Berechtigungsobjekte für die Tabellenbearbeitung verwenden
Korrekte Einstellungen der wesentlichen Parameter
Wir raten Ihnen von der Nutzung des selbst gesetzten Passworts bei einem Self-Service ab, da ein generiertes Passwort sicherer ist. Die Generierung des Passworts erfolgt in Abhängigkeit von den Passwortregeln; dabei werden zuerst die Vorgaben in der dem Benutzer zugewiesenen Sicherheitsrichtlinie ausgewertet. Falls dem Benutzer keine Sicherheitsrichtlinie zugewiesen wurde, berücksichtigt das System die Passwortregeln in den Profilparametern und in der Customizing-Tabelle PRNG_CUST. Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird. Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird. Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.
Durch das Einspielen des SAP-Hinweises 1723881 lösen Sie das dritte der genannten Probleme, weil die Aufzeichnung derselben Rolle auf verschiedenen Transportaufträgen verboten wird. Um diese Änderung des Systemverhaltens zu aktivieren, müssen Sie den Customizing-Schalter CLIENT_SET_FOR_ROLES in der Tabelle PRGN_CUST auf den Wert YES setzen. Damit wird gleichzeitig die Berücksichtigung der Einstellung in der Transaktion SCC4 für die Änderung und Aufzeichnung mandantenspezifischer Customizing- Objekte (»Mandantenänderbarkeit«) für die Rollenpflege eingeschaltet.
Vorschlagswerte für Batch-Jobs pflegen
Auch die Vergabe von Kombinationen kritischer Berechtigungen (z.B. Rechnung buchen und Zahllauf starten), allgemein bekannt unter dem Begriff „Funktionstrennungskonflikte“, sind zu überprüfen und gegebenenfalls mit den Verantwortlichen in den Fachbereichen zu klären, warum diese im System existieren. Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können. Dieser kann in weiterer Folge diese Information an seine Prüferkollegen weitergeben.
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden. Berechtigungen werden dem User nicht mehr über „Transaktions-Einträge“ im Menü einer Rolle zur Verfügung gestellt. Stattdessen kommen hier nun Kataloge und Gruppen zum Einsatz. Diese werden, ähnlich der „Transaktions-Einträge“ im Menü einer Rolle hinterlegt und dem User zugeordnet. Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden. Hierbei ist darauf zu achten, dass immer alle relevanten Komponenten (Kachelkomponente und Zielzuordnungskomponente(n)) mit im Katalog hinterlegt werden. Der FIORI Katalog dient dazu einem User den technischen Zugriff auf eine Kachel zu ermöglichen. Eine korrespondiere FIORI Gruppe dient dazu, diese Kacheln dem User dann auch optisch zum Zugriff im Launchpad zur Verfügung zu stellen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Ermitteln Sie den Benutzerstammsatz im Active Directory, der der Benutzer-ID zugeordnet ist, die Sie gerade in der Transaktion SU01 anlegen.
Es ist zwar möglich, Profile manuell zu erstellen, es wird aber empfohlen, mit dem Profilgenerator zu arbeiten.