Korrekte Einstellungen der wesentlichen Parameter
WARUM ACCESS CONTROL
Mit den Customizing-Schaltern für die Pflege von Session Manager und Profilgenerator sowie der Benutzer- und Berechtigungsverwaltung können Sie das Standardverhalten diverser Transaktionen und Parameter beeinflussen. Die Tabelle SSM_CID gibt Ihnen einen Überblick über alle von SAP ausgelieferten Customizing-Schalter unter der Angabe der relevanten Tabellen SSM_CUST, SSM_COL, PRGN_CUST und USR_CUST. Die Kurzbeschreibung des Customizing- Schalters verweist auf die relevanten und aktuellen SAP-Hinweise. Die tatsächlichen Einstellungen nehmen Sie selbst in den Tabellen SSM_CUST, PRGN_CUST sowie USR_CUST vor.
Die Berechtigungsprüfung für die Berechtigungsobjekte PS_RMPSORG und PS_RMPSOEH läuft im Anschluss an eine Benutzereingabe folgendermaßen ab: Das System ermittelt die Organisationseinheit, der der Benutzer zugeordnet ist. Von dieser Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der im ersten Schritt ermittelten Organisationseinheit in der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M1) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System ermittelt die Organisationseinheit, der das zu bearbeitende Objekt zugeordnet ist (entspricht der federführenden Organisationseinheit in den Attributen des zu bearbeitenden Objekts). Von dieser federführenden Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der ermittelten Organisationseinheit innerhalb der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M2) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System bildet die Schnittmenge (aus M1 und M2) der übereinstimmenden Organisationsobjekte von Benutzer und zu bearbeitendem Objekt. Das System ermittelt die Organisationsebenen, die für den Benutzer und das zu bearbeitende Objekt übereinstimmen. Sobald eine übereinstimmende Organisationsebene gefunden wird, führt das System die Berechtigungsprüfung für die anderen Felder des Berechtigungsobjekts (z. B. Art des Objekts oder Aktivität) aus; wenn das System keine gemeinsame Organisationsebene ermitteln kann, wird die Verarbeitung abgelehnt. Wenn der Benutzer die gewünschte Aktivität ausführen darf, ist die Verarbeitung erlaubt; andernfalls wird die Verarbeitung vom System abgelehnt.
Hintergrundverarbeitung
Voraussetzung für eine gelungene Berechtigungsprüfung ist eine sorgfältige Vorbereitung. Für alle kundeneigenen Funktionalitäten muss eine funktionale Spezifikation erstellt werden. Dies zwingt dazu, darüber nachzudenken, was die eigentlichen Anforderungen der Anwendung sind, und anschließend die mögliche Umsetzung zu beschreiben. Dabei müssen sicherheitsrelevante Aspekte, wie die Berechtigungsprüfung und -vergabe beachtet werden. Legen Sie fest, was man mit diesem Programm ausführen darf, und auch, was man explizit nicht können darf! Bei einer Berechtigungsprüfung kann nicht nur die auszuführende Aktivität wie Lesen, Ändern, Anlegen usw. geprüft werden. Auch können Sie den Zugriff auf die Datensätze anhand bestimmter Kriterien einschränken, wie z. B. anhand von Feldinhalten oder organisatorischen Trennern.
Wann wurden welche Änderungen an einer Rolle vorgenommen (PFCG)? Klicke in der PFCG oben im Menü auf Hilfsmittel > Änderungen anzeigen, um dir die Änderungsbelege anzeigen zu lassen. Du siehst eine detaillierte Auflistung, welcher Benutzer wann welche Änderung an welchem Objekt vorgenommen hat.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
SAP FI verfügt über direkte Schnittstellen zu anderen Modulen, wie z.B. HR oder SD.
Gleiche Einträge werden außerdem als zu löschende Einträge erkannt.