CRM-Rollenkonzept im Zusammenhang mit externen Services umsetzen
Sofortige Berechtigungsprüfung – SU53
Der Einfachheit halber möchten wir dieses Beispiel anhand des Hintergrundjobs PFCG_TIME_DEPENDENCY erläutern. Dieser Job ruft den Report RHAUTUPD_NEW auf bzw. kann auch mit der Transaktion PFUD direkt ausgeführt werden. Stellen Sie sich vor, dass es für diesen Job noch keinen Transaktionscode gäbe.
Üblicherweise werden hierzu die Berechtigungen gezählt, mit denen Änderungsaufzeichnungen im System gelöscht werden können oder elektronisch radiert werden kann. Auch im Entwicklungssystem ist die Nachvollziehbarkeit von Änderungen wichtig, deshalb sind die nachfolgend aufgeführten Berechtigungen nur sehr restriktiv bzw. nur an Notfallbenutzer zu vergeben.
S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
Damit Sie diesen Tabelleneintrag transportieren können, müssen Sie in der Transaktion SE09 in die Objektliste des Transportauftrags gehen und dort manuell einen Eintrag mit dem Objektschlüssel R3TR TABU KBEROBJ anlegen. Per Doppelklick gelangen Sie dann zum Pflegebild für die Schlüsselliste, in der Sie einen Eintrag mit * anlegen müssen. Dies bewirkt, dass alle Einträge der Tabelle KBEROBJ transportiert werden, die mit einem Leerzeichen beginnen. Anschließend müssen Sie noch das Feld RESPAREA zur Organisationsebene erheben. Folgen Sie dazu bitte der Anleitung in unserem Tipp 49, »Neue Organisationsebenen hinzufügen«. Wenn Sie mehr als eine Kostenstellen- oder Profit-Center-Hierarchie mit Vererbungslogik für die Berechtigungen nutzen, müssen Sie dies im Customizing der Kostenrechnungskreise über die Transaktion OKKP einstellen. Dort können Sie in den jahresunabhängigen Grunddaten entscheiden, welche Hierarchien Sie verwenden möchten. In den jahresabhängigen Grunddaten definieren Sie dann, welche Hierarchien pro Geschäftsjahr verwendet werden sollen. Sie können für die Kostenstellen und Profit-Center jeweils bis zu drei Hierarchien für die Berechtigungsvergabe nutzen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Verwenden Sie z. B. den auf dem PFCG-Einstiegsbild eingegebenen Rollennamen (Feldname 'AGR_NAME_NEU').
So können Sie z. B. fehlgeschlagene RFC-Aufrufe systemweit aufzeichnen, das Löschen von Benutzern oder alle Aktivitäten des Standardbenutzers DDIC protokollieren.