Berechtigungsprüfungen
Passwörter schützen
Ihnen ist sicher bekannt, dass Sie sich bei der Vergabe von Namen von PFCG-Rollen nicht zwingend im Kundennamensraum bewegen müssen und somit viel Freiraum haben. Die einzige Einschränkung ist hier, dass Sie nicht den Namensraum der von SAP ausgelierten Rollen verwenden dürfen. Zunächst müssen Sie sich über die Form der Namen einig sein. Eine grundlegende Entscheidung ist die Festlegung der Sprache, in der die PFCG-Rollen gepflegt werden müssen. Dies hat zwar auf den Rollennamen nicht zwingend Einfluss, da dieser in allen Sprachen gleich ist, aber Sie haben sicher beschreibende Elemente in Ihren Rollennamen. Auch die Rollenbeschreibung sowie der Langtext sind jeweils sprachabhängig. Es ist deshalb sinnvoll, die Rollen initial in der Sprache anzulegen, die auch am häufigsten genutzt wird, und auch die beschreibenden Texte zunächst in dieser Sprache zu pflegen. Werden Rollen in verschiedenen Sprachen benötigt, können Sie die Texte übersetzen.
Mit der Transaktion SUIM können Sie unter Rollen, Rollen mit verschiedenen Suchkriterien durchsuchen. Die Variante "Rollen nach komplexen Selektionskriterien" deckt alle möglichen Selektionskriterien ab. Sie können aber auch nur nach einem bestimmten Selektionskriterium suchen (z.B. nur nach Transaktionen, nur nach Berechtigungsobjekten...).
Berechtigungen in SAP SuccessFactors: Wie Unternehmen auch bei mehreren Implementierungen & Verantwortlichen den Überblick behalten und DSGVO konform agieren
Anschließend legen Sie eine Unterroutine mit demselben Namen wie die User-Exit-Definition an und programmieren dort Ihre kundenspezifischen Prüfungen (z. B. auf bestimmte Datenkonstellationen oder Berechtigungen). Binden Sie die Exit-Definition (UGALI) über die Transaktion GGB0 ein. Dabei müssen Sie diese Transaktion erneut aufrufen, damit der ausprogrammierte Exit gelesen wird und Sie ihn selektieren können.
Den Systemtrace für Berechtigungen nach und nach für jeden Anwendungsserver auszuführen, ist mühselig. Wir zeigen Ihnen daher, wie Sie Berechtigungsprüfungen auf mehreren Servern gleichzeitig aufzeichnen können. Wenn Sie in einem System mit mehreren Anwendungsservern den Systemtrace für Berechtigungen verwenden möchten, müssen Sie beachten, dass der Trace immer nur Daten je Anwendungsserver protokollieren und auswerten kann. Berechtigungsadministratoren müssen daher bei einem Berechtigungsfehler erst prüfen, auf welchem Anwendungsserver der Anwender mit dem Berechtigungsproblem angemeldet ist, um dann den Trace auf diesem Anwendungsserver zu starten. Wir geben Ihnen hier eine Anleitung zum Aufzeichnen von Berechtigungsprüfungen auf bestimmten Anwendungsservern, zeigen Ihnen aber darüber hinaus auch eine Möglichkeit, um diese Funktion zentral zu nutzen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Während SAP für die Bereitstellung von Sicherheitshinweisen zum Schließen der Sicherheitslücken im Standardcode zuständig ist, obliegt die Schließung der Sicherheitslücken in kundeneigenen ABAP-Programmen Ihnen.
Die Einführung von Berechtigungstools nimmt zwar einige Zeit in Anspruch, sollte aber dennoch von Unternehmen in Angriff genommen werden, um die Effizienz langfristig zu steigern und gleichzeitig Kosten zu sparen.