Ein kompliziertes Rollenkonstrukt
Fehlende Definition eines internen Kontroll-Systems (IKS)
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Versucht nun ein Benutzer, einen Bericht auszuführen (z. B. mithilfe der Transaktion KE30) werden die Berechtigungen des Benutzers für dieses Berechtigungsobjekt geprüft. Daher müssen Sie Ihre Berechtigungsrollen entsprechend anpassen. Fehlt dem Benutzer die Berechtigung zum Zugriff auf das Objekt, wird seine Anforderung abgelehnt. Hat er eine entsprechende Berechtigung, wird die Anzeige auf den erlaubten Bereich eingeschränkt. Für alle Merkmale oder Wertfelder, die nicht als Felder des Berechtigungsobjekts definiert wurden, ist der Zugriff weiterhin erlaubt.
Web-Dynpro-ABAP-Anwendungen starten
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
Die Integration der HANA-Berechtigungen in die ABAP-Benutzerverwaltung bedeutet für Sie allerdings, dass Sie gewisse Tätigkeiten doppelt ausführen müssen, wie die zweimalige Eingabe der Benutzer-ID und die separate Zuweisung von Berechtigungen im ABAP-System und in SAP HANA. Diese Doppelarbeit können Sie durch den Einsatz von Anwendungen zur zentralen Verwaltung von Benutzern in der IT-Landschaft vermeiden. Die Lösungen von SAP für die Benutzer- und Berechtigungsverwaltung, SAP Identity Management und SAP Access Control, können auch die Benutzer und Berechtigungen für die HANA-Datenbank handhaben.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Mit F_FICO_IND kann festgelegt werden, welche Individualkonditionen beim Bearbeiten des Vertrages in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden.
In diesem Fall wird in Schritt 2a der Inhalt der SAP-Vorschlagswerte, unabhängig von einem Zeitstempel, mit den Kundenvorschlagswerten abgeglichen.