Anzeigen sensibler Daten
Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
In diesem Artikel zeige ich Dir mit welcher Transaktion man einfach und schnell den Berechtigungstrace in SAP ERP bzw. SAP S/4HANA ausführt. Das angezeigte Ergebnis liefert eine gute Übersicht über die involvierten Berechtigungen. In diesem Zuge können bestehende Rollen und Profile im Berechtigungsmanagement (Transaktion PFCG) erweitert werden. Zudem hinaus ist der Berechtigungstrace für die Pflege von Berechtigungsvorschlagswerten (Transaktionen SU22 und SU24) nützlich.
Durch die Konfigurationsvalidierung erhalten Sie einen Überblick über die Homogenität Ihrer Systemlandschaft. Typische Kriterien sind die Betriebssystemversionen, der Kernel-Patch-Level und der Status von bestimmten Transportaufträgen oder Sicherheitseinstellungen. Die folgenden Sicherheitseinstellungen können Sie mit der Konfigurationsvalidierung überwachen: Gateway-Einstellungen, Profilparameter, Sicherheitshinweise, Berechtigungen. Im Rahmen des Abgleichs können Sie Regeln definieren, die bestimmen, ob die Konfiguration regelkonform ist oder nicht. Erfüllt die Konfiguration die definierten Werte in der Regel, bekommt sie den Status Konform. Diesen Status können Sie dann über das Reporting auswerten.
Standardberechtigung
Besonders in Systemlandschaften, die schon lange in Betrieb sind, finden sich historisch gewachsene Berechtigungsstrukturen. Statt kleiner, modularer, stellenbezogener Rollen werden bestehende Rollen immer weiter ausgebaut und an verschiedene Mitarbeiter unterschiedlicher Stellen vergeben. Dies führt zwar kurzfristig zu weniger Verwaltungsaufwand, lässt aber die Komplexität der Rolle im Laufe der Zeit massiv ansteigen. Dadurch geht die Effizienz bei der Berechtigungsentwicklung immer mehr verloren.
Um Tabellenberechtigungen in der Transaktion PFCG zu definieren, reicht es nicht zwingend aus, wenn Sie im Rollenmenü die generischen Tabellenanzeigewerkzeuge, wie z. B. die Transaktionen SE16 oder SM30, angeben. Die Vorschlagswerte für diese Transaktionen sind sehr allgemein und sehen nur vor, die Berechtigungsobjekte S_TABU_DIS oder S_TABU_CLI zu verwenden. Explizite Werte müssen Sie in Abhängigkeit von den von Ihnen zur Berechtigung ausgewählten Tabellen eintragen. Möchten Sie den Zugriff auf die Tabellen explizit über das Berechtigungsobjekt S_TABU_NAM gewähren, können Sie für jeden Tabellenzugriff eine Parametertransaktion erstellen. Mithilfe einer Parametertransaktion kann man Tabellen z. B. über die Transaktion SE16 aufrufen, ohne den Tabellennamen im Selektionsbildschirm angeben zu müssen, da dieser übersprungen wird. Für die erstellte Parametertransaktion können Sie anschließend Vorschlagswerte pflegen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Öffnen Sie hierzu das Berechtigungsobjekt in der Transaktion SU21.
Die Identifikation kritischer SAP-Berechtigungen ist eine wichtige Aufgabe und sollte in jedem Unternehmen durchgeführt werden.