Alten Stand bearbeiten
Rollenzuordnung auf der Benutzerebene konsolidieren
Im SAP-Standard gibt es keine allgemein anwendbare Möglichkeit für die Automatisierung der Massenpflege von Rollenableitungen. Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management (BRM) von SAP Access Control 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar).
Das Objekt S_PROGRAM prüft seit SAP Release 2.x auf das Feld TRDIR-SECU also die Berechtigungsgruppe des Programms. Ab Release 7.40 können Sie optional eine Prüfung auf das Objekt S_PROGNAM einschalten. Weitere Informationen finden Sie in Hinweis 2272827 gibt hierzu weitere Anweisungen. Die Prüfung auf S_PROGNAM MUSS erst im Kundensystem aktiviert werden. Beachten Sie aber, dass sie S_PROGNAM vorher KORREKT berechtigen, da ansonsten nach Aktivierung des SACF Szenarios NIEMAND außer den Notfallbenutzern irgendeinen Report oder eine Reporttransaktion starten kann.
Anforderungen an ein Berechtigungskonzept umsetzen
Der Programmierer einer Funktionalität bestimmt, wo, wie oder ob überhaupt Berechtigungen geprüft werden sollen. Im Programm wird durch die Verwendung der entsprechenden Syntax ermittelt, ob der Benutzer eine ausreichende Berechtigung für eine bestimmte Aktivität hat, indem die im Programm vorgegebenen Feldwerte für das Berechtigungsobjekt mit den in den Berechtigungen des Benutzerstammsatzes enthaltenen Werten verglichen werden.
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Hierbei müssen Sie allerdings nicht alle Vorschlagswerte, die von SAP ausgeliefert werden, komplett überarbeiten.
Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen.