RÜCKFÜHRUNG VON MODIFIKATIONEN IN DEN SAP-STANDARD
Identifizierung teurer SQL-Anweisungen
Bei der Verwendung des Webbrowsers als GUI sollten Sie bei der Programmierung darauf achten, dass möglichst wenige Daten zwischen Präsentations- und Internetebene übertragen werden. Die Gefahr, dass durch die Generierung aufwendiger HTML-Seiten lange Netzwerklaufzeiten den Benutzer beeinträchtigen, ist deutlich größer als bei der Verwendung des klassischen SAP GUIs (das das SAP-eigene DIAG-Protokoll verwendet). Das Tuningpotenzial hängt stark vom verwendeten Programmiermodell ab. Wird die Internetebene als reine »Übersetzungsebene« zwischen Präsentations- und Applikationsebene verwendet (wie etwa beim SAP GUI for HTML), beschränkt sich das Optimierungspotenzial auf die Konfiguration. Je mehr Logik in die Internetebene verlagert wird (z. B. Feldprüfungen etc.), desto höher ist auch die Notwendigkeit der Programmanalyse auf der Internetebene.
Der SAP-Basis-Administrator programmiert SAP-Anwendungen und deren Struktur. Um die Funktionsfähigkeit von SAP-Anwendungen dauerhaft zu gewährleisten, muss er sie darüber hinaus regelmäßig warten.
Strukturierte Arbeit
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Im SQL-Trace werden allerdings die Pufferladevorgänge mitgeschrieben. Da man in der Regel im SQL-Trace nicht an der Aufzeichnung von Pufferladevorgängen interessiert ist, sollten Sie ein Programm zunächst einmal ohne Trace ausführen, sodass alle Puffer geladen werden (SAP-Puffer und Datenbankpuffer). Erst den zweiten Lauf sollten Sie per SQL-Trace protokollieren und auswerten.
Verwenden Sie "Shortcut for SAP Systems", um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
Welchen Programmen dies genehmigt wird, wird über die ACL-Datei reginfo gesteuert.
Dazu sind die oben beschriebenen Laufzeitprüfungen notwendig.