SAP Security Automation
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Die Organisation eines Unternehmens wird im SAP-System abgebildet. Behalten Sie hier den Überblick, um Abhängigkeiten zu erkennen und Zugriffsberechtigungen organisationsspezifisch steuern zu können. Im Customizing werden für die einzelnen ERP-Komponenten verschiedene Organisationswerte hinterlegt, um eine organisatorische Zuordnung der Stamm- und Bewegungsdaten zu ermöglichen. Diese Zuordnung ist u. a. für die Steuerung der Zugriffsberechtigungen bzw. -einschränkungen erforderlich. Wir zeigen Ihnen, wie Sie sich einen Überblick über die gepflegten Organisationseinheiten verschaffen und Abhängigkeiten zwischen den verschiedenen Organisationswerten erkennen können.
In unserem Beispiel meldet sich der Endanwender in einem SCM-System an, kann von hier aus aber auch ERP-Transaktionen aufrufen. Um diese ERPTransaktionen in SAP SCM verfügbar zu haben, legen Sie eine neue PFCGEinzelrolle in SAP SCM an, z. B. ZS:XXXX:ERP_MENU. Die ERP-Transaktionen, auf die der Benutzer Zugriff haben soll, fügen Sie dem Rollenmenü über die Option Übernahme von Menüs > Aus anderer Rolle > Zielsystem hinzu. Wählen Sie nun das entsprechende ERP-System und anschließend die entsprechende PFCG-Rolle aus SAP ERP aus. Für diese »Menürolle« benötigen Sie kein Profil, da diese Rolle nur das ERP-Menü beinhaltet. Die Anordnung der Transaktionen können Sie nun im Bereich Hierarchie über Drag & Drop oder über die Pfeiltasten so sortieren, wie Sie sie im NWBC benötigen.
Den Zeichenvorrat für die Benutzer-ID einschränken
Da ein Rollenkonzept in der Regel regelmäßigen Veränderungen und Aktualisierungen unterliegt, da z. B. neue Funktionen oder Module eingeführt werden oder neue organisatorische Werte hinzukommen, sollten Rollennamen so gestaltet sein, dass diese ausbaufähig sind. Legen Sie daher im nächsten Schritt fest, welche sinnvollen Kriterien Sie in Ihrem Rollennamen benötigen.
Die zweite Möglichkeit ist die Pflege der HANA-Benutzer über die Transaktion SU01. Diese Möglichkeit besteht seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767). Dazu richten Sie über die Transaktion DBCO eine Verbindung zur Datenbank ein, die Sie über den Report ADBC_TEST_CONNECTION testen können. Dieser Report wird mit dem SAP-Hinweis 1750722 ausgeliefert. Im nächsten Schritt tragen Sie die Datenbankverbindung und den Mandanten, in dem die Funktionalität zur Verfügung stehen soll, in die Tabelle USR_DBMS_SYSTEM ein. Nun steht Ihnen die neue Funktionalität in der Transaktion SU01 über die Registerkarte DBMS zur Verfügung. Mit der Anlage des ABAP-Benutzers wird automatisch ein Benutzer in der Datenbank angelegt und eine Zuordnung zwischen ABAP-Benutzer und Datenbankbenutzer gespeichert. Dem Datenbankbenutzer (DBMS Benutzer) können Sie dann in der Spalte Datenbankmanagementsystem-Rolle Datenbankrollen zuweisen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Identifizieren Sie hier zuerst den technischen Namen der Bereichsstartseite bzw. des logischen Links im Customizing Ihrer Business-Rolle in der Transaktion CRMC_UI_PROFILE.
HR Berechtigungen sind in vielen Unternehmen ein sehr kritisches Thema.