Profit-Center-Berechtigungen in FI prüfen
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Servicebenutzer werden für den anonymen Zugriff durch mehrere Personen verwendet, z. B. für Webservices. Auch dieser Benutzertyp ist dialogfähig, d. h., dass er sich über SAP GUI am SAP-System anmelden kann. Mit einem Servicebenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern greifen nicht. Mit der Einführung der Sicherheitsrichtlinien hat sich dieses Verhalten geändert. Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«). Das Passwort einen Servicebenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Die Protokollierung findet sowohl im Zentralsystem als auch in den Tochtersystemen statt. Sollen die Änderungsbelege auch für die angeschlossenen Tochtersysteme gelesen werden, müssen die Tochtersysteme ebenfalls auf dem im SAP-Hinweis 1902038 genannten Release- bzw. Support-Package-Stand sein. Außerdem benötigen die RFC-Benutzer in den jeweiligen Tochtersystemen die Berechtigung zum Lesen der Änderungsbelege über das Berechtigungsobjekt S_USER_SYS mit der neuen Aktivität 08 (Änderungsbelege lesen).
Berechtigungen für die SAP-Hintergrundverarbeitung vergeben
Schon bei der Definition der Entwicklungsrichtlinie sollten Sie darauf achten, dass der Zugriffssicherheit das entsprechende Augenmerk geschenkt wird. Über kundeneigene Programme oder Anpassungen im SAP Code Inspector lässt sich sicherstellen, dass alle im Unternehmen beschäftigten Entwickler diese Richtlinien entsprechend einhalten. Die Prüfung, ob die Entwicklungsrichtlinien eingehalten wurden, sollte zwingender Bestandteil der Qualitätssicherung sein, bevor die Programme produktiv genutzt werden. Die Transaktionen SE38 und SA38 sollten im produktiven System nicht vergeben werden, und kundeneigene Programme sollten in eigene Transaktionscodes eingebunden werden. Anschließend werden Berechtigungen nur für diese Transaktionen eingerichtet.
Spielen Sie die SAP-Hinweise 1656965 und 1793961 in Ihr System ein. Mit diesen Hinweisen wird der Report RSUSR_LOCK_USERS ausgeliefert bzw. erweitert. Dieser Report unterstützt die automatisierte Selektion und Sperrung von inaktiven Benutzern. Dazu müssen Sie im Selektionsbild des Reports RSUSR_LOCK_USERS die Kriterien auswählen, nach denen Sie Benutzer sperren bzw. ungültig setzen möchten. Die Auswahl der Benutzer können Sie anhand verschiedener Kriterien bestimmen. Es empfiehlt sich hierbei besonders, den Zeitraum seit der letzten Anmeldung im Feld Tage seit letzter Anmeldung und den Passwortstatus im Feld Tage seit Kennwortänderung zu berücksichtigen. Sie haben die Möglichkeit, das Ergebnis der Selektion zu prüfen und sich die gefundenen Benutzer anzeigen zu lassen. Wählen Sie dazu im Bereich Auswahl der Aktion die Aktion Test der Selektion aus. Auch können Sie in diesem Bereich zwischen den Maßnahmen Sperren der Benutzer (Lokale Sperre) und Entsperren der Benutzer (Lokale Sperre) wählen. Das Ende der Gültigkeit eines Benutzers können Sie durch Anklicken der entsprechenden Optionen für »heute« oder »gestern« festlegen. Beachten Sie dabei, dass Sie die Gültigkeit nur für aktuell gültige Benutzer setzen können.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Dazu werden kundeneigene Customizing-Tabellen angelegt und Standardprogramme erweitert.
Es ist also nicht ausreichend, im Vorfeld der Jahresabschlussprüfung einfach schnell den Benutzern das Profil SAP_ALL zu entziehen.