Dokumentationen zum Berechtigungsobjekt
Change-Management
Ich zeige auf, wie SAP-Berechtigungen durch den Einsatz des Three-Lines-of-Defense-Modells bewertet und überwacht werden können. Diese Methode kann angewandt werden, auch wenn das Modell nicht für alle Unternehmensrisiken genutzt wird. Sie erfahren, wie die verschiedenen Beteiligten in die Verteidigungslinien integriert und das Wissen für den Prozess harmonisiert werden. Außerdem auch, welche Tools jeweils für Kontrollen und Bereinigungen eingesetzt werden können. Dies gewährleistet beispielsweise, dass Führungskräfte in der Lage sind, die Risiken zu bewerten und Maßnahmen ableiten zu können und dass Administratoren die Risiken technisch bereinigen können.
Ist es für Ihre Auswertungen notwendig, die gesperrten oder ungültigen Benutzer zu selektieren? Dies ist nun mit den Erweiterungen des Benutzerinformationssystems direkt möglich. Es besteht immer wieder die Anforderung, die vorhandenen Benutzer in Ihrem SAP-System auszuwerten. Anlass können z. B. von Wirtschaftsprüfern eingeforderte Listen sein. In einem solchen Fall möchten Sie natürlich ungültige Benutzer und solche mit Administratorsperre von der Selektion ausnehmen. Bisher mussten Sie dazu mit den Reports RSUSR200 und RSUSR002 des Benutzerinformationssystems (Transaktion SUIM) verschiedene Auswertungen durchführen und die Listen nachträglich bearbeiten. Die Ergebnisse wurden unter Umständen von den Wirtschaftsprüfern nicht akzeptiert, da die Listen erkennbar manipuliert wurden, auch wenn diese Manipulation gerechtfertigt war. Sie können diese Selektion nun direkt eingeben. Wir zeigen Ihnen im Folgenden, wie Sie nach Benutzern mit Passwort- oder Administratorsperre suchen bzw. diese aus Ihrer Selektion ausschließen können.
Basisadministration
Seit SAP NetWeaver 7.02 ist eine solche Funktion verfügbar, d. h., dass Sie auf die Daten des Berechtigungstrace aus dem Systemtrace zugreifen können, um PFCG-Rollen zu pflegen. Im Folgenden zeigen wir Ihnen, wie Sie die Berechtigungswerte aus dem Berechtigungstrace in Ihre Rolle übernehmen können. Dazu zeichnen Sie in einem ersten Schritt Anwendungen anhand ihrer Berechtigungsprüfungen auf und können diese anschließend in Ihr Rollenmenü übernehmen.
Auch die Standardbenutzer wie z.B. SAP* oder DDIC sollten gemäß dem Berechtigungskonzept bzw. den Empfehlungen von SAP korrekt implementiert sein. Eine wichtige Vorbereitungshandlung ist hierbei zu überprüfen, ob für sämtliche Standardbenutzer die Kennwörter geändert wurden.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Details zum Benutzer SAP* finden Sie in Tipp 91, »Mit den Standardbenutzern und deren Initialpasswörtern umgehen«.
Aufgrund der Komplexität eines SAP®-Berechtigungskonzepts ist es notwendig, dass alle wesentlichen Aspekte in einem schriftlich dokumentierten Berechtigungskonzept niedergeschrieben sind.