Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Ein typisches Einsatzgebiet ergibt sich bei der Anforderung eines neuen SAP-Benutzers. Der Dateneigentümer prüft nun, ob der Beantragende und die zu berechtigende Person überhaupt jeweils dafür befugt sind, welche Daten betroffen wären, ob evtl. bereits ein SAP-User besteht, dem neue Rollen zugeteilt und alte entzogen werden können, ob der Datenzugriff zeitlich begrenzt werden kann etc..
Bei mehr als 28 Benutzern klappt das einfache Copy & Paste in die Benutzerselektion nicht mehr. Das heißt jedoch nicht, dass Sie nun alle Benutzer einzeln pflegen müssen! Es kommt häufig vor, dass Sie im SAP-System Massenänderungen an Benutzern durchführen möchten, z. B. wenn sich Rollenzuordnungen ändern, Sie eine Gruppe von Benutzern sperren wollen oder deren Gültigkeitsdaten anpassen müssen. Im Startbild der Transaktion SU10 gibt es leider keinen Button, der ein Einfügen der Benutzer aus der Zwischenablage ermöglicht. Zwar können Sie mit Copy & Paste Benutzer aus der Zwischenablage einfügen, aber diese Funktion ist auf den sichtbaren Bereich eingeschränkt. Daher ist es auf diesem Wege nicht möglich, eine Liste von mehr als 28 Benutzern einzufügen, was bei langen Listen sehr mühselig sein kann.
Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen
Diese Informationen werden bei der Namensgenerierung des externen Services verwendet. Auf diese Weise werden alle in einer CRM-Business- Rolle konfigurierten Bereichsstartseiten und logischen Links in Form von externen Services berechtigt. Aufgrund der Masse an externen Services, die im Rollenmenü auftauchen, ist es schwierig, den Überblick zu behalten. Um nun nur bestimmte externe Services zu berechtigen, können Sie wie folgt vorgehen: Identifizieren Sie den externen Service zunächst über den Berechtigungstrace.
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wenn der Benutzer die gewünschte Aktivität ausführen darf, ist die Verarbeitung erlaubt; andernfalls wird die Verarbeitung vom System abgelehnt.
Es ist mal wieder soweit: Wenn Sie in Ihrer Abteilung niemanden haben, der Gefallen daran findet, mehrere Stunden lang in der Transaktion PFCG den Kopierknopf zu drücken, das Ableitungskürzel zu ersetzen und dann in den neuen Rollen auf der Registerkarte Berechtigungen die Organisationsebenen (Orgebenen) anzupassen (immer wieder verbunden mit Speichervorgängen), bleibt der Job an Ihnen hängen.