Passwortparameter und gültige Zeichen für Passwörter einstellen
Ein kompliziertes Rollenkonstrukt
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Zu Beginn waren die FI- und CO-Module voneinander getrennt. Beide Module sind von der SAP als übergeordnete Module im Bereich Rechnungswesen zusammengefasst worden. Grund dafür ist vor allem die enge Prozessstruktur, die einen fließenden Übergang zwischen den beiden Modulen ermöglicht. Folglich treten SAP FI und CO nur noch als gemeinschaftliches Modul SAP FICO auf.
Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden
Die Daten, die von den strukturellen Berechtigungen reglementiert werden, müssen sich hierarchisch strukturiert in einer der Personalentwicklungskomponenten befinden. Dies kann beispielsweise das Organisationsmanagement oder die Personalentwicklung sein. Die Zugriffe können dadurch relativ zum Wurzelobjekt innerhalb der hierarchischen Struktur geregelt werden.
Möchten Sie lediglich die Beschreibung der Rolle übersetzen, empfiehlt es sich, die Transaktion PFCG aufzuzeichnen und vor dem Durchlaufen des LSMW-Skripts die Quellsprache der Rolle mithilfe des Reports Z_ROLE_SET_MASTERLANG zu ändern. Den Report zum Ändern der Quellsprache erhalten Sie über den SAP-Hinweis 854311. Auf ähnliche Weise können Sie die Übersetzung auch mithilfe der Transaktion SECATT (Extended Computer Aided Test Tool, eCATT) anstelle der Transaktion LSMW durchführen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
SAP liefert vorgefertigte Rollen aus, die eindeutig umgrenzte Berechtigungen zu den jeweiligen Aufgabenbereichen der Mitarbeiter enthalten.
Beim Anlegen eines Berechtigungsobjekts in der Transaktion SU21 legen Sie zuerst einen Namen und eine Beschreibung für das Berechtigungsobjekt fest und weisen es anschließend einer Objektklasse zu.