Die OpenSQL-Syntax umfasst einige Sprachelemente, welche nicht zur klassischen SQL-Syntax gehören. Diese werden von der Datenbankschnittstelle in die jeweilige native Syntax übersetzt. Hierbei wird die Art der Umwandlung von Profilparametern beeinflusst. Im Folgenden werden die Profilparameter und ihre Bedeutung bezüglich der FOR ALL ENTRIES-Anweisung (FAE) vorgestellt.

Profilparameter mit der RZ11-Transaktion bei OpenSQL

Die vorgestellten Profilparameter können über die Transaktion RZ11 mit den Werten 0, 1 und -1 belegt werden. Bei der Angabe von -1 wird in Abhängigkeit des Datenbanksystems mit der OpenSQL-Syntax ein Default-Wert verwendet. Diese wird unter „Aktueller Wert“ angezeigt.

Die Art der Umsetzung wird über die Parameter rsdb/prefer_union_all, rsdb/prefer_join und
rsdb/prefer_in_itab_opt gesteuert und lässt sich mit Hilfe des SQL-Trace (ST05) nachvollziehen.
Sind all diese Parameter mit Null gepflegt, wird die FAE-Anweisung für jede Tabellenzeile durch eine OR-Verknüpfung realisiert. Das heißt eine Abfrage der Form

SELECT ... FOR ALL ENTRIES IN lt_data WHERE val = lt_data-val.

wird in

SELECT ... WHERE val = lt_data[1]-val
OR lt_data[2]-val
OR ...
OR t_data[n]-val.

übersetzt. Hierbei entspricht lt_data[i]-val gerade dem zugehörigen Eintrag in der i-ten Zeile.

Ist der Parameter rsdb/prefer_union_all gesetzt, ergibt sich für das native Statement folgende Ausgabe:

SELECT ... WHERE  val = lt_data[1]-val UNION ALL
SELECT ... WHERE  val = lt_data[2]-val UNION ALL
....
SELECT ... WHERE  val = lt_data[n]-val.

Der Parameter rsdb/prefer_join erzeugt eine Abfrage, welche vergleichbar einem Join mit einer internen Tabelle ist und kann ab Kernelversion 7. 00 für die Datenbankplattformen DB6 (DB2 UDB) und „MS SQL Server“ sowie ab Kernelversion 7.10 für Oracle genutzt werden. Der Parameter übersteuert hierbei rsdb/prefer_union_all.

Bei Anweisungen, welche nur eine Bedingung an die FAE-Tabelle stellen, kommt der Parameter rsdb/prefer_in_itab_opt zum Tragen. Er erzeugt ein SQL-Statement der Form

SELECT ... WHERE val IN ( lt_data[1]-val, lt_data[2]-val, ...,  lt_data[n]-val ).

und übersteuert ggf. die vorhergehenden Parameter.

Weitere Parameter

Neben den Parametern für die Beschreibung der Umsetzung stehen noch weitere Parameter zur Einschränkung der Größe der SQL-Anweisung zur Verfügung. Diese geben die maximale Anzahl der zu verarbeitenden Zeilen aus der Treibertabelle an. Überschreitet die Tabelle diese Grenze, werden entsprechend mehre SQL-Statements erzeugt und nach der Verarbeitung zusammengefasst. Dies dient zum einem der optimierten Abfrage, da zum Beispiel einige Datenbanksystem ab einer bestimmten Anzahl an OR-Verknüpfungen einen Full-Table-Scan durchführen anstatt auf einen Index zurückzugreifen. Andererseits schützt es vor einem zu großem SQL-Query-String (anhängig von der zugrundeliegenden Datenbank), welcher zu einem Laufzeitfehler (DBSQL_STMNT_TOO_LARGE) führt. Dieser tritt zum Beispiel bei der Verwendung sehr großer Range-Tabellen in der WHERE-Abfrage auf.

Die Parameter lauten rsdb/max_blocking_factor (OR, UNION, JOIN) bzw. rsdb/max_in_blocking_factor (IN). Ab Kernelversion 7.20 steht darüber hinaus noch der optionale Parameter rsdb/max_union_blocking_factor (UNION) zur Verfügung.

Parameter zur Performanceoptimierung

In Abhängigkeit von der Datenbank kann zur Performanceoptimierung noch der Parameter rsdb/prefer_fix_blocking gesetzt werden. Dieser bewirkt, dass bei der Blockbildung der SQL-Abfragen das letzte Statement mit identischen Bedingungen bis zu maximal Anzahl aufgefüllt wird. Diese werden von Datenbank selbst ignoriert, können aber im SAP-Cursor-Cache durch die einheitliche Blockgröße zu einer erhöhten Performance führen. Neben der oben erwähnten maximalen Blockgröße kann noch eine zweite alternative Blockgröße über die Parameter rsdb/min_blocking_factor, rsdb/min_in_blocking_factor und rsdb/min_union_blocking_factor (ab 7.20) gesetzt werden. Ist also das Verwenden einer festen Blockgröße eingestellt, wird die SQL-Abfrage zur maximalen oder ggf. minimalen Blockgröße aufgefüllt.

Hier noch einmal alle Profilparameter der OpenSQL-Syntax im Überblick:

Im Normalfall bedarf es keiner Anpassung der Parameter, da sie über die Default-Werte optimal an das jeweilige Datenbanksystem angepasst sind. Das Verständnis hilft jedoch bei der Performanceoptimierung vom Datenbankabfragen.

Ihre Erfahrung mit OpenSQL

Wie sind Ihre Erfahrungen zu dem Setzen von Datenbankspezifischen Profilparametern?

The post OpenSQL: Profilparameter des SELECT FOR ALL ENTRIES-Befehls appeared first on rz10.de - die SAP Basis und Security Experten.

Wenn wir neue Berechtigungskonzepte bei Kunden einführen, gibt es auch immer das Thema: Wie geht man eigentlich mit dem Customizing um? Die gesamte SPRO zu berechtigen ist keine sonderlich gute Lösung, vor allem wenn es nur ein paar laufende Einstellungen zu ändern gilt. Nun ist das Dilemma, dass in der SPRO oft Pflegeviews angesprungen werden – und die dahinterliegende Tabelle oder Transaktion nicht offensichtlich ist. Dazu kommt, dass Transaktionen wie SM30 und SA38 nicht mehr in der Produktion an Endbenutzer vergeben sein sollten.

SAP SPRO IMG: Einfach erklärt

In diesem kurzen Video zeige ich einmal exemplarisch, wie man eine SAP SPRO IMG Aktivität analysiert und wie man dazu eine passende Parametertransaktion erstellt. Um das Beispiel nachzubauen: Die verwendenten Transaktionen sind SPRO, SM30 und SE93. Die erstellte Transaktion kann dann einen selbstgewählten Namen haben.

Hat Ihnen das Video weitergeholfen? Was haben Sie für Erfahrungen mit der Umwandlung von SPRO-IMG Aktivitäten gemacht? Ich freue mich über Ihr Feedback.

The post SAP SPRO IMG Aktivität in Transaktion umwandeln (Screencast) appeared first on rz10.de - die SAP Basis und Security Experten.

Die 3. Phase zur Erstellung der Marktstudie zum Thema 3rd Party Tools wurde jetzt abgeschlossen (Ursprünglicher Blogpost, Update 1).

In der 3. Phase ging es um die Auswertung der gesammelten Daten und die Erstellung der Marktstudie. Es wurden 288 Teilnehmer ausgewertet, Aussagen kategorisiert und Statistiken erstellt.

Das Ergebnis kann sich sehen lassen. Auf über 150 Seiten werden Fragen zu folgenden Themen ausgewertet:

• Analyse kritischer Berechtigungen/Zugriffsrechte
• Regelbasis
• Lifecycle- & Workflow-Funktionen
• Role-Modeling-Funktionen
• Integration von SAP und Nicht-SAP-Anwendungen
• Zertifizierung und Bescheinigungs Funktionen
• Privilege-Management-Funktionen
• Systemsicherheits Funktionen

Beispielhafte Auswertungen

Ein Berechtigungskonzept kann nur mit der nötigen Disziplin dem Unternehmen einen Vorteil bringen. Es nützt keinem Unternehmen etwas, wenn nach der Einführung eines neuen Berechtigungskonzeptes trotzdem kritische Transaktionen (sei es nur durch Unwissenheit), wie z.B. die SE16 oder PFCG, vergeben werden. Diese Vergabe verwässert das Konzept und führt in häufigen Fällen zu einem baldigen Redesign. Diese Gefahr kann mit Hilfe von Tools stark reduziert werden.

Der manuelle Rollenbau ist Zeit- und somit kostspielig. Viele Unternehmen haben mit dem manuellen Rollenbau schlechte Erfahrungen gemacht und setzen aus diesem Grund ein 3rd Party Tool ein, das ihnen diese Aufgabe erleichtert.

Im Schnitt werden 9800€ pro Jahr für eingesetzte 3rd Party Tools ausgegeben. Nicht immer ist das teuerste SAP Berechtigungstool auch das Beste, denn viele Tools bieten zu viel Funktionalität, die im späteren produktiven Einsatz nicht verwendet wird.

Das Ergebnis wird, wie erwartet, Anfang Q4 zur Verfügung stehen. Sie können sich hier die Marktstudie zum Thema 3rd Party Tools reservieren:
http://studie-sap-berechtigungs-tools.de/

Kontaktieren Sie mich: Telefon 0175 1983262 oder per E-Mail funk@mindsquare.de Wünschen Sie schon jetzt Einsicht in die Ergebnisse? Melden Sie sich bei mir und ich werde Ihnen gerne eine Vorabversion zur Verfügung stellen. Lukas Funk Business Development Manager

The post Update 2 – Marktstudie: 3rd Party Tools zur Überprüfung von Berechtigungen innerhalb von SAP appeared first on rz10.de - die SAP Basis und Security Experten.

SAP hat kürzlich die Version 7.5 von SAP NetWeaver veröffentlicht. NetWeaver 7.5 ist hierbei die Nachfolgeversion zu dem 2013 veröffentlichten NetWeaver 7.4. Dabei dient NetWeaver 7.5 als Grundlage für beim Kunden betriebene (on-premise) SAP Lösungen, insbesondere für die SAP Business Suite (mit SAP ERP EHP 8) und SAP S/4HANA. Doch welche Neuerungen bringt die neue SAP NetWeaver Version mit sich?

Das ausschließlich in einer Unicode Variante verfügbare NetWeaver 7.5 unterstützt Java 8 und ermöglicht somit die Verwendung javabasierter Hubs von SAP (z.B. Enterprise Portal, Process Orchestration, Business Process Management). Unter der Haube wurden viele Optimierungen für HANA vorgenommen und der Big Data Support verbessert.

Im Bereich des SAP Enterprise Portals standen vor allem die Themen S/4 HANA Integration, Cloud Services sowie User Experience im Fokus. Es wurden hierbei viele alte Tools und Funktionen entsorgt. Ein Beispiel hierfür ist, dass künftig statt dem Theme Editor nur noch der UI Theme Designer verwendet werden sollte. Weitere obsolete Versionen sind in der SAP Note 2204286 – Obsolete Funktionen in SAP Enterprise Portal aufgeführt. Zu den neuen Themen im Bereich Fiori hat mein Kollege Ingo Biermann einen lesenswerten Blogbeitrag verfasst. Auch über die Wahl der passenden Version des SAP Portals finden Sie einen aktuellen Beitrag von ihm.

Aktualisierungen im Application Stack ABAP

SAP NetWeaver 7.5 AS ABAP unterstützt Industrie 4.0 Szenarios, indem die direkte Kommunikation mit Sensoren und Maschinen über nativen TCP/IP Support in ABAP über ABAP Channels ermöglicht wird. Die ereignisgesteuerten ABAP Channels ergänzen dabei das Request-Response-Kommunikationssystem durch ein ereignisgesteuertes Konzept mit Push-Nachrichten. Entwickler können nun beliebige auf TCP basierende Channel definieren (stateful oder stateless) und somit eine verbesserte Kommunikation im Bereich des Internet of Things ermöglichen.

Der AS ABAP wurde zudem für die Unterstützung von SAP HANA weiter optimiert. So ist mit den Core Data Services (CDS) ein Framework verfügbar, mit dem Entwickler komplexe Datenmodelle direkt auf der Datenbankebene erstellen können. ABAP Programme greifen dann über CDS-Views auf die verarbeiteten Daten zu. Auch im Bereich Open SQL gibt es neue Tabellenfunktionen, neue SQL Funktionen und weitere Neuerungen zur nahtlosen Integration von CDS und AMDP.

Auch die Sprache ABAP hat eine Überarbeitung erfahren. Sie wurde hierbei weiter modernisiert und vereinfacht. ABAP 7.50 ist hierbei das erste Release von ABAP, was ausschließlich Unicode unterstützt. Somit konnten sämtliche nicht-Unicode Teile entfernt werden, was nicht zuletzt in einer aufgeräumteren Dokumentation resultiert.

Mit ABAP 7.50 neu eingeführt wurde zum Beispiel der neue Datentyp INT8 (8-byte Integer), der Integer Zahlen von -9223372036854775808 bis +922337203854775807 ermöglicht. Nach langem Fordern der Community wurde nun mit ABAP 7.50 nun auch der schon aus anderen Programmiersprachen bekannte Befehl „IS INSTANCE OF“ eingeführt. Somit muss nun, um die Übereinstimmung mit einem bestimmten Typ zu prüfen, nicht mehr per TRY / CATCH operiert werden. Sogar in CASE Blöcken ist die Funktionalität von IS INSTANCE OF nutzbar (CASE TYPE OF … WHEN TYPE …). Eine (englischsprachige) Übersicht der vielen weiteren Neuerungen finden Sie beispielsweise in diesem SCN Blog Post.

Eine aktualisierte Entwicklungsumgebung

Das NetWeaver Developer Studio wurde aktualisiert und basiert nun auf Eclipse Version 4.4. Auch hier wird Java 8 voll unterstützt. Auch für die ABAP Entwickler gibt es gute Nachrichten: Die ABAP Development Tools (ADT) 2.51 wurden veröffentlicht und bringen viele neue Funktionen für die ABAP Entwicklung unter Eclipse. So können nun beispielsweise Getter und Setter automatisch generiert werden. Auch Datenelemente und Dictionary Strukturen können ab sofort auch in Eclipse statt mit der SE11 bearbeitet werden. Eine Auflistung der neuen Funktionen finden Sie z.B. in diesem Blog Post.

Weitere Neuerungen der neuen SAP NetWeaver Version 7.5 werden von der SAP nach und nach in diesem offiziellen SAP Dokument veröffentlicht.

Wie sind Ihre Erwartungen an die nächste Version des SAP NetWeaver? Planen Sie schon einen Umstieg? Ich freue mich auf Ihre Kommentare!

The post SAP NetWeaver 7.5 – Was ist neu? appeared first on rz10.de - die SAP Basis und Security Experten.

Oft ist es zur Eingrenzung der Fehlersuche hilfreich, die SAP Kernel Version eines bestimmten SAP Systems herauszufinden. Hierfür gibt es bei SAP-Systemen mehrere unterschiedliche Methoden, die aktuell verwendete Kernel-Version herauszufinden.

1. Über die Kommandozeile

Geben Sie auf der Kommandozeile des Betriebssystems den Befehl „disp+work -v“ ein. Die Datei liegt im Pfad \usr\sap\SID\SYS\exe\uc\NTAMD64 (oder ähnlich, je nach Systemart). Die Ausgabe kann sehr lang sein, daher kann es sich empfehlen, diese seitenweise anzeigen zu lassen oder in eine Datei ausgeben zu lassen. Unter Windows könnte dies zum Beispiel mit dem Befehl „disp+work -v > version.txt“ realisiert werden:

2. Über die Dateieigenschaften

Wenn es sich um ein Windows-System handelt, kann die SAP Kernel Version auch über die Eigenschaften der diwp+work.exe entnommen werden:

3. Über die SAP Gui

In der SAP Gui kann die Kernelversion über das Menü „System -> Status -> SAP Kernelversion“ abgerufen werden:

4. Über die Transaktion SM51

Auch die Transaktion SM51 bietet über die Release-Informationen die Möglichkeit, die Kernel Version anzuzeigen.

Kennen Sie noch weitere Methoden, um die SAP Kernel Version anzeigen zu lassen? Ich freue mich auf Ihre Kommentare!

The post SAP Kernel Version herausfinden appeared first on rz10.de - die SAP Basis und Security Experten.

Sie haben das ganze Jahr 2016 über unsere Blogbeiträge auf RZ10.de rund um das Thema SAP Basis und Security verfolgt und wir konnten Ihnen mit unseren Hilfestellungen weiterhelfen?

Als Dankeschön für Ihre Treue haben wir jetzt alle Fachbeiträge als eBook SAP Basis und Security – Sammlung 2016/2017 zusammengestellt.

Jeden Tag stellen wir uns mit Freude neuen Herausforderungen in Projekten und Kundensituationen. Daraus entstehen jeden Tag neue Ideen, Lösungsansätze und Wissen, welches wir natürlich weiter geben möchten. 2016/2017 schrieben unsere Experten wieder viele Fachartikel rund um das Thema SAP Basis & Security, in denen wir unser Wissen mit Ihnen geteilt haben.

Das dies der richtige Weg ist, zeigt uns eine große Anzahl von treuen Lesern unserer Beiträge und wir freuen uns immer wieder über so viel positives Feedback. Als Dankeschön bieten wir Ihnen ab sofort die Möglichkeit ausgewählte Fachartikel in Form eines kostenlosen E-Books herunterzuladen.

Download: E-Book SAP Basis und Security

Auszug aus dem Inhaltsverzeichnis

ABAP-Webservices mit dem SOA-Manager anlegen ………………………………… 4
Abfrage von mehreren SAP Tabellen über den Quickviewer …………………………. 13
ADT Back-End-Konfiguration (ABAP Development Tools) ……………………………. 17
Abgebrochene Verbuchungssätze löschen – SM13 ………………………………… 21
Anmeldesprache für SAP Dialogbenutzer festlegen ……………………………….. 26
ANST – Werkzeug für die automatisierte Hinweissuche …………………………….. 30
Ausplanen eines eingeplanten Importauftrags …………………………………… 37
Authentifizierung und Verschlüsselung beim E-Mail-Versand ………………………… 41
Automatische Prüfung für SAP Sicherheitshinweise ……………………………….. 43
Benutzerstammsätze exportieren und importieren ……………………………….. 46
Betriebssystembefehle via Transaktion ausführen ………………………………… 51
Betriebssyteminformationen aus dem SAP heraus analysieren ………………………. 60
brbackup Fehler: ORA-01149 cannot shutdown – file 1 has online backup set ……………. 63
CCMS-Alerts per E-Mail erhalten …………………………………………….. 66
Datenbankgröße wird im EarlyWatchAlert und DBACOCKPIT nicht angezeigt …………….. 74
Download von SAP Sprachpaketen …………………………………………… 76
Dumps nach Abbruch der SPAM ……………………………………………… 78
Fehler „unable to save the local file information“ im SAP Download Manager …………….. 80
Fehler bei der Einrichtung von SSO zum Portal mit SPNEGO …………………………. 82
Fehler beim BI_CONT einspielen: Quellsystem existiert nicht ………………………… 84
Fehler beim Registrieren des saprouter Dienstes …………………………………. 86
Fehler im Upgrade auf EHP1 ……………………………………………….. 88
Fehler: Issuer of SSO ticket is not authorized bzw. SSO logon not possible ………………. 90
Fehleranalyse bei Startproblemen der J2EE …………………………………….. 95
Gefährlicher Profilparameter auth/object_disabling_active ………………………….. 96
Google Chrome Extension – SAP Any Search …………………………………….. 98
[…]

RZ10-Autoren

	Eiko Wagenknecht, B.Sc. Wirtschaftsinformatik Technologieberatung & Entwicklung im SAP Umfeld in den Bereichen SAP Berechtigungen und SAP Basis
	Timo Eckhardt, B.Sc. Wirtschaftsinformatik Technologieberatung und Entwicklung im SAP Netweaver Umfeld
	Jan Immilla, B. Sc. Wirtschaftsinformatik Technologieberatung & Entwicklung im SAP Umfeld in den Bereichen SAP Berechtigungen & SAP Security
	Daniel Alisch, B. Sc. Wirtschaftsinformatik Technologie & Entwicklung im SAP Umfeld in den Bereichen SAP Berechtigungen & SAP Basis
	Dominik Busse, B.Sc. Wirtschaftsinformatik Technologieberatung & Entwicklung im SAP Umfeld in den Bereichen SAP Berechtigungen & SAP Basis
	Silvia Scholer, M.Sc. Wirtschaftsinformatik Technologieberatung & Entwicklung im SAP Umfeld in den Bereichen SAP Solution Manager & SAP Security
	Tobias Harmes, B.Sc. Informatik Technologieberatung im SAP Umfeld in den Bereichen SAP Berechtigungen, SAP Security & SAP Solution Manager
	Andre Tenbuß, B.Sc. Wirtschaftsinformatik Technologieberatung & Entwicklung im SAP Umfeld in den Bereiche SAP Security, Governance, Risk & Compliance

The post Kostenloses E-Book SAP Basis und Security – Sammlung 2016/2017 appeared first on rz10.de - die SAP Basis und Security Experten.

SAP Versionsinformationen der SAP GUI

Warum ist ein Update der SAP GUI Version notwendig?

Wie bei anderer Software auch werden über die Zeit Sicherheitslücken bekannt, die in Updates behoben werden.
So war es in der Vergangenheit in einer älteren SAP GUI Version z.B. möglich, die Session eines Kollegen „zu klauen“ und damit im System weiter zu agieren.

Problem

Der SAP Standard sieht keine Möglichkeit zur Auswertung der SAP GUI Version inkl. Patchlevel vor.

Lösung

In meinen Recherchen bin ich auf den SAP Hinweis 748424 gestoßen. Dieser enthält entsprechende Beispielimplementierungen zweier Reports, die die SAP GUI Version auslesen und die entsprechenden Ergebnisse anzeigen.

Bei den Reports handelt es sich lediglich um Beispielimplementierungen, die eigentlich nicht für den produktiven Einsatz gedacht sind, da diese eine unzureichende Datenbankimplementierung aufweisen. Die Speicherung der Daten ist leider nicht sonderlich performant, lässt sich aber vertreten unter der Prämisse, dass die Daten regelmäßig gelöscht werden.

Der Hinweis kann einfach über die SNOTE eingespielt werden. Anschließend stehen die beiden Reports SAPGUI_VERSION und SAPGUI_VERSION_REPORT zur Verfügung.
Die Reports sind der Note auch angehängt, und könnten so direkt in ein Z-Programm kopiert werden.

Der Report SAPGUI_VERSION kann dann im Exit EXIT_SAPLSUSF_001 aufgerufen werden. Dieses Exit wird immer dann ausgeführt, wenn sich ein Nutzer am System anmeldet. Somit wird bei jedem Login die entsprechende Version protokolliert.

Um den Report aufzurufen, öffnen Sie den Funktionsbaustein EXIT_SAPLSUSF_001 über die Transaktion SE37. In dem Funktionsbaustein befindet sich ein Z-Include, das Sie ohne Modifikationsschlüssel bearbeiten können. Mit dem ABAP Code ‚SUBMIT <<<REPORTNAME>>>.‘ können Sie den Report aufrufen.
Die Datensätze, die durch den Report erstellt werden, werden allerdings nicht überschrieben, wenn der Nutzer sich am nächsten Tag wieder anmeldet, sodass relativ viele Daten zusammen kommen.

Welche Daten werden gesammelt?

Terminal-ID, User-ID, SAP GUI-Version und Patchlevel.

Die Daten können einfach über den Report SAPGUI_VERSION_REPORT angezeigt werden.
In einem Testszenario mit ca. 2500 aktiven Dialogbenutzern pro Tag wurden etwa 40KB erzeugt.

Verfolgen Sie einen anderen Lösungsansatz, um die Kontrolle über die Softwareversionen zu halten? Nutzen Sie vielleicht diesen Report bereits und haben schon Rückmeldungen zur Datenmenge? Ich freue mich über Ihre Kommentare!

The post Ihre SAP GUI Versionen ermitteln appeared first on rz10.de - die SAP Basis und Security Experten.

Sie möchten das Szenario Verwaltung von kundeneigenen Entwicklungen (CCLM) im SAP Solution Manager konfigurieren(SOLMAN_SETUP) und erhalten gleich zu Beginn des Setups bei der automatischen Aktivität MDX-Parser prüfen den Status fehlerhaft?

In dieser automatischen Aktivität wurde geprüft, ob der MDX-Parser funktioniert. Beim MDX-Parser handelt es sich um eine lokale RFC-Destination, die in Transaktion SM59 zu finden ist. Weitere Informationen dazu enthält der SAP-Hinweis 1032461.

RFC-Verbindungstest durchführen

Zuerst führen Sie einen RFC-Verbindungstest in der Transaktion SM59 aus, um zu überprüfen, ob ein Verbindungsaufbau aktuell möglich ist.
Die RFC-Verbindung MDX Parser ist unter den TCP/IP-Verbindungen zu finden.
Sollte der Verbindungstest zu einem Timeout-Error wie in Abbildung ersichtlich führen, führen Sie die im nächsten Abschnitt beschriebenen Schritte durch.
Im Reiter Unicode sollte die Kommunikationsart mit dem Zielsystem als non-unicode definiert sein.
Die Kommunikation zwischen ABAP und MDX Parser findet binär statt und der MDX Parser arbeitet intern mit UTF-8. Daher gibt es keine spezielle UNICODE Version des MDX Parsers und somit wird die aktuelle NON-UNICODE RFC Bibliothek benötigt.

Einspielen der aktuellen RFC-Bibliothek librfc32.dll

Als nächtes wird überprüft, ob die RFC-Bibliothek librfc32.dll in den folgenden SAP-Verzeichnissen vorhanden ist.
• \usr\sap\SID\SYS\exe\UC\NTAMD64
• \usr\sap\SID\DVEBMGS00\exe

Ist dies nicht der Fall, muss diese Datei in beide Verzeichnisse kopiert werden. Wenn Ihnen die hierfür benötigten Berechtigungen fehlen, wenden Sie sich an Ihren SAP-Basisadministrator.
Die aktuelle Version der benötigten Datei ist im Downloadcenter des SAP Supports im Bereich SAP-Kernel zu finden. Es ist hierbei darauf zu achten, in den NON-UNICODE Bereich des Kernels zu navigieren.
Haben Sie die RFC-Bibliothek in die benannten Verzeichnisse Ihres Systems kopiert, gehen Sie zurück in die Konfiguration des Solution Managers (SOLMAN_SETUP) und starten Sie die automatische Aktivität MDX-Parser prüfen erneut. Der MDX-Parser sollte nun verfügbar sein.

Ihre Meinung

Welche Erfahrungen haben Sie mit der Konfiguration von MDX-Parser im Solution Manager gemacht?
Kontaktieren Sie mich gerne direkt oder hinterlassen Sie einen Kommentar unter dem Beitrag.
Ich freue mich auf Ihr Feedback.

The post SAP Solution Manager – „MDX Parser funktioniert nicht“ appeared first on rz10.de - die SAP Basis und Security Experten.

Als Fachbereichsleiter und Experte für SAP Basis und SAP Security lerne ich viele unterschiedliche Themen bei meinen Kunden kennen. Manchmal sind es neue Themen – doch oft sind es auch Themen, die durch Erfahrung und den Einsatz der richtigen Mittel viel leichter zu bewältigen sind, als man es sich vorher vorgestellt (und zu hoffen gewagt) hat.

Am 20.September bis 22. September 2016 bin ich in Nürnberg auf dem DSAG Jahreskongress und biete für angemeldete Teilnehmer dort eine kostenlose Beraterstunde an. Bringen Sie Ihre Themen mit – wir reden darüber.

Beispielhaft einige Themen, die wir aktuell in Kundenprojekten umsetzen:

• Optimierung der Berechtigungen von RFC-Schnittstellenbenutzern
• Design von Identity Management-kompatiblen SAP Berechtigungen um Betriebskosten zu senken
• Auswahl und Einführung von Berechtigungstools
• Durchführung von SAP Security Checks zur Überprüfung der SAP Sicherheit und Identifizierung von Verbesserungspotenzialen
• Neueinführung eines SAP Solution Managers inklusive Nutzungsausbau für Testmanagement
• Berechtigungsoptimierung nach Updates/Upgrades (Support Packages, EHPs,…)

Gerne reserviere ich Ihnen einen der Terminslots. Dann können wir uns ganz nach Ihrem Bedarf eine Stunde zusammensetzen.

Dienstag, 20.09.2015

• 08:00 – 09:00 Uhr
• 09:00 – 10:00 Uhr
• 10:00 – 11:00 Uhr
• 11:15 – 12:15 Uhr
• 14:45 – 15:45 Uhr
• 17:45 – 18:45 Uhr
• 18:45 – 19:45 Uhr

Mittwoch, 21.09.2016

• 08:00 – 09:00 Uhr
• 09:00 – 10:00 Uhr
• 10:00 – 11:00 Uhr
• 11:15 – 12:15 Uhr
• 12:15 – 13:15 Uhr
• 14:45 – 15:45 Uhr

Donnerstag, 22.09.2016

• 09:00 – 10:00 Uhr
• 12:15 – 13:15 Uhr
• 13:30 – 14:30 Uhr
• 14:45 – 15:45 Uhr

Wenn Sie es also einrichten können – ich freue mich auf Ihre Rückmeldung. Sollte es Ihnen nur außerhalb dieser Zeiten möglich sein sich mit uns in Kontakt zu setzen sprechen Sie mich einfach an. Senden Sie mir einfach eine kurze Anmeldung per E-Mail an harmes@rz10.de oder rufen Sie an unter 0211 946 285 72-25

Ich freue mich darauf, Sie auf dem DSAG Jahreskongress am 20.September bis 22. September 2016 begrüßen zu dürfen.

The post Treffen Sie Tobias Harmes auf dem DSAG Jahreskongress 2016 appeared first on rz10.de - die SAP Basis und Security Experten.

Im Sommer 2015 haben wir von RZ10 eine erste umfassende Marktstudie zu Tools für Berechtigungen in SAP veröffentlicht, die einen Überblick über den Funktionsumfang und die Leistungsstärke der verschiedenen Tools gab. Die Studie erfreute sich großer Beliebtheit und die Ergebnisse erwiesen sich für viele Unternehmen als hilfreich. Jetzt arbeiten wir an einer Neuauflage der Studie, die die Weiterentwicklung bewährter Tools und neue Software berücksichtigt.

Im Rahmen meiner Bachelorarbeit in Zusammenarbeit mit einer deutschen Universität werde ich die Marktstudie zu SAP Berechtigungstools neu auflegen. Welche Tools im SAP Berechtigungsumfeld sind bei Unternehmen besonders beliebt und welche Funktionalitäten werden genutzt? Die Studie wird hier einen Einblick geben.

Ein besonderer Fokus wird auf der Frage liegen, wie stark und unter welchen Umständen sich der Einsatz eines Tools im Sinne einer spürbaren Aufwandsersparnis für die Unternehmen lohnt.

Wir möchten Sie herzlich einladen, an unserer Befragung für die Studie teilzunehmen! Durch Ihre Antworten können Sie entscheidend dazu beitragen, dass unsere Marktstudie auf einem umfassenden Einblick basiert. Jede Antwort trägt zu genaueren Ergebnissen bei.

Als Dankeschön für Ihre Teilnahme stellen wir Ihnen nach Abschluss der Auswertung unsere aufbereiteten Ergebnisse bereit. Zusätzlich können Sie an einem Event teilnehmen, bei dem wir die Ergebnisse präsentieren und ausführlich diskutieren können.

Hier können Sie an der Befragung teilnehmen oder die Ergebnisse reservieren: https://rz10.de/marktstudie-sap-berechtigungs-tools/

Die Teilnahme dauert nur etwa 5-10 Minuten. Natürlich werden Ihre Antworten nur in anonymisierter Form in die Marktstudie einfließen.

Danke für Ihre Unterstützung!

Haben Sie Fragen oder Anmerkungen? Zögern Sie nicht und fragen Sie mich persönlich. Sie erreichen mich per E-Mail an krueger@mindsquare.de
Gerne können Sie mir im Kommentarbereich auch einen Kommentar hinterlassen.

The post Neuauflage: Marktstudie SAP Berechtigungstools appeared first on rz10.de - die SAP Basis und Security Experten.

Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag.

Altlasten des SAP Systems

Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann.

Tabellenabzug USR02

Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH.

Risiken durch schwache Passwort-Hashes

Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich.

Prüfen Sie, ob auch Ihr System angreifbar ist

Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt.

Profilparameter login/password_downwards_compatibility

Der Standardwert des Profilparameters ist 1, sodass die schwachen Hashes für jeden Benutzer generiert werden.

Erzeugung schwacher Passwort-Hashes verhindern

Die Generierung der unsicheren Hashwerte kann unterbunden werden, indem der Profilparameter login/password_downwards_compatibility auf den Wert 0 gesetzt wird.
Beachten Sie, dass eine Änderung erst durch einen Neustart der Instanz wirksam wird!

Schwache Passwort-Hashes aus dem System entfernen

Lediglich den Profilparameter zu aktualisieren bringt Ihnen noch nicht die nötige Sicherheit. In Ihrer Datenbank befinden sich immer noch zahlreiche schwache Hashwerte, die zum Angriff auf Ihr System verwendet werden können. Diese müssen vollständig aus der Datenbank entfernt werden. Dazu verwenden Sie den Report CLEANUP_PASSWORD_HASH_VALUES.

Rufen Sie dazu die Transaktion SA38 auf und geben den Namen des Reports in das Eingabefeld ein. Durch den Ausführen-Button oder F8 wird das Programm ausgeführt und Ihre Datenbank bereinigt

Report CLEANUP_PASSWORD_HASH_VALUES

Dieses Programm entfernt Mandanten-übergreifend die veralteten Hashwerte.

Haben Sie bereits Erfahrungen mit dieser Angriffsmethode gemacht oder weitere Anmerkungen zu diesem Thema? Teilen Sie uns Ihre Erfahrungen in Form eines Kommentars unter diesem Artikel mit.

The post SAP Passwort in weniger als 24 Stunden entschlüsseln appeared first on rz10.de - die SAP Basis und Security Experten.

Im Bereich der SAP Basis-Administration gibt es viele Aufgaben, welche in langen aber unregelmäßigen Abständen anfallen, wie beispielsweise das Anpassen der Systemänderbarkeit. Dadurch fehlt häufig das Know-How und es wird schnell zur nächsten Suchmaschine gegriffen, wo lange und teilweise unvollständige Foreneinträge die Suche nach dem richtigen Vorgehen noch mehr erschweren. Aus diesem Grund werde ich zukünftig regelmäßig wiederkehrende Aufgaben aus der SAP Basis-Administration für Sie in einfachen Tutorials festhalten. Den Start wird dieser Blogbeitrag zum Thema Systemänderbarkeit und Mandantensteuerung machen. Falls Sie direkt zu einer Schritt-für-Schritt-Anleitung springen wollen, scrollen Sie einfach nach ganz unten, dort habe ich alles einmal zusammengefasst.

Systemänderbarkeit – Was ist das?

Mit der Systemänderbarkeit lässt sich einstellen, welche Objekte des Repositories und des mandantenunabhängigen Customizings änderbar sind oder nicht. Repository-Objekte können zusätzlich noch weiter angepasst werden, und zwar in Bezug auf die Software-Komponente und den Namensraum. Sie können jeweils einstellen, ob ein Objekt änderbar, eingeschränkt änderbar oder nicht änderbar sein soll. Eingeschränkt änderbar heißt in diesem Zusammenhang, dass Repository-Objekte nur als nicht-Originale angelegt werden können (kleiner Hinweis: für Pakete ist die Einstellung „eingeschränkt änderbar“ und „änderbar“ identisch in der Funktion). Kommen wir nun zum direkten Vorgehen zur Umstellung der Systemänderbarkeit.

Systemänderbarkeit ändern

Als Vorbereitung sollten Sie abklären, wie lange die Änderbarkeit in Ihrem System stattfinden soll. Ich habe bei meinen Kunden die Erfahrung gemacht, dass es häufig gewünscht ist, das System für bestimmte Aufgaben aus den Fachbereichen nur zeitweise auf „änderbar“ zu stellen. Sofern Sie dies organisiert haben, rufen Sie im 000-Mandanten die Transaktion SE06 auf und klicken Sie auf den Button „Systemänderbarkeit“. Sollten Sie keine Berechtigungen für diese Transaktion haben, können Sie es alternativ entweder mit der Transaktion SE03 –> Systemänderbarkeit oder über die Transaktion SE09 -> Springen -> Transport Organizer Tools -> Systemänderbarkeit (unter „Administration“) versuchen. Folgender Screenshot zeigt den Weg über die SE03:

Hier können Sie je nach Anfrage die gewünschten Namensräume und Softwarekomponenten umstellen. Als kleiner Tipp: Über den Menü-Reiter „Springen“ können Sie alle Namensräume oder Softwarekomponenten gleichzeitig auf „änderbar“ oder „nicht änderbar“ setzen. Bevor Sie allerdings die Namensräume und Softwarekomponenten umstellen können, müssen Sie die globale Einstellung auch entsprechend anpassen. Unter Speichern oder mit STRG+S können nun noch Ihre neuen Einstellungen sichern und schon haben Sie die Systemänderbarkeit eingestellt.

Die Mandantensteuerung

Die Systemänderbarkeit hat allerdings keinen Einfluss auf mandantenabhängige Customizing-Änderungen. Falls Sie die Änderbarkeit von mandantenabhängigen Customizing-Änderungen einstellen wollen, müssen Sie die Mandantensteuerung aufsuchen. Diese erreichen Sie entweder bei der Systemänderbarkeit über den Button „Mandantensteuerung“ oder indem Sie die Tabelle T000 über die Transaktion SM30 aufrufen.

Wenn Sie sich nun in der Auflistung der Mandanten befinden, können Sie mit einem Doppelklick auf die jeweilige Zeile in die Einstellungen des jeweiligen Mandanten springen. Hier können Sie auch die jeweilig gewünschten Einstellungen vornehmen und anschließend speichern.

Schritt-für-Schritt Anleitungen

Systemänderbarkeit (mandantenunabhängige Customizing-Einstellungen und Repository-Objekte)

1. Rufen Sie die SE06 auf und klicken Sie auf „Systemänderbarkeit“.
2. Stellen Sie die gewünschten Objekte und die globale Einstellung je nach Anforderung ein.
3. Speichern Sie die Änderungen.

Mandantensteuerung (mandantenabhängige Customizing-Einstellungen)

1. Rufen Sie die Tabelle T000 in der SM30 auf.
2. Machen Sie einen Doppelklick auf den gewünschten Mandanten.
3. Ändern Sie hier die Einstellungen je nach Anforderung.
4. Speichern Sie Ihre Änderungen.

Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen. Zukünftig plane ich noch mehr Tasks aus dem SAP Basis-Bereich hier näher zu erläutern. Gibt es aus Ihrer Sicht Themen, über die Sie gerne eine Anleitung bei uns lesen würden? Lassen Sie es mich in den Kommentaren wissen!

The post Systemänderbarkeit und Mandantensteuerung in einem SAP-System appeared first on rz10.de - die SAP Basis und Security Experten.

Transportaufträge von einer Systemlinie in eine andere zu transportieren oder Transportaufträge von Drittanbietern in das SAP-System zu importieren gehört auch zu den gelegentlichen Aufgaben eines SAP-Basis-Administrators. Wie schon in meinem letzten Blogbeitrag zur Systemänderbarkeit möchte ich Ihnen hier eine Möglichkeit bieten, dieses Thema schnell abrufbar darzubieten. Somit finden Sie am Ende wieder eine Schritt-für-Schritt Anleitung, welche Sie befolgen können, wenn Sie das Thema schon inhaltlich verstanden haben, aber nur die Schritte benötigen.

Was sind die Voraussetzungen?

Zu Transportaufträgen gehören zwei Dateien, welche als „data“ und „cofiles“ betitelt sind. Diese Dateien bestehen aus einer sechsstelligen alphanumerischen  Kombination und einer Dateiendung, welche häufig das System darstellt, aus welchem die Dateien exportiert wurden. Hierbei ist das erste Zeichen immer ein K (die cofiles-Datei) oder ein R (die data-Datei).

Für unser Beispiel nennen wir die Dateien einmal K12345.DEV und R12345.DEV. Diese Dateien werden natürlich für einen Import in das eigene SAP-System benötigt.

Weiterhin benötigen Sie Zugang zu dem Filesystem bzw. den SAP-Verzeichnissen, da sie die oben genannten Dateien dort manuell einfügen müssen. Zusätzlich dazu wird die Transaktion STMS im SAP-System benötigt, da sie dort die Transportaufträge an die Importqueue anhängen.

Wenn Sie dies nun alles zur Verfügung haben, können wir mit dem Import starten:

Wie ist das Vorgehen?

Vorbereitung auf Betriebssystemebene.

Im ersten Schritt müssen die Dateien in das Transportverzeichnis des SAP-System kopiert werden. Dieses liegt normalerweise unter /usr/sap/trans, kann aber je nach System auch individuell geändert werden. Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter „DIR_TRANS“ angegeben ist. Dies ist das richtige Verzeichnis in dem wir arbeiten wollen.

Hier werden nun die vorhandenen Dateien hineinkopiert und zwar die cofiles-Datei (K12345.DEV) in den cofiles-Ordner (/usr/sap/trans/cofiles) und die data-Datei (R12345.DEV) in den data-Ordner (/usr/sap/trans/data).

Hinweis: Gerade bei Unternehmen mit mehreren Systemen auf mehreren Servern müssen in diesem Fall noch die Zugriffsberechtigungen und der Datei-Owner geändert werden, sodass der Import im Zielsystem keine Probleme macht.

Der Dataowner sollte der <sid>adm des Zielsystems sein, den können Sie (in der Unix-Konsole) mit „chown <sid>adm K12345.DEV“ ändern (respektive R12345.DEV für die data-Datei).

Um die Zugriffsberechtigungen zu ändern, können Sie den Befehl „chmod 664 K12345.DEV“ benutzen.

Transportaufträge im SAP-System anhängen

Sobald dies geschehen ist, können Sie die Transportaufträge in Ihrem SAP-System an die Importqueue anhängen. Dies geschieht, indem Sie über die STMS -> Importübersicht (F5) sich die Importqueues anzeigen lassen. Hier wählen Sie mit einem Doppelklick die Importqueue des Zielsystems aus.

Danach bekommen Sie unter „Zusätze“->“Weitere Aufträge“->“Anhängen“ ein Popup, mit dem Sie die Transportaufträge an die Importqueue anhängen können.

In dem aufkommenden Popup müssen Sie den genauen Transportauftrag benennen. Der richtige Name dafür bildet sich wie folgt: Die ersten drei Zeichen sind die Datei-Endung der beiden Dateien, welche Sie in das Transportverzeichnis kopiert haben. Die letzten Zeichen setzen sich aus dem Dateinamen der cofiles-Datei zusammen.

Bei unserem Beispieltransport würde der Transport also „DEVK12345″ genannt werden (Abzuleiten aus der cofiles-Datei K12345.DEV)

Das dürfte nun eine positive Meldung vom SAP zurückgeben und der Transport ist an die Importqueue angehängt. Nun können Sie diesen Transport wie jeden gewöhnlichen Transportauftrag in das System importieren.

Schritt-für-Schritt Zusammenfassung

• Cofiles/data-Datei in das Transportverzeichnis kopieren
  • Normalerweise /usr/sap/trans, falls nicht –> AL11 -> DIR_TRANS
• Dateiowner und Zugriffsrechte anpassen
  • chown <sid>adm <Datei>
  • chmod 664 <Datei>
• Im SAP-System: STMS -> Importübersicht -> Importqueue auswählen -> Zusätze -> Weitere Aufträge -> Anhängen
• Transportaufträge eingeben (<Dateiendung><Name der cofiles-Datei>)

Ich hoffe, ich konnte Ihnen mit diesem kleinen Tutorial weiterhelfen, lassen Sie es mich wissen!

Zukünftig werde ich weiterhin sporadisch auftretende Aufgaben eines SAP-Basis-Administrators als kleine Tutorials als Blogbeitrag verfassen, haben Sie eventuell einen Wunsch für das nächste Thema?

The post Externe Transportaufträge in ein SAP-System importieren appeared first on rz10.de - die SAP Basis und Security Experten.

Was kann man als Administrator für SAP Basis tun, um das SAP System hinsichtlich Cloud-Lösungen zukunftssicher und effizient auszubauen? Gibt es überhaupt noch eine Aufgabe in Zukunft? Ich denke schon. Für viele allerdings anders als bisher.

Die Basis des SAP Systems

Die SAP Basis – der Name sagt es schon – ist Fundament eines jeden SAP Systems und zugleich auch der Spitzname der Mannschaft, die das System am Laufen hält. Die SAP Basis ist auch das Bindeglied der SAP-Landschaft im Unternehmen. Hier laufen die verschiedenen Geschäftsprozesse wie Fertigung, Logistik und Kundenmanagement zusammen – alles auf dem gleichen Kernsystem. Als System-Administrator fungiert die SAP Basis als Fundament für alle laufenden Prozesse in der IT eines Unternehmens. Aber nicht nur die Ausführung dieser Prozesse läuft hier zusammen. Es werden Berechtigungen und Zugriffsrechte verteilt, Installationen und Konfigurationen organisiert, aber auch alle Strukturen der Datensicherung und Leistungsoptimierung gehandhabt.

Die Cloud – Zukunft der SAP Basis?

Zurzeit wird in Deutschland der Betrieb von SAP in den meisten Unternehmen On-Premise gelöst. Doch was passiert, wenn die SAP-Landschaft in eine Cloud umzieht? Der Betrieb von IT Systemen in der Cloud wird für viele Unternehmen zunehmend attraktiver. Ende 2018 meldete SAP mehr Umsatz mit der Cloud als mit traditioneller Software.

SAP Umsatz on-premise vs. Cloud (von der SAP Connect 2018)

Was heißt das für SAP Basis Administratoren? Meine Beobachtung: Die Migration von On-Premise zu Cloud wird häufig von einem externen Dienstleister durchgeführt. Und dieser übernimmt dann oft auch den Betrieb – sprich das was vorher die „SAP Basis“ war. Auch die SAP-Cloud-Instanzen liegen dann in der Verantwortung des jeweiligen Partners. Gehen SAP Basis Administratoren in der IT vor Ort dann leer aus? Werden sie nicht mehr benötigt?

Nicht unbedingt. Denn eine Cloud-only Lösung ist nur in wenigen Fällen realistisch. Viele Unternehmen benötigen ein hybrides Modell, bei dem einige SAP-Anwendungen und Datenbanken lokal bleiben und andere in eine Cloud migrieren. Obwohl die Cloud viele Vorteile bringt, ist der Aufwand an Zeit, Budget und personellen Ressourcen für einen kompletten Umzug der SAP-Landschaft oft mühsam. Zusätzlich gibt es Faktoren – im Bereich Compliance, Datenschutz und Sicherheit – die es bestimmten Workloads und Prozessen (noch) nicht ermöglichen, dass diese in der Cloud liegen. Und wer ein Unternehmen abseits der Großstadt auf dem Lande betreut, kann schon aus Verfügbarkeitsgründen nicht komplett in die Cloud gehen.

Ist das nicht die alte „Outsourcing oder nicht“-Debatte?

Für die Geschäftsführung mag es zunächst unerheblich sein, ob die Administration der SAP Basis inhouse oder outgesourct stattfindet. Wenn die Cloud schon bei einem Dienstleister liegt, scheint es womöglich einleuchtend, wenn man die Administration ebenfalls abgibt. Der Clou dabei: „Man erkennt erst den Wert von etwas, wenn man es nicht mehr hat“ – das gilt in dieser Situation eben auch für SAP-Basis-Administratoren. Diese fühlen sich für den stabilen und sicheren Betrieb des SAP Systems nämlich maßgeblich verantwortlich. Änderungen und Anforderungen sind vielleicht ressourcentechnisch schneller in der Cloud buchbar – aber die Integration der neuen Ressourcen benötigt trotzdem Fachpersonal. Und spätestens beim Troubleshooting entfällt bei der externen Cloud die Möglichkeit „mal eben rüberzugehen“. Da kann die Fachkenntnis der Administratoren in vielen Fällen hilfreich sein. Sie haben einen Überblick der Systemprotokolle und können durch ihre Betriebskenntnis unterscheiden, ob es sich um einen unwesentlichen Fehler oder ein komplexeres Problem handelt. Bei einer hybriden Umsetzung mit einem Teil in der Cloud und dem anderen On-Premise ist diese Fachkenntnis umso mehr gefordert.

Kurz: es ist tatsächlich ein wenig wie damals beim Hype zum Thema Outsourcen. Und deshalb auch die gleiche Erkenntnis wie bei vielen Outsourcing-Projekten: Man wird die Themen nie ganz los, die man dort rausgibt. Wenn man dann keinen Admin seines Vertrauens hat, muss man abhängig von seinen Service Level Agreements auch mal ein paar Stunden auf die Sanduhr schauen. Das ist für viele nicht tragbar.

Was SAP Basis Administratoren können müssen

Als SAP-Basis-Administrator gilt unbedingt: up to date bleiben. Im Cloud-Zeitalter müssen die Architektur und das Konzept im Kontext einer hybriden SAP-Landschaft bekannt sein. Ein SAP Basis und Cloud Computing-Administrator weiß, was es für Möglichkeiten mit den Cloud-Angeboten von SAP gibt und macht sich Gedanken darüber, was für sein Unternehmen erforderlich ist und wie es implementiert werden kann. Konkret sollte also ermittelt werden können, welche Hard-/Software und Cloud Assets benötigt werden und vom wem die Implementierung vorgenommen und gepflegt wird.
Wer jetzt über hybride Lösungen nachdenkt, der darf den Speiseplan mitgestalten und muss nicht essen, was jemand anderes für ihn gekocht hat. Wenn Prozesse und Daten teilweise lokal, teilweise in der Cloud laufen, muss eine effiziente und nutzerfreundliche Verarbeitung geschaffen werden.

Viele Themen müssen neu geregelt werden: Zum Beispiel die Benutzerverwaltung. Admins verteilen Rollen- und Zugriffsrechte. Bei einer hybriden Lösung gibt es effektiv zwei Einheiten von Benutzerrollen zu verwalten. Gibt es keinen Mitarbeiter, der über die Berechtigungsverwaltung verfügt, kann das zu unangenehmen Situationen führen. Im Worst Case haben ehemalige Mitarbeiter noch Zugriff auf Applikationen in der Cloud. Sicherheit hat oberste Priorität. Ein Notfallmanagement mit der Cloud ermöglicht es, bei Pannen und Ausfällen auf eine Cloud-Instanz zuzugreifen. Um das aber zu ermöglichen, ist ein gewisses Knowhow elementar, um eine Cloud-basierte Backup- und Restore-Umgebung zu schaffen und diese dann auch zu pflegen.

Es gibt eine schöne Handlungsempfehlung „SAP Basis von morgen“ von 2016, die schon viele Aspekte dieser Neu-Orientierung der Basis anspricht. Dazu zählen Aspekte wie Skills und Rollen, Marketing und Selbstverständnis, neue Technologien und Innovation, Organisation im Wandel, Standardisierung und Automatisierung, Cloud-readiness, Outsourcing und Outtasking und IT-Roadmap – inklusive ausführlicher Erläuterungen zu deren Nutzen, Konsequenzen sowie Empfehlungen. Diese Handlungsempfehlung lege ich jedem SAP Basis Administrator sehr ans Herz.

Fazit: Macht euch zu Experten!

Expertise gewinnt. Mit der wachsenden Beliebtheit von hybriden SAP-Landschaften in der Unternehmenswelt steigen zwar die Herausforderungen, aber auch die Möglichkeiten für SAP Basis Administratoren. Der erste Schritt ist ja der Schwerste, sofort loslegen kann man zum Beispiel beim Kurs SAP Cloud Platform Essentials.

Interessant? Mehr auf RZ10.

Die Aufrechterhaltung der Verfügbarkeit kritischer Geschäftsprozesse erfordert nicht nur eine hochwertige Infrastruktur, sondern stellt aufgrund der hohen Komplexität ebenso hohe Anforderungen an das Management und den Betrieb der darunter liegenden SAP NetWeaver und SAP HANA Plattform. Diese Plattformen werden oft als SAP Basis bezeichnet.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 600 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

E-Book SAP Basis

×

Definition

Die SAP Basis ist für den reibungslosen Betrieb der Programme im SAP-System zuständig. Sie wirkt für R/3 und folgende Releases einschließlich S/4HANA wie ein Betriebssystem. Jedes Betriebssystem bietet eine Umgebung, in der Programme ausgeführt werden können, wie beispielsweise MS-Office auf Microsoft Windows. Genauso bietet das SAP Basis-System mit der NetWeaver– und HANA-Plattform eine Umgebung, in der die SAP-Programme laufen können. In diesem Zusammenhang setzt die NetWeaver-Plattform selbst auf Server-Betriebssysteme wie Windows und Linux auf.

Aufbau der SAP Basis

Die SAP Basis ist in Form eines Drei-Schichten-Modells aufgebaut und besteht aus folgenden Komponenten:

• Datenbankschicht
• Applikationsschicht
• Präsentationssicht

Datenbankschicht

Die Datenbankschicht dient zur Ablage aller Unternehmensdaten und besteht aus dem Datenbank-Management-System (DBMS) und den Daten selbst. In jedem NetWeaver-System gibt es einen Datenbankserver, auf dem sich die SAP Datenbank befindet. Sie stellt allen anderen Anwendungen die notwendigen Daten zur Verfügung. Die Daten sind dabei nicht nur Datentabellen, sondern auch Anwendungen, Systemsteuertabellen und Benutzerdaten. Alle Basis-Komponenten sorgen dafür, dass der Anwender einen schnellen und zuverlässigen Zugriff auf diese Daten bekommt.

Applikationsschicht

Den Kern des Drei-Schichten-Modells bildet die Applikations- oder auch Anwendungsschicht. Diese besteht aus einem oder mehreren Applikationsservern und einem Message-Server. Unternehmen nutzen den Applikationsserver zur Bereitstellung von Diensten für den Betrieb von Anwendungen im SAP. Der Message-Server dient als „Vermittler“ zwischen den Applikationen und Diensten, indem er beispielsweise die Kommunikation der einzelnen Applikationsservern untereinander steuert und die Auslastung der Anwendungsserver festlegt. Weiterhin werden in der Applikationssicht die Daten für die User so aufbereitet, sodass dieser die Daten in der Präsentationsschicht visuell aufrufen kann. Gleichzeitig werden die Daten der User an die Datenbank weitergeleitet.

Präsentationsschicht

Die Präsentationssicht dient zur Visualisierung der Anwendungen und Daten für den User. Die Darstellung erfolgt mithilfe einer grafischen Oberfläche, die auch als Grafical User Interface (GUI) bezeichnet wird. Des Weiteren besteht die Präsentationssicht aus mehreren Bausteinen, die auch als SAP GUI zusammengefasst werden. SAP Fiori ist die Präsentationsschicht der nachfolgenden Generation und somit besonders anwenderfreundlich.

Administration

In jedem Unternehmen mit einem SAP-System gibt es jemanden, der die Verantwortung für die SAP Basis trägt. Diese Person sorgt für den störungsfreien Betrieb des SAP-Systems. Sie begleitet Wartungsarbeiten und greift bei besonderen Situationen, wie zum Beispiel schlechter Performance, ein. Auch für Unternehmen, die den Betrieb der Basis an einen externen Dienstleister übergeben, ergeben sich an dieser Stelle oft noch Aufgaben aus dem Umfeld der Benutzer und des Berechtigungsmanagements.

Relevanz von SAP Basis

SAP Basis ist außerdem als Modul BC oder auch als Applikation Basis bekannt. Mit SAP Basis sind diesbezüglich alle Transaktionen, Programme und Objekte gemeint, die die Funktionen des Gesamtsystems steuern. Dazu gehören unter anderem die Benutzer- und die Berechtigungsverwaltung sowie die Konfigurationen von Schnittstellen über RFC.

Jedes SAP-System entwickelt sich über viele Jahre hinweg. Es wächst und verändert sich mit dem Unternehmen. Je mehr Funktionen darin abgebildet und je mehr Daten gespeichert werden, desto größer ist der Stellenwert und die Abhängigkeit von diesem zentralen ERP System. Eine einheitliche SAP-Basis-Lösung gibt es nicht. Diese entsteht individuell mit Bezug zum Unternehmen.

Wenn sämtliche Finanz- und Vertriebsaktivitäten sowie Produktion, Logistik und die Personaladministratoren über ein System laufen, müssen Maßnahmen getroffen werden, um einerseits das Funktionieren verlässlich sicherzustellen und andererseits das System nach innen und außen zu schützen. Durch die lange Historie stimmen die gestiegenen Verfügbarkeitsanforderungen oft nicht mit den tatsächlichen Schutzmaßnahmen überein, sodass sich an dieser Stelle häufig Sicherheitsrisiken ergeben.

Die wachsende Anzahl an installierten Komponenten – wie z. B. SAP BW, SCM, SRM, PI/PO – und über Schnittstellen integrierte Systeme – RFC, WebServices – erhöhen die gestellten Anforderungen weiter.

SAP NetWeaver – Pflege und Wartung

Damit die Vorteile von SAP NetWeaver als Integrationsplattform voll ausgespielt werden können, ist die professionelle Pflege und Wartung der Komponenten durch versierte SAP-Entwickler unabdingbar. Nur unter diesen Umständen kann der IT-Betrieb den gestellten Anforderungen gerecht werden und schnell, flexibel, innovativ sowie kostengünstig arbeiten.

Zu den typischen Aufgaben der Systembetreuung und Administration einer SAP-Landschaft gehören unter anderem:

• SAP Performance Optimierung
• Konfiguration sowie Wartung und Backup
• Pflege und Transport von Anwendungs- und Systemmodifikationen
• Konfiguration und Pflege aller Peripherieeinheiten
• System Retirement

Technische Umsetzung und typische Werkzeuge im SAP Basis Umfeld

Der SAP-Basis-Betrieb verwaltet die dem SAP-System zugrundeliegende IT. Außerdem sichert der Betrieb die Aufrechterhaltung und Verfügbarkeit von Geschäftsprozessen. Hierfür können verschiedene Tools verwendet werden, die die Wartung, Pflege, Konfiguration sowie das Monitoring des SAP-Systems übernehmen. Der Basis-Betrieb ist dabei die Voraussetzung, damit das SAP-System in vollem Umfang betriebsbereit ist und die Geschäftsprozesse gut abdeckt.

Zu den typischen Werkzeugen im SAP-Basis-Umfeld gehören:

• SPAM/SAINT – die in ABAP integrierten Update Tools
• SUM – der Software Update Manager, das relativ neue Tool zum „Fernsteuern“ der bekannten Update-Transaktionen von außerhalb des Systems, für ABAP und JAVA
• SWPM – der Software Provisioning Manager integriert die klassischen Tools wie sapinst, ehpup, etc. für die Wartung/Installation von SAP-Systemen
• SolMan – der Solution Manager übernimmt die Überwachung des Systemzustandes und ermöglicht ein zentrales Anwendungsmanagement

Die SAP Basis ist der Grundstein Ihres SAP Systems und Ausfälle können zu erheblichen und ärgerlichen Problemen führen. Für Unterstützung beim Aufbau und Ausbau der SAP Basis hilft der SAP Berater für Basis. Zertifizierte SAP Berater ermöglichen zugeschnittene Lösungen für jede Unternehmenslandschaft.

Fazit und Ausblick

Die Aufgaben der eigenen SAP-Basis-Abteilung wandeln sich bei vielen Unternehmen gerade enorm, da auch die SAP immer mehr auf Cloud Services setzt. Strategisch werden komplett selbst gehostete SAP-Systeme seltener und der Anteil der Kunden, die ein SAP-System aus der Cloud nutzen, steigt. Die neuen Rollen der SAP-Basis-Mitarbeiter sind eher „Möglichmacher“ und Koordinatoren zwischen Cloud-Anbieter und der internen IT sowie den Fachbereichen. Bis es so weit ist, können Unternehmen auch auf externe Dienstleister zurückgreifen, die für die Übergangszeit Experten-Knowhow sowie Betriebsunterstützung bieten.

FAQ zu SAP Basis

Was ist SAP Basis?

Die SAP Basis ist für den reibungslosen Betrieb der Programme im SAP-System zuständig. Sie wirkt für R/3 und folgende Releases einschließlich S/4HANA wie ein Betriebssystem. Jedes Betriebssystem bietet eine Umgebung, in der Programme ausgeführt werden können, wie beispielsweise MS-Office auf Microsoft Windows.

Wie ist die SAP Basis aufgebaut?

Die SAP Basis ist durch ein Drei-Schichten-Modell gekennzeichnet und besteht aus folgenden Schichten:

• Datenbankschicht
• Applikationssicht
• Präsentationsschicht

Wie relevant ist SAP Basis?

Jedes SAP-System entwickelt sich über viele Jahre hinweg. Es wächst und verändert sich mit dem Unternehmen. Je mehr Funktionen darin abgebildet und je mehr Daten gespeichert werden, desto größer der Stellenwert und die Abhängigkeit von diesem zentralen ERP System. Eine einheitliche SAP-Basis-Lösung gibt es nicht. Diese entsteht individuell mit Bezug zum Unternehmen.

Weiterführende Informationen

• Was ist SAP Basis? 
• SAP Basis
• SAP Basis im Gesamtsystem

Interessant? Mehr auf RZ10.