer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.3 SAP-HANA-Berechtigungen für die gemischte Modellierung und weitere Funktionen. . . . . . . . . . . . . . . 12

4 Netzwerk- und Kommunikationssicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.1 Kommunikationskanalsicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.2 Kommunikationsdestinationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.3 Netzwerksicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.4 Web Services und ICF-Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

5 Sicherheit bei der Datenspeicherung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

6 Sicherheitsrelevante Protokollierung und Tracing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

7 Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse. . . . . . . . . . . . . . . . . . . . . . . . . . .237.1 Benutzerauthentifizierung am Front-End Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237.2 Berechtigungen für die Modellierung mit den Modellierungswerkzeugen. . . . . . . . . . . . . . . . . . . . . . . 257.3 Schutz der Resources am Front-End Client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277.4 Installation von Drittanbieter-Plug-Ins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Inhalt

1 Sicherheitsleitfaden SAP BW∕4HANA

Verwendung

AchtungDieser Leitfaden ersetzt nicht die Administrations- oder Betriebsleitfäden, die für den Produktivbetrieb verfügbar sind.

Zielgruppe

● Technologieberater● Sicherheitsberater● Systemadministratoren

Dieses Dokument ist nicht Teil von Installationsleitfäden, Konfigurationsleitfäden, technischen Handbüchern oder Upgrade-Leitfäden. Diese Leitfäden sind nur für eine bestimmte Phase des Software-Lebenszyklus relevant, während die Sicherheitsleitfäden Informationen liefern, die alle Phasen des Lebenszyklus betreffen.

Warum ist Sicherheit notwendig?

Der zunehmende Einsatz verteilter Systeme und des Internets zur Verwaltung von Geschäftsdaten führt auch zu steigenden Anforderungen an die Sicherheit. Bei einem verteilten System müssen Sie sicher sein, dass Ihre Daten und Prozesse die Anforderungen Ihres Unternehmens unterstützen, ohne unberechtigten Zugriff auf kritische Informationen zu ermöglichen. Benutzerfehler, Nachlässigkeit oder Manipulationsversuche am System dürfen nicht Informations- oder Verarbeitungszeitverluste nach sich ziehen. Diese Sicherheitsanforderungen gelten entsprechend auch für SAP BW∕4HANA. Um Sie bei der Absicherung des SAP BW∕4HANA zu unterstützen, bieten wir diesen Sicherheitsleitfaden an.

SAP Business Warehouse dient der Integration, Transformation und Konsolidierung von Unternehmensdaten aller Bereiche, um diese zur Analyse, Interpretation und Verteilung aufzubereiten - darunter sensible Unternehmensdaten, beispielsweise personenbezogene Daten aus der Personalverwaltung. Auf Basis solcher Daten werden Entscheidungen in sämtlichen Unternehmensbereichen getroffen und zielgerichtete Aktionen abgeleitet. Sicherheit beim Zugriff auf Daten sowie Gewährleistung der Datenintegrität sind daher von hoher Bedeutung.

Folgende Beispiele zeigen, welchen Gefahren das SAP BW∕4HANA ausgesetzt sein kann:

● Angriffe aus dem Internet oder aus dem Intranet bei Nutzung von Web Services● Verletzung von Datenschutzrichtlinien durch unberechtigten Zugriff auf personenbezogene Daten

Über dieses Dokument

Dieser Sicherheitsleitfaden bietet einen Überblick über sicherheitsrelevante Informationen für SAP BW∕4HANA

Zu Grunde liegende Sicherheitsinformationen

SAP BW∕4HANA baut auf dem Application Server for ABAP auf. Der Sicherheitsleitfaden für SAP BW∕4HANA beschreibt die vom Application Server for ABAP abweichenden oder zusätzlichen Sicherheitsinformationen.

Sicherheitsleitfaden SAP BW∕4HANASicherheitsleitfaden SAP BW∕4HANA P U B L I C ( Ö F F E N T L I C H ) 3

Die folgende Tabelle gibt Ihnen einen Überblick über weitere relevante Sicherheitsleitfäden:

Tabelle 1:

Anwendung Sicherheitsleitfaden

Application Server for ABAP Weitere Informationen finden Sie im SAP Help Portal unter http://help.sap.com/nw75 in der Dokumentation Security Guide.

Eine vollständige Liste der verfügbaren SAP Security Guides erhalten Sie auf dem SAP Service Marketplace unter http://service.sap.com/securityguide .

Weitere Informationen

Weitere Informationen über Spezialthemen finden Sie in nachfolgender Tabelle unter den Quick Links:

Tabelle 2:

Thema Quick Link auf dem SAP Service Marketplace oder dem SCN

Sicherheit http://scn.sap.com/community/security

Sicherheitsleitfäden http://service.sap.com/securityguide

verwandte SAP-Hinweise http://service.sap.com/notes

http://service.sap.com/securitynotes

zulässige Plattformen http://service.sap.com/pam

Netzwerksicherheit http://service.sap.com/securityguide

SAP Solution Manager http://service.sap.com/solutionmanager

4 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheitsleitfaden SAP BW∕4HANA

2 Benutzerverwaltung und Authentifizierung

Verwendung

SAP BW∕4HANA verwendet die Benutzerverwaltungs- und Benutzerauthentifizierungsmechanismen des Application Server for ABAP. Daher gelten die Sicherheitsempfehlungen und -richtlinien der Benutzerverwaltung und -authentifizierung wie sie im SAP NetWeaver Application Server für ABAP Security Guide beschrieben sind auch für SAP BW∕4HANA. Zusätzlich zu diesen Richtlinien geben wir Ihnen in den folgenden Abschnitten Informationen zur Benutzerverwaltung und -authentifizierung, die speziell für SAP BW∕4HANA gelten.

2.1 Benutzerverwaltung

Die Benutzerverwaltung für SAP BW∕4HANA verwendet die vom Application Server for ABAP angebotenen Mechanismen, z.B. Werkzeuge und Benutzertypen.

Weitere Informationen finden Sie im Sicherheitsleitfaden für SAP NetWeaver im Abschnitt User Management.

Benutzer

Standardbenutzer, die bei der Installation Systems angelegt werden Weitere Informationen finden Sie unter .

AchtungUm sicherzustellen, dass niemand die Standardbenutzer missbräuchlich verwendet, ändern Sie nach der Installation die initialen Passwörter.

Benutzer in SAP BW∕4HANADie folgende Tabelle gibt Ihnen einen Überblick über weitere Benutzer, die in SAP BW∕4HANA benötigt werden. Diese Benutzer sind nicht Bestandteil der Auslieferung und haben keine Default-Passwörter.

Tabelle 3:

System Benutzer Typ Beschreibung

SAP BW∕4HANA Datenbankbenutzer Datenbankbenutzer Informationen zum Daten­bankbenutzer finden Sie im Sicherheitsleitfaden für SAP HANA.

Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 5

SAP BW∕4HANA Hintergrundbenutzer in SAP BW∕4HANA

Technischer Benutzer Der Hintergrundbenutzer in SAP BW∕4HANA wird zur Kommunikation mit den Quellsystemen des SAP BW∕4HANA, zur Datenextrak­tion und für Hintergrundpro­zesse in SAP BW∕4HANA ver­wendet. Sie legen den Hinter­grundbenutzer im Customi­zing an und vergeben ein Passwort (unter

Automatisierte ProzesseBenutzer für Hintergrundprozesse

anlegen ). Das Hintergrund­benutzer-Passwort wird beim Quellsystemanschluss abge­fragt. Das Berechtigungsprofil für den Hintergrundbenutzer lautet S_BI-WHM_RFC (siehe ).

6 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Benutzerverwaltung und Authentifizierung

SAP-Quellsystem Extraktionsbenutzer im SAP-Quellsystem

Technischer Benutzer Der Hintergrundbenutzer im SAP-Quellsystem wird für die Kommunikation mit SAP BW∕4HANA und zur Datenex­traktion verwendet.

Wenn Sie ein SAP-Quellsys­tem an SAP BW∕4HANA an­schließen, wird der Hinter­grundbenutzer im Quellsys­tem angelegt. Sie können den Benutzer im Quellsystem auch direkt über die Benut­zerpflege anlegen. Im Custo­mizing können Sie einen Na­men eingeben, der beim An­schluss eines neuen Quellsys­tems als Name für den Hinter­grundbenutzer vorgeschlagen

wird (unter Verbindungen

zu anderen Systemen Verbindungen zwischen SAP-

Systemen und BW-System Vorschlag für Benutzer im Quellsystem (ALE-

Kommunikation) pflegen ). Wenn Sie ein BW-System als Quellsystem verwenden, empfehlen wir Ihnen, den Hin­tergrundbenutzer für das BW und den Hintergrundbenutzer für das (BW-) Quellsystem ge­trennt von einander anzule­gen. Das Berechtigungsprofil für den Hintergrundbenutzer im Quellsystem lautet S_BI-WX_RFC (siehe ).

Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 7

SAP BW∕4HANA Administrator Individueller Benutzer Der Administrator in SAP BW∕4HANA ist u.a. für den An­schluss und die Verbindung zu Quellsystemen, das Laden der Metadaten und das Durchführen der Statistik ver­antwortlich. Er erarbeitet das Datenmodell und plant und überwacht die Prozesse im SAP BW∕4HANA (z.B. den La­deprozess).

Siehe auch:

SAP BW∕4HANA Autoren und Analysten Individueller Benutzer Autoren und Analysten benö­tigen fortgeschrittene Analy­sefunktionalität und die Mög­lichkeit, ad-hoc Daten zu un­tersuchen. Um ihre Aufgaben zu erfüllen, benötigen Sie nützliche und handhabbare Reporting- und Analysewerk­zeuge.

SAP BW∕4HANA Executives und Knowledge Workers

Individueller Benutzer Executives und Knowledge Workers benötigen personal­isierte, kontextbezogene In­formationen, die über eine in­tuitive Benutzeroberfläche zugänglich sind. Sie arbeiten i. d. R. über vordefinierte Navi­gationspfade, benötigen aber auch die Möglichkeit zur tief­eren Analyse der Summenda­ten.

Siehe auch:

SAP BW∕4HANA Information Consumers Individueller Benutzer Information Consumers benö­tigen spezifische Informatio­nen (Snapshot eines be­stimmten Datasets), um ihre operativen Aufgaben ausfüh­ren zu können.

Siehe auch:

8 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Benutzerverwaltung und Authentifizierung

2.2 Authentifizierung und Single Sign-On

Die Authentifizierung ermöglicht die Überprüfung der Identität eines Benutzers, ehe dieser Benutzer Zugriff auf SAP BW∕4HANA oder Daten in SAP BW∕4HANA erhält. Der Application Server unterstützt verschiedene Authentifizierungsmechanismen.

SAP BW∕4HANA verwendet vom Application Server angebotene Authentifizierungs- und Single-Sign-On-Mechanismen. Daher gelten die Sicherheitsempfehlungen und -richtlinien für die Benutzerverwaltung und -authentifizierung wie sie im SAP NetWeaver Sicherheitsleitfaden beschrieben sind auch für SAP BW∕4HANA.

Weitere Informationen finden Sie im Abschnitt über Benutzerauthentifizierung und Single Sign-On im SAP NetWeaver Sicherheitsleitfaden.

Authentifizierungs- und Single-Sign-On-Mechanismen für SAP BW∕4HANA

Benutzerkennung und Kennwort

SAP BW∕4HANA nutzt die Anmeldung mit Benutzerkennung und Kennwort.

Weitere Informationen finden Sie unter .

Secure Network Communications (SNC)

SAP BW∕4HANA unterstützt Secure Network Communications (SNC).

Weitere Informationen finden Sie unter .

SAP Anmeldetickets

SAP BW∕4HANA unterstützt SAP-Anmeldetickets. Um Single Sign-On für mehrere Systeme bereitzustellen, kann sich der Benutzer ein SAP-Anmeldeticket ausstellen lassen, nachdem er sich am SAP-System angemeldet hat. Das Ticket kann dann anderen Systemen (SAP- oder Fremdsystemen) als Authentifizierungstoken vorgelegt werden. Der Benutzer braucht zur Authentifizierung keine Benutzerkennung mit Kennwort eingeben, sondern darf auf das System zugreifen, nachdem das System das Anmeldeticket überprüft hat.

Weitere Informationen finden Sie unter .

Client-Zertifikate

Als Alternative zur Benutzerauthentifizierung mit Benutzerkennung und Kennwörtern bei Verwendung von Internetanwendungen über den Internet Transaction Server (ITS) können die Benutzer auch X.509-Client-Zertifikate vorlegen. In diesem Fall wird die Benutzerauthentifizierung auf dem Web-Server über das Secure-Sockets-Layer-Protokoll (SSL-Protokoll) durchgeführt, wobei keine Kennwörter übertragen werden müssen. Die Benutzerberechtigungen gelten entsprechend des Berechtigungskonzepts im SAP-System.

Weitere Informationen finden Sie unter X509- .

Sicherheitsleitfaden SAP BW∕4HANABenutzerverwaltung und Authentifizierung P U B L I C ( Ö F F E N T L I C H ) 9

3 Berechtigungen

Um zu gewährleisten, dass SAP BW∕4HANA die Struktur Ihres Unternehmens abbildet und die Anforderungen Ihres Unternehmens erfüllt, müssen Sie bestimmen, wer auf welche Daten zugreifen darf und wer welche Aktionen an einem bestimmten Objekt in SAP BW∕4HANA ausführen darf. Dabei sind je nach Rolle und Aufgabenstellung des Benutzers zwei Berechtigungskonzepte zu unterscheiden:

● Standard-BerechtigungenMit diesen Berechtigungen regeln Sie das Arbeiten in den Werkzeugen von SAP BW∕4HANA. Das Berechtigungskonzept der Standard-Berechtigungen beruht auf dem Berechtigungskonzept des Application Server for ABAP.

● AnalyseberechtigungenMit diesen Berechtigungen regeln Sie den Zugriff auf Bewegungsdaten von berechtigungsrelevanten Merkmalen, z.B. auf Umsatzdaten von Vertriebsorganisationen. Diese Art von Berechtigungen basiert nicht auf dem Berechtigungskonzept des Application Server for ABAP, sondern verwenden ein eigenes Konzept, das die Besonderheiten von Reporting und Analyse mit SAP BW∕4HANA berücksichtigt.

Kritische Berechtigungen

Kritische Analyseberechtigungen

Tabelle 4:

Berechtigung Beschreibung

0BI_ALL (Berechtigung für alle Werte aller berechtigungsrele­vanten Merkmale)

Jeder Benutzer, der diese Berechtigung erhält, kann jederzeit auf alle Daten zugreifen. Ein Benutzer, der ein Profil mit dem Berechtigungsobjekt S_RS_AUTH besitzt und dort 0BI_ALL eingetragen hat (oder mit eingeschlossen hat, z.B. über das Muster *), hat volle Datenzugriffsberechtigung.

Weitere Informationen finden Sie in der Dokumentation der Analyseberechtigungen unter .

Kritische Berechtigungsvorlagen

Wenn Sie Berechtigungsvorlagen verwenden, beachten Sie, dass einige Berechtigungsvorlagen mit weitreichenden Berechtigungen ausgeliefert werden, z.B.:

Tabelle 5:

Berechtigungsvorlage Beschreibung

S_RS_RDEAD (BW-Rolle: Administrator (Entwicklungssys­tem))

Diese Berechtigungsvorlagen beinhalten weitreichende Be­rechtigungen auf dem Berechtigungsobjekt S_RFC.

10 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Berechtigungen

Berechtigungsvorlage Beschreibung

S_RS_ROPAD (BW-Rolle: Administrator (Produktivsystem))

S_RS_TREQD (BW: Daten laden (ALE, IDoc's, RFC, Batch, Mo­nitoring))

S_RS_RDEMO (BW-Rolle: Modeler (Entwicklungssystem) ) Diese Berechtigungsvorlagen beinhalten Berechtigungen für alle InfoProvider auf dem Berechtigungsobjekt S_RS_COMP.

S_RS_TREPU (BW: Reporting User)

Weitere Informationen

in der Dokumentation des SAP BW∕4HANA

Berechtigungsprotokoll für Analyseberechtigungen [Seite 11]

Prüfung von Analyseberechtigungen als anderer Benutzer [Seite 11]

3.1 Berechtigungsprotokoll für Analyseberechtigungen

In den Analyseberechtigungen steht ein Werkzeug zur Analyse von Berechtigungsprüfungen zur Verfügung, das detailliert über die berechtigungsrelevanten Datenzugriffe informiert. Diese Prüfung kann personenbezogen permanent oder bei Bedarf ein- und ausgeschaltet werden. Der Zugriff auf dieses Analysetool sollte über Transaktion RSECPROT und über das Berechtigungsobjekt S_RSEC geschützt werden und nur befugten Benutzern zugänglich sein.

Weitere Informationen

3.2 Prüfung von Analyseberechtigungen als anderer Benutzer

In der Verwaltung von Analyseberechtigungen können Sie mit der Funktion Ausführen als... auf der Registerkarte Analyse bestimmte Transaktionen als ein anderer Benutzer ausführen. Dabei werden alle Prüfungen auf Analyseberechtigungen (und nur diese) für den festgelegten Benutzer ausgeführt. Prinzipiell ist es damit möglich,

Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 11

größere Zugriffsberechtigungen zu erlangen, als man als normaler Benutzer besitzt. Deshalb sollte diese Transaktion über das Berechtigungsobjekt S_RSEC speziell geschützt werden.

Weitere Informationen

3.3 SAP-HANA-Berechtigungen für die gemischte Modellierung und weitere Funktionen

Für bestimmte Funktionen in SAP BW∕4HANA benötigen Sie auch Berechtigungen in SAP HANA.

Berechtigungen für die Generierung von SAP HANA-Views

Beim Anlegen von Objekten in SAP BW∕4HANA können Sie während der Aktivierung strukturgleiche SAP HANA-Views generieren lassen. Dies unterstützt Sie in Szenarios, in denen Daten, die in SAP BW∕4HANA modelliert werden, mit Daten, die in SAP HANA mit SAP HANA-Werkzeugen modelliert werden, zusammenspielen (Mixed Scenarios).

Um auf SAP HANA-Views zugreifen zu können, die aus SAP BW∕4HANA heraus generiert wurden, benötigen Sie bestimmte Berechtigungen in SAP HANA als auch in SAP BW∕4HANA. Zur Administration der Berechtigungen stehen Ihnen verschiedene Transaktionen zur Verfügung.

Berechtigungen für die Suche mit SAP HANA

Für die Suche mit SAP HANA benötigt der technische Benutzer _SYS_REPO in SAP HANA bestimmte Berechtigungen. Um die Sicherheit zu gewährleisten, empfehlen wir die Berechtigungen nur für die tatsächlich benötigten Tabellen zu vergeben und nicht auf Schema-Ebene. Verwenden Sie dazu folgenden Befehl:

GRANT SELECT ON sap<sid>.<table> TO _ sys_repo WITH GRANT OPTION;

● mit <sid> = System-ID des SAP BW∕4HANA-Systems● mit <table> =

Tabelle 6:

Tabellenname

RSBOHDEST

12 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Berechtigungen

Tabellenname

RSBOHDESTT

RSDAREA

RSDAREAT

RSDBCHATRXXL

RSDCHA

RSDCHABAS

RSDFDMOD

RSDFDMOD_LOCAL

RSDFDMODT

RSDHAMAP

RSDHAMAPT

RSDIOBC

RSDIOBCIOBJ

RSDIOBJ

RSDIOBJCMP

RSDIOBJT

RSDKYF

RSDS

RSDST

RSDTIM

RSDUNI

RSFBP

RSFBPFIELD

RSFBPSEMANTICS

RSFBPT

RSKSFIELDNEW

RSKSNEW

RSKSNEWT

RSLTIP

RSLTIPT

RSLTIPXREF

RSOADSO

RSOADSOLOC

RSOADSOT

Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 13

Tabellenname

RSOHCPR

RSOHCPRT

RSOOBJXREF

RSOSEGR

RSOSEGRLOC

RSOSEGRT

RSPLS_ALVL

RSPLS_ALVLT

RSRREPDIR

RSTRAN

RSTRANT

RSWSPLREF

RSZCOMPIC

RSZCOMPDIR

RSZELTDIR

RSZELTTXT

RSZELTXREF

RSZGLOBV

RSZRANGE

RSZWOBJTXT

RSZWVIEW

TADIR

Beachten Sie auch die Informationen in SAP-Hinweis 2362807 .

Berechtigungen für SAP HANA Analyseprozesse

Um mit SAP HANA Analyseprozessen arbeiten zu können, benötigen Sie bestimmte Berechtigungen in SAP HANA als auch in SAP BW∕4HANA.

Berechtigungen für SAP HANA Smart Data Access

Nearline-Storage mit SAP IQ

Für Nearline-Storage mit SAP IQ benötigen Sie folgende Berechtigung in SAP HANA:

14 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Berechtigungen

● System Privilege: CREATE REMOTE SOURCE

Wenn die Remote Source nicht mit dem SAP<SID>-Benutzer, sondern mit einen anderen Datenbankbenutzer angelegt wird, muss dieser Datenbankbenutzer dem SAP<SID>-Benutzer die entsprechenden Objektberechtigungen für die Remote Source zuweisen:

● Objekt-Privilege: CREATE VIRTUAL TABLE auf VIRTUAL_TABLES (SYS)● Objekt-Privilege: DROP auf VIRTUAL_TABLES (SYS)

Zugriff auf die Daten aus dem System herausWenn Sie SAP HANA Smart Data Access einsetzen, erfolgt der Zugriff auf die entfernten Daten aus dem System heraus mit dem Datenbankbenutzer, der für die Verbindung des Systems zur SAP HANA-Datenbank verwendet wird. In SAP HANA haben Sie beim Anlegen einer Remote Source einen Benutzer für die Verbindung zur Quell-Datenbank angegeben. An diesen Benutzer gibt SAP HANA die SQL-Statements weiter. Stellen Sie sicher, dass dieser Benutzer ausreichende Berechtigungen in den relevanten Schemata und Tabellen der Quell-Datenbank besitzt.

Sicherheitsleitfaden SAP BW∕4HANABerechtigungen P U B L I C ( Ö F F E N T L I C H ) 15

4 Netzwerk- und Kommunikationssicherheit

Ihre Netzwerkinfrastruktur ist für die Sicherheit Ihres Systems äußerst wichtig. Ihr Netzwerk muss die für Ihre Geschäftsanforderungen erforderliche Kommunikation unterstützen, ohne unberechtigten Zugriff zu gestatten. Eine klar definierte Netzwerktopologie kann viele auf Softwarefehlern basierende Sicherheitsrisiken (auf Betriebssystem- und Anwendungsebene) oder Angriffe auf das Netzwerk, wie z.B. unberechtigtes Abhören, beseitigen. Wenn sich an Ihren Anwendungs- oder Datenbankservern auf Betriebssystem- oder Datenbankebene kein Benutzer anmelden kann, haben Eindringlinge keine Möglichkeit, die Geräte zu missbrauchen und auf die Datenbank oder Dateien des Backend-Systems zuzugreifen. Wenn sich die Benutzer nicht mit dem Server-LAN (Local Area Network) verbinden können, können Sie außerdem keine bekannten Fehler und Sicherheitslücken in Netzwerkdiensten auf den Servern ausnutzen.

Die Netzwerktopologie für SAP BW∕4HANA basiert auf der vom Application Server for ABAP verwendeten Topologie. Daher gelten die Sicherheitsrichtlinien und -empfehlungen, die im Sicherheitsleitfaden für SAP NetWeaver beschrieben sind, auch für SAP BW∕4HANA. Details, die speziell SAP BW∕4HANA betreffen, werden in folgenden Abschnitten beschrieben.

4.1 Kommunikationskanalsicherheit

SAP BW∕4HANA nutzt folgende Kommunikationspfade und Protokolle:

● Für folgende Kommunikationspfade wird RFC als Protokoll verwendet:○ Frontend und Anwendungsserver○ Anwendungsserver zu Anwendungsserver○ SAProuter und Anwendungsserver○ Verbindung zur Datenbank

Weitere Informationen zur sicheren Verwendung von RFC bei der Kommunikation zwischen Systemen finden Sie im .

● Für den Kommunikationspfad zwischen Web Browser und Anwendungsserver wird HTTP, HTTPS, SOAP verwendet.

Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. HTTP-Verbindungen werden mit dem Secure-Sockets-Layer-Protokoll (SSL-Protokoll) geschützt. SOAP-Verbindungen werden mit Web-Services-Sicherheit geschützt.

EmpfehlungWir empfehlen Ihnen eindringlich, nach Möglichkeit sichere Protokolle (SSL, SNC) zu verwenden.

Weitere Informationen erhalten Sie im Sicherheitsleitfaden für SAP NetWeaver in den Abschnitten über Transport Layer Security und Web Services Security.

16 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Netzwerk- und Kommunikationssicherheit

4.2 Kommunikationsdestinationen

Verbindungsdestinationen werden in SAP BW∕4HANA in folgenden Bereichen benötigt:

● Anschluss von Datenquellen an das BW-SystemDiese Destinationen werden i.d.R. nicht ausgeliefert, sondern beim Kunden angelegt.Wenn Sie SAP-Systeme und Nicht-SAP-Datenquellen als Quellsysteme an SAP BW∕4HANA anschließen wollen, benötigen Sie i.d.R. RFC-Destinationen.Die Destination zum Myself-SAP BW∕4HANA wird beim erstmaligen Öffnen der Data Warehousing Workbench vom System automatisch angelegt.Die Kommunikation zwischen SAP BW∕4HANA und Quellsystemen übernehmen der SAP BW∕4HANA-Hintergrundbenutzer und der Hintergrundbenutzer im Quellsystem (im Fall von SAP-Quellsystemen). Der SAP BW∕4HANA-Hintergrundbenutzer, benötigt das Berechtigungsprofil S_BI-WHM_RFC. Der Hintergrundbenutzer im SAP-Quellsystem benötigt das Berechtigungsprofil S_BI-WX_RFC. Weitere Informationen finden Sie unter .

4.3 Netzwerksicherheit

Beachten Sie für SAP BW∕4HANA die Informationen im Abschnitt Network and Communication Security im Sicherheitsleitfaden für SAP NetWeaver.

Um den Netzwerkverkehr in Ihrer Systemlandschaft steuern zu können, empfehlen wir Ihnen Firewalls zu verwenden. Eine Firewall setzt sich aus Hardware- und Softwarekomponenten zusammen, die bestimmen, welche Verbindungen zwischen Kommunikationspartnern zulässig sind. Mit einer Firewall können nur die festgelegten Verbindungen verwendet werden, alle anderen werden von der Firewall gesperrt. Weitere Informationen finden Sie im Abschnitt Using Firewall Systems for Access Control im Sicherheitsleitfaden für SAP NetWeaver.

Um RFC-Verbindungen oder Verbindungen über Internet-Prtokolle abzusichern, empfehlen wir Ihnen, als Sicherheitsmethode Secure Network Communications (SNC) oder Secure Sockets Layer (SSL) zu verwenden.

4.4 Web Services und ICF-Services

Mit SAP BW∕4HANA werden verschiedene Web Services und ICF-Services ausgeliefert.

ICF-Services

ICF-Services basieren auf dem (ICF) des Application Server for ABAP. ICF-Services sind HTTP-Services, da sie der Ausführung von HTTP-Request-Handlern dienen. Die HTTP-Services von SAP BW∕4HANA ermöglichen es, über eine URL Daten von SAP BW∕4HANA entweder anzuzeigen oder auszutauschen. Einige dieser Services sind als Web-Services implementiert.

Aufbau der URL

Sicherheitsleitfaden SAP BW∕4HANANetzwerk- und Kommunikationssicherheit P U B L I C ( Ö F F E N T L I C H ) 17

Die URL eines im Namensraum des BW ausgelieferten HTTP-Service ist nach dem folgenden Schema aufgebaut:

<Protokoll>://<Server>:<Port>/sap/bw/<Service>

● URL-Präfix:Welche Werte für die Platzhalter in dem angegebenen URL-Schema einzusetzen sind, hängt von der jeweiligen Installation ab. Als <Protokoll> stehen http und https zur Auswahl. Als <Server> geben Sie Ihren Message-Server an.Auf die folgende Weise können Sie überprüfen, welchen URL-Präfix Ihr BW-System generiert hat:1. Rufen Sie den Function Builder (Transaktionscode SE37) auf.2. Geben Sie den Namen des Funktionsbausteines RSBB_URL_PREFIX_GET ein.

3. Wählen Sie Testen/Ausführen. Sie gelangen auf das Bild Funktionsbaustein testen.4. Geben Sie als Import-Parameter I_HANDLERCLASS den Namen des ICF-Handlers (HTTP-Request-

Handlers) des gewünschten Service an.

HinweisDen Namen des ICF-Handlers können Sie in der Pflege der Services (Transaktionscode SICF) herausfinden: Navigieren Sie im HTTP-Services-Baum bis zu der gewünschten Servicekomponente. Per Doppelklick gelangen Sie auf das Dialogfenster Ändern/Anlegen eines Services. Auf der Registerkarte Handler-Liste werden die HTTP-Request-Handler der Services angezeigt.

5. Wählen Sie Ausführen. Der Export-Parameter E_URL_PREFIX enthält den generierten URL-Präfix.● Service:

Geben Sie hier den Namen des gewünschten Service an. Der Name besteht aus allen Elementen des Pfades im HTTP-Services-Baum (Transaktionscode SICF).

Voraussetzungen zur Nutzung des Service

Der gewünschte HTTP-Service muss aktiv sein.

HinweisUm dies zu überprüfen, navigieren Sie in der Pflege der Services (Transaktionscode SICF) bis zu der gewünschten Servicekomponente. Wenn der Service aktiv ist, ist der Eintrag Service aktivieren aus dem Kontextmenü nicht wählbar.

18 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Netzwerk- und Kommunikationssicherheit

Für SAP BW∕4HANA notwendige Web Services

Tabelle 7:

Web Service für Web Services Automatische Aktivierung über Aufga­benliste SAP_BW4_SETUP_SIMPLE im Aufgaben-Manager für technische Konfiguration (Transaktion STC01)?

Web Dynpro ABAP als Basis /default_host/sap/public/bc/ur

/default_host/sap/public/bc/icons

/default_host/sap/public/bc/icons_rtl

/default_host/sap/publi/bc/webicons

/default_host/sap/public/bc/picto­grams

ja

Startprogramm für Analysis /default_host/sap/bw/analysis ja

Modeling Tools (REST Services) /default_host/sap/bw/modeling ja

Workspace Designer /default_host/sap/bc/webdynpro/sap/rsl_ui_*

ja

Workspace Query Designer /default_host/sap/bc/ui5_ui5/sap/rsl_wqd

ja

SAP BW∕4HANA Master Data Mainte­nance

/default_host/sap/bc/webdynpro/sap/RSDMDM_MD_MAINTENANCE_APP

/default_host/sap/bc/webdynpro/sap/RSDMDM_MD_NEW_APP

ja

SAP BW∕4HANA Hierarchy Maintenance /default_host/sap/bc/webdynpro/sap/RSSHWDY_HIERARCHY_MAINT_APP

ja

UI-Building-Blocks für die Query-Anzeige /default_host/sap/bc/webdynpro/sap/fpm_bics_ovp

ja

REST-basierte Reporting-Schnittstelle /default_host/sap/bw/ina/* nein

/default_host/sap/bw/xml/soap/xmla nein

Web-Dynpro-basiertes Metadata Repo­sitory

/default_host/sap/bc/webdynpro/sap/rso_metadata_repository

nein

Sicherheitsleitfaden SAP BW∕4HANANetzwerk- und Kommunikationssicherheit P U B L I C ( Ö F F E N T L I C H ) 19

5 Sicherheit bei der Datenspeicherung

Datenspeicherung

Die Datenspeicherung in SAP BW∕4HANA erfolgt auf der Application-Server-Datenbank.

Wenn ein Endbenutzer die Auswertung der Daten über MS EXCEL vornimmt, können die Daten vom Endbenutzer auch lokal gespeichert werden. Der Endbenutzer hat sicherzustellen, dass keine unberechtigten Personen auf die lokal gespeicherten Daten zugreifen können.

Vor dem Zugriff durch unberechtigte Endbenutzer können Sie die Daten durch die Vergabe von Analyseberechtigungen schützen. In der Standardeinstellung sind die Daten nicht geschützt. Sie können aber die InfoObjects und Felder in SAP BW∕4HANA als berechtigungsrelevant kennzeichnen. Dann kann auf die Daten nur zugegriffen werden, wenn der Benutzer über die benötigten Berechtigungen verfügt.

Datenschutz

LOPD-Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen

Das spanische Datenschutzgesetz L ey O rgánica de P rotección de D atos de Carácter Personal (LOPD) macht Unternehmen Vorgaben für Verarbeitung, Speicherung und Umgang mit persönlichen Daten. Diese Vorgaben beinhalten die Protokollierung von Zugriffen auf hochsensible, persönlichen Daten. SAP BW∕4HANA stellt einen Menchanismus zur LOPD-Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen zur Verfügung. Weitere Informationen finden Sie im SAP-Hinweis 933441 .

20 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheit bei der Datenspeicherung

6 Sicherheitsrelevante Protokollierung und Tracing

Protokollierung von sicherheitsrelevanten Änderungen und Aktionen bzgl. Analyseberechtigungen

Folgende Tabellen stehen zur Protokollierung von sicherheitskritischen Änderungen und Aktionen bzgl. Analyseberechtigungen zur Verfügung:

RSUDOLOGDiese Tabelle enthält Protokollinformationen darüber, welcher Benutzer in der Verwaltung der Analyseberechtigungen für einen anderen Benutzer im Querymonitor (Transaktion RSRT) eine Query ausgeführt hat (oder auch eine andere Transaktion ausgeführt hat).

Weitere Informationen zur Ausführung von Transaktionen (insbesondere RSRT) mit einem anderen Benutzer finden Sie unter und Prüfung von Analyseberechtigungen als anderer Benutzer [Seite 11].

Die Protokolldaten umfassen insbesondere:

● Benutzernamen des Benutzers, der unter einem anderen Benutzernamen eine Transaktion ausgeführt hat● Benutzernamen des anderen Benutzers● Ausgeführte Transaktion● Kennzeichen zur Passwortabfrage● Kennzeichen zur Korrektheit des angegebenen Passworts● Session-ID● Zeitstempel

RSECVAL_CLDiese Tabelle enthält Protokollinformationen darüber, welche Werteberechtigungen geändert wurden. Die Protokolldaten umfassen insbesondere:

● Berechtigung, die geändert wurde● Merkmal, für das die Berechtigung geändert wurde● Objektversion des Merkmals● Session-ID● Zeitstempel der Änderung

RSECHIE_CLDiese Tabelle enthält Protokollinformationen darüber, welche Hierarchieberechtigungen geändert wurden. Die Protokolldaten umfassen insbesondere:

● Berechtigung, die geändert wurde● Merkmal, für das die Berechtigung geändert wurde● Objektversion des Merkmals● Hierarchie-spezifische Daten

Sicherheitsleitfaden SAP BW∕4HANASicherheitsrelevante Protokollierung und Tracing P U B L I C ( Ö F F E N T L I C H ) 21

● Session-ID● Zeitstempel der Änderung

RSECUSERAUTH_CL

Diese Tabelle enthält Protokollinformationen darüber, welchem Benutzer in der Verwaltung der Analyseberechtigungen welche Analyseberechtigung zugeordnet wurde.

Weitere Informationen zur Berechtigungszuordnung finden Sie unter

Die Protokolldaten umfassen insbesondere:

● Berechtigung● Benutzername, des Benutzers, dem die Berechtigung zugeordnet wurde● Zeitstempel● Session-ID

HinweisDie Änderungen an Werte- und Hierarchieberechtigungen sowie an Benutzer-Berechtigungszuordnungen können Sie auch über InfoProvider des technischen Content auswerten. Weitere Informationen finden Sie unter .

RSECTXT_CL

Diese Tabelle enthält Protokollinformationen darüber, welche Berechtigungstexte geändert wurden. Die Protokolldaten umfassen insbesondere:

● Berechtigung, die geändert wurde● Kurz-, Mittel-, Langtext der Berechtigung● Session-ID● Zeitstempel der Änderung.

RSECSESSION_CL

Diese Tabelle enthält Protokollinformationen darüber, welcher Benutzer in der Session aktiv war, inkl. Änderungsdatum und -Zeit. Über diese Tabelle erhalten Sie die Information darüber, welcher Benutzer Werte- oder Hierarchieberechtigungen oder Berechtigungstexte geändert hat.

Protokollierung von LOPD-relevanten Zugriffen im Rahmen von Reporting- und Planungsanwendungen

SAP BW∕4HANA stellt einen Menchanismus zur Protokollierung von Zugriffen im Rahmen von Reporting- und Planungsanwendungen zur Verfügung, die gemäß dem spanischen Datenschutzgesetz L ey O rgánica de P rotección de D atos de Carácter Personal (LOPD) sicherheitsrelevant sind. Weitere Informationen finden Sie im SAP-Hinweis 933441 .

22 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheitsrelevante Protokollierung und Tracing

7 Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse

In den folgenden Abschnitten werden die Sicherheitsaspekte erläutert, die Sie bei der Verwendung der Modellierungswerkzeuge für SAP BW∕4HANA berücksichtigen sollten.

Zielgruppe

● Systemadministratoren

Warum ist Sicherheit notwendig?

Der zunehmende Einsatz verteilter Systeme und des Internets zur Verwaltung von Geschäftsdaten führt auch zu steigenden Anforderungen an die Sicherheit. Bei einem verteilten System müssen Sie sicher sein, dass Ihre Daten und Prozesse die Anforderungen Ihres Unternehmens unterstützen, ohne unberechtigten Zugriff auf kritische Informationen zu ermöglichen. Benutzerfehler, Nachlässigkeit oder Manipulationsversuche am System dürfen nicht Informations- oder Verarbeitungszeitverluste nach sich ziehen. Diese Sicherheitsanforderungen gelten entsprechend auch für die Modellierungswerkzeuge in Eclipse. Um Sie bei der Absicherung der Modellierungswerkzeuge zu unterstützen, bieten wir die folgenden Informationen an.

Weitere Informationen

Benutzerauthentifizierung am Front-End Client [Seite 23]Berechtigungen für die Modellierung mit den Modellierungswerkzeugen [Seite 25]Schutz der Resources am Front-End Client [Seite 27]Installation von Drittanbieter-Plug-Ins [Seite 27]

7.1 Benutzerauthentifizierung am Front-End Client

In den Modellierungswerkzeugen arbeiten Sie immer mit BW-Projekten, um auf Metadatenobjekte aus dem Backend-System (SAP BW∕4HANA) zuzugreifen.

Ein BW-Projekt repräsentiert eine echte Systemverbindung am Front-End-Client und verlangt daher einen berechtigten Benutzer, um auf das Backend-System zugreifen zu können. Bei der Standard-

Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 23

Authentifizierungsmethode gibt der Benutzer am Front-End-Client Benutzernamen und Passwort ein, um sich im Backend-System anzumelden.

Risiken

Standard-Authentifizierung mit expliziter Angabe des Benutzernames und des Passworts bedeutet, dass die Benutzerdaten, die am Front-End-Client eingegeben werden, als Klartext in den Hauptspeicher des lokalen Hosts geladen werden. Ein Passwort, das lokal gespeichert wird, stellt eine potentielle Sicherheitslücke dar, weil es von Dritten aus dem Speicher extrahiert werden kann.

Sicherheitsmaßnahmen

Aus Sicherheitsgründen ist das Einschalten von Secure NetWork Communication (SNC) für die ausgewählte Systemverbindung verbindlich.

Verwenden Sie zusätzlich Single Sign-On (SSO). Im Vergleich zu SNC erfüllt SSO die Sicherheitsanforderungen beim Arbeiten mit BW-Projekten in größerem Umfang. Mit SSO muss der Benutzer für Authentifizierung keinen Benutzernamen und Passwort angeben, sondern kann direkt auf das System zugreifen, nachdem es das Anmeldeticket geprüft hat.

HinweisBeachten Sie, dass das Einrichten von SSO ein allgemeiner Konfigurationsschritt ist, der sich nicht von der Konfiguration für ABAP Development Tools unterscheidet. Wenn Sie für ABAP Development Tools SSO bereits in Ihrer Landschaft konfiguriert haben, ist für die Modellierungswerkzeuge keine weitere Konfiguration nötig.

Zusätzlich zu Anmeldetickets können AS-ABAP-Systeme beim Zugriff aus Systemservices auch die restriktiveren Authentifizierungszusicherungstickets (Assertion Tickets) ausstellen. Wenn Sie in den Modellierungswerkzeugen integrierte SAP-GUI-Anwendungen verwenden, ermöglichen Authentifizierungszusicherungstickets ein noch höheres Maß an Sicherheit. Anstatt nach dem Passwort zu fragen, prüft das Backend-System die Gültigkeit des Authentifizierungszusicherungstickets, um dem Benutzer den Zugriff aus Systemservices zu erlauben. Wir empfehlen Ihnen daher, Ihr AS-ABAP-System so zu konfigurieren, dass es nur Authentifizierungszusicherungstickets ausstellt.

Weitere Informationen

Weitere Informationen finden Sie im Installationsleitfaden für die BW-Modellierungswerkzeuge.

24 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse

7.2 Berechtigungen für die Modellierung mit den Modellierungswerkzeugen

Die Zuordnung von Berechtigungen zu Benutzern des Backend-Systems basiert auf Rollen, die im System vordefiniert werden. Dem Benutzer werden eine oder mehrere Rollen zugeordnet, die auf technischer Ebene wiederum auf Berechtigungsobjekten basieren.

Basisberechtigungen

Standardrolle

Die folgende Rolle wird für die Verwendung der Modellierungswerkzeuge benötigt. Falls die Rolle SAP_BC_DBW_ABAPDEVELOPER bereits einem Benutzer zugeordnet ist, enthält diese bereits die benötigten Berechtigungen.

Tabelle 8:

Rolle Beschreibung

SAP_BC_DWB_WBDISPLAY Rolle, die alle Berechtigungen enthält, um ABAP-Entwick­lungsobjekte anzuzeigen und zu durchsuchen

HinweisDie Benutzer dürfen ABAP-Entwicklungsobjekte nicht mo­difizieren.

Berechtigungsobjekt S_RFC

Die Modellierungswerkzeuge benötigen Remote-Zugriff zu den folgenden Funktionsbausteinen, die für das Berechtigungsobjekte S_RFC spezifiziert sind:

Tabelle 9:

Aktivität [ACTVT] Name des RFC-Objekts [RFC_NAME] RFC-Typ [RFC_TYPE]

16 (Ausführen) DDIF_FIELDINFO_GET

RFCPING

RFC_GET_FUNCTION_INTERFACE

SADT_REST_RFC_ENDPOINT

SUSR_USER_CHANGE_PASS­WORD_RFC

SYSTEM_RESET_RFC_SERVER

FUNC (Funktionsbaustein)

Berechtigungsobjekt S_TCODE

Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 25

Die Modellierungswerkzeuge müssen für die SAP-GUI-Integration in Eclipse bestimmte Transaktionen starten. Daher benötigen die Modellierungswerkzeuge Zugriff auf die folgenden Transaktionscodes, die im Berechtigungsobjekt S_TCODE spezifiziert sind:

● SADT_START_TCOD● SADT_START_WB_URI

Weitere Informationen finden Sie im SAP Community Network im Dokument Configuring the ABAP Back-end for ABAP Development Tools .

SAP BW∕4HANA-spezifische Rollen und Berechtigungen

Wenn Sie mit den Modellierungswerkzeugen arbeiten, können Sie nur die Objekte anzeigen oder öffnen, für die Sie mindestens Anzeigeberechtigung haben. Bei Aktionen auf Objekten in den Modellierungswerkzeugen werden dieselben Prüfungen durchgeführt wie wenn Sie die Aktionen im Backend-System oder in der Query durchführen. Wir empfehlen daher die folgende Rollenvorlage für Benutzer, die mit den Modellierungswerkzeugen arbeiten:

Tabelle 10:

Rollenvorlage Beschreibung

S_RS_RDEMO BW-Rolle: Modeler (Entwicklungssystem)

HinweisHinweis zu bestimmten Objekttypen:

Wenn das Berechtigungsobjekt das (Berechtigungs-)Feld "Teilobjekt für einen Objekttyp (TLOGO)" definiert hat, muss der Benutzer die Berechtigung * oder zumindest Definition haben, um das Objekt im Project-Explorer-Baum zu sehen.

Insbesondere benötigen Modellierer Berechtigungen, die in den folgenden Berechtigungsobjekten spezifiziert sind:

Tabelle 11:

Berechtigungsobjekt Beschreibung

S_RS_HCPR (SAP HANA CompositeProvider Berechtigungen) Berechtigungen für das Arbeiten mit CompositeProvidern und deren Teilobjekten

S_RS_ODSV (Open ODS View) Berechtigungen für das Arbeiten mit Open ODS Views

S_ADT_RES Berechtigungsobjekt für ADT-Ressourcenzugriff

Das Berechtigungsfeld URI muss den Wert /sap/bw/modeling/* haben.

HinweisDer Platzhalter "*" wird für die Unterordner der URI ver­wendet.

26 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse

7.3 Schutz der Resources am Front-End Client

In den Modellierungswerkzeugen stellt ein BW-Projekt eine benutzerspezifische Sicht auf die Metadatenobjekte des Backend-Systems (SAP BW∕4HANA) dar.

Wie alle Projekte in Eclipse haben auch BW-Projekte eine lokale Repräsentation ihrer Daten auf dem Front-End und werden in einem Workspace verwaltet. Wenn Sie also ein BW-Projekt haben, gibt es auch lokale Kopien der SAP BW∕4HANA-Metadatenobjekte auf dem Frontend. Dies bedeutet, dass auf die Metadaten auch außerhalb des SAP-Repositories auf der Ebene des lokalen Dateisystems zugegriffen werden kann.

Risiken

Die SAP BW∕4HANA-Metadatenobjekte können von Dritten ausfindig gemacht weren.

Sicherheitsmaßnahmen

Um lokale Projekt-Resources zu schützen, empfehlen wir, Workspace-Ordner für die lokale Ablage von Projekt-Resources so anzulegen, dass nicht von Dritten darauf zugegriffen werden kann. Verwenden Sie die Schutzmaßnahmen, die bereits auf Betriebssystemebene angeboten werden.

HinweisAuf Dateien, die unter Windows in der persönlichen Unterstruktur des Benutzers abgelegt sind, können nur der Benutzer selbst oder lokale Administratoren zugreifen.

TippInsbesondere empfehlen wir den Default-Workspace, der bei der Installation der integrierten Entwicklungsumgebung (IDE) angelegt wurde, zu verwenden.

7.4 Installation von Drittanbieter-Plug-Ins

Ihre Installation der Modellierungswerkzeuge kann durch zusätzliche Plug-Ins von verschiedenen Drittanbietern ergänzt werden.

Sicherheitsleitfaden SAP BW∕4HANASicherheitsaspekte für die Modellierungswerkzeuge in Eclipse P U B L I C ( Ö F F E N T L I C H ) 27

Risiken

Solche Plug-Ins können die Kontrolle über Ihre Client-Installation oder sogar über Ihren kompletten Front-End-PC übernehmen.

Sicherheitsmaßnahmen

Treffen Sie die Entscheidung darüber, welche Plug-Ins Sie installieren, sehr sorgfältig.

28 P U B L I C ( Ö F F E N T L I C H )Sicherheitsleitfaden SAP BW∕4HANA

Sicherheitsaspekte für die Modellierungswerkzeuge in Eclipse

Ausschlussklauseln und rechtliche Aspekte

Coding-BeispieleBei dem in der vorliegenden Dokumentation enthaltenen Quell- und/oder Objektcode für Software („Code“) handelt es sich ausschließlich um eine beispielhafte Darstellung. Dieser Code ist in keinem Fall für die Nutzung in einem produktiven System geeignet. Der Code dient ausschließlich dem Zweck, beispielhaft aufzuzeigen, wie Quelltext erstellt und gestaltet werden kann. SAP übernimmt keine Gewährleistung für die Funktionsfähigkeit, Richtigkeit und Vollständigkeit des hier abgebildeten Codes, und SAP übernimmt keine Haftung für Schäden, die durch die Nutzung des Codes entstehen, sofern solche Schäden nicht durch vorsätzliches oder grob fahrlässiges Verhalten der SAP verursacht wurden.

BarrierefreiheitDie in der Dokumentation der SAP-Bibliothek enthaltenen Informationen stellen Kriterien der Barrierefreiheit aus Sicht von SAP zum Zeitpunkt der Veröffentlichung dar und sollen keineswegs obligatorische Richtlinien sein, wie die Barrierefreiheit von Softwareprodukten zu gewährleisten ist. SAP lehnt insbesondere jede Haftung in Bezug auf dieses Dokument ab, (die nicht aus dem vorsätzlichen oder grob fahrlässigen Handeln der SAP resultieren), aus dem weder direkt noch indirekt irgendwelche vertraglichen Verpflichtungen entstehen.

Geschlechtsneutrale SpracheDie SAP-Dokumentation ist, sofern sprachlich möglich, geschlechtsneutral formuliert. Je nach Kontext wird die direkte Anrede mit „Sie“ oder ein geschlechtsneutrales Substantiv (wie z.B. „Fachkraft“ oder „Personentage“) verwendet. Wenn, um auf Personen beiderlei Geschlechts Bezug zu nehmen, die dritte Person Singular nicht vermieden werden kann oder es kein geschlechtsneutrales Substantiv gibt, wird aus Gründen der besseren Lesbarkeit durchgängig die männliche Form des Substantivs und des Pronomens verwendet. Hierdurch wird sichergestellt, dass die Dokumentation verständlich bleibt.

Internet-HyperlinksDie SAP-Dokumentation kann Hyperlinks auf das Internet enthalten. Diese Hyperlinks dienen lediglich als Hinweis auf ergänzende und weiterführende Dokumentation. SAP übernimmt keine Gewährleistung für die Verfügbarkeit oder Richtigkeit dieser ergänzenden Information oder deren Nutzbarkeit für einen bestimmten Zweck. SAP übernimmt keine Haftung für Schäden, die durch die Nutzung solcher Informationen verursacht werden, es sei denn, dass diese Schäden von SAP grob fahrlässig oder vorsätzlich verursacht wurden. Informationen zur Klassifizierung von Links finden Sie unter: http://help.sap.com/disclaimer).

Sicherheitsleitfaden SAP BW∕4HANAAusschlussklauseln und rechtliche Aspekte P U B L I C ( Ö F F E N T L I C H ) 29

go.sap.com/registration/contact.html

© 2017 SAP SE oder ein SAP-Konzernunternehmen Alle Rechte vorbehalten.Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP SE oder ein SAP-Konzernunternehmen nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.Die von SAP SE oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Produkte können länderspezifische Unterschiede aufweisen.Die vorliegenden Unterlagen werden von der SAP SE oder einem SAP-Konzernunternehmen bereitgestellt und dienen ausschließlich zu Informationszwecken. Die SAP SE oder ihre Konzernunternehmen übernehmen keinerlei Haftung oder Gewährleistung für Fehler oder Unvollständigkeiten in dieser Publikation. Die SAP SE oder ein SAP-Konzernunternehmen steht lediglich für Produkte und Dienstleistungen nach der Maßgabe ein, die in der Vereinbarung über die jeweiligen Produkte und Dienstleistungen ausdrücklich geregelt ist. Keine der hierin enthaltenen Informationen ist als zusätzliche Garantie zu interpretieren.SAP und andere in diesem Dokument erwähnte Produkte und Dienstleistungen von SAP sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP SE (oder von einem SAP-Konzernunternehmen) in Deutschland und verschiedenen anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen.Zusätzliche Informationen zur Marke und Vermerke finden Sie auf der Seite http://www.sap.com/corporate-de/legal/copyright/index.epx.