RSUSRAUTH
Berechtigungswerte beim Rollenupgrade vergleichen
In der Transaktion SU25 sind neben den Upgradetätigkeiten noch weitere Anpassungsmöglichkeiten aufgeführt. Unter dem Punkt Anpassung der Berechtigungsprüfungen (optional) sind die Transaktionen SU24 zur Vorschlagswertepflege, die Transaktion AUTH_SWITCH_OBJECTS zur globalen Ausschaltung von Berechtigungsobjekten sowie die Transaktion SE97 zur Pflege von Transaktionsstartberechtigungsprüfungen (siehe Tipp 76, »Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen«) aufgelistet. Im Abschnitt Manuelle Anpassung ausgewählter Rollen können Sie Rollen aus manuell erstellten Profilen erzeugen, SAP_NEW (siehe Tipp 64, »SAP_NEW richtig verwenden«) oder SAP_APP als Rolle generieren. Im Abschnitt Allgemeine Wartung für Vorschlagswerte sind die Reports SU2X_CHECK_WDY_HEADER zur Registrierung der Headerdaten für externe Services (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«) sowie SU2X_CHECK_CONSISTENCY zur Konzistenzprüfung (verfügbar über das in SAP-Hinweis 1646692 benannte Support Package) von Vorschlagswerten bezüglich der ausgewählten Berechtigungsobjekte verlinkt.
Haben Sie eigene Berechtigungsprüfungen entwickelt, um diese in kundeneigenen Programmen zu verwenden oder um Erweiterungen am SAPStandard vorzunehmen, ist es unbedingt notwendig, dass Sie die Z-Berechtigungsobjekte als Vorschlagswerte für die jeweiligen Anwendungen pflegen. So müssen diese nicht manuell in den jeweiligen Rollen nachgepflegt werden. Darüber hinaus haben Sie eine transparente Möglichkeit geschaffen, um zu dokumentieren, für welche Anwendungen Ihre kundeneigenen Berechtigungen zur Verfügung stehen. Zu guter Letzt hilft Ihnen eine gut geführte Vorschlagswertepflege bei Upgradenacharbeiten an Vorschlagswerten und PFCG-Rollen. Hier wird sichergestellt, dass Ihre Änderungen und die Verbindungen zu den jeweiligen PFCG-Rollen erhalten bleiben und neue Berechtigungsprüfungen für das neue Release zu den Anwendungen hinzukommen.
Abfrage der Daten aus einer lokalen Tabelle
SAP-Berechtigungen sind nicht ausschließlich ein operatives Thema – sie sind auch wesentlich für Risk-Management und Compliance und stellen eines der maßgeblichen Prüfungsthemen für die interne Revision und die Wirtschaftsprüfer dar. Problematisch sind meistens die unterschiedlichen Regeln, nach denen die Risiken der SAP-Berechtigungen bewertet werden.
Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja. Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung. Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen. Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Werden hingegen Organisationsebenen abhängig von der Transaktion hinzugefügt, sollten diese als Erstes bei der Berechtigungspflege gepflegt werden.
Die Auswertung des Security Audit Logs erfolgt über die Transaktion SM20 bzw. SM20N oder den Report RSAU_SELECT_EVENTS.