M 4.265 Sichere Konfiguration der Batch-Verarbeitung im SAP System
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Im Rahmen der Hintergrundverarbeitung (Batch-Verarbeitung) werden in der Regel Abläufe (Batch-Jobs) automatisiert durchgeführt. Zusätzlich können Arbeiten zeitgesteuert ausgeführt werden. Folgendes ist bei der Konfiguration zu bedenken:
- Batch-Jobs werden über die Transaktion SM36 gesteuert. Auf diese Transaktion sollten nur berechtigte Batch-Administratoren Zugriff besitzen.
- Über die folgenden Berechtigungsobjekte erfolgt die Verwaltung der Batch-Verarbeitung. Die Vergabe der Berechtigungen ist generell über das Berechtigungskonzept zu regeln.
- Die Ausprägung des Berechtigungsobjektes S_BTCH_ADM mit Wert "Y" ermöglicht Vollzugriff auf die Batch-Administration.
Es ist zu beachten, dass keine weiteren Einschränkungen erfolgen können. Ein Benutzer mit dieser Berechtigung kann immer alle Verwaltungsoperationen ausführen und darf nur an wenige Administratoren (z. B. Batch-Verwalter, Stellvertreter) vergeben werden. - Die Ausprägung des Berechtigungsobjektes S_BTCH_JOB mit Wert "LIST" ermöglicht es einem Batch-Verwalter, die von Batch-Jobs erzeugten Spool-Aufträge anzuzeigen. Da darin die Ausgabedaten des Batch-Jobs enthalten sind, muss im Rahmen des Berechtigungskonzeptes entschieden werden, unter welchen Umständen und durch wen diese Berechtigung verwendet werden darf.
- Benutzer können immer - ohne besondere Berechtigungen besitzen zu müssen - eigene Jobs erzeugen und verwalten. Folgende Berechtigungsobjekte können für spezielle Operationen verwendet werden, die ohne die Berechtigung nicht möglich sind:
- S_BTCH_JOB: Erlaubt je nach Wert-Einstellung Folgendes:
- Wert "DELE": Jobs anderer Benutzer löschen
- Wert "LIST": Spool-Aufträge anzeigen
- Wert "PROT": Job-Protokolle ansehen, auch für andere Benutzer
- Wert "SHOW": Job-Details anzeigen
- Wert "RELE": Jobs anderer Benutzer freigeben
- S_BTCH_NAM: Ein Benutzer kann Batch-Jobs unter den Berechtigungen eines anderen Benutzers ausführen. Die Benutzer, unter denen der Batch-Job ausgeführt werden kann, sind in der Berechtigung anzugeben. Die Vergabe der Berechtigung ist unter Sicherheitsgesichtspunkten als kritisch zu betrachten und nur für Batch-Administratoren sinnvoll, um beispielsweise Batch-Jobs unter technischen Benutzern ablaufen zu lassen.
- S_BTCH_JOB: Erlaubt je nach Wert-Einstellung Folgendes:
- Die Ausprägung des Berechtigungsobjektes S_BTCH_ADM mit Wert "Y" ermöglicht Vollzugriff auf die Batch-Administration.
- Da die Batch-Verarbeitung im Hintergrund und automatisiert erfolgt, findet sie in der Regel unbemerkt statt. Auswirkungen, hervorgerufen durch unautorisierte Veränderungen an der Batch-Verarbeitung, können daher längere Zeit unbemerkt bleiben. Eine restriktive Berechtigungsvergabe ist daher notwendig.
- Die Hintergrund-Verarbeitung wird in der Regel unter den Berechtigungen des Benutzers durchgeführt, der einen Batch-Job erzeugt. Insofern greifen die konfigurierten Berechtigungen des Benutzers.
- Werden Batch-Jobs unter den Berechtigungen technischer Benutzer ausgeführt, so sind die Berechtigungen der technischen Benutzer zu beschränken. Es empfiehlt sich nicht, einen technischen Batch-Benutzer mit dem Profil SAP_ALL auszustatten.
- Der Zugriff auf die Verwaltung der Batch-Verarbeitung sollte nur für die berechtigten Administratoren möglich sein.
- Durch die Batch-Verarbeitung kann Last auf einem SAP System erzeugt werden. Es muss daher entschieden werden, ob normale Benutzer Batch-Jobs starten dürfen oder ob diese durch den Batch-Administrator freigegeben und eingeplant werden, nachdem der Batch-Job vom Benutzer erzeugt wurde.
Hinweise zu SAP Dokumentationen zur Batch-Verarbeitung finden sich in M 2.346 Nutzung der SAP Dokumentation.
Prüffragen:
-
Haben nur berechtige SAP Administratoren Zugriff auf die Transaktion SM36, um Batch Jobs zu steuern?
-
Haben nur die notwendigen SAP Administratoren Vollzugriff auf die Batch-Administration?
-
Ist im Rahmen des Berechtigungskonzeptes festgelegt, welche Batch-Verwalter die Berechtigung haben, die von Batch-Jobs erzeugten Spool-Aufträge anzuzeigen?
-
Haben nur Batch-Administratoren die Berechtigung, einen Batch-Job unter den Berechtigungen eines anderen Benutzers auszuführen?
-
Haben nur berechtigte SAP Administratoren Zugriff auf die Verwaltung der Batch-Verarbeitung?