Schützen Sie nachhaltig Ihre Datenschätze mit dem richtigen Berechtigungsmanagement
Dialogbenutzer
Wenn die ID für alle betroffenen Mandanten gepflegt ist, besteht keine Gefahr mehr, dass die sechs Ziffern gleichlauten, die ab der fünften Stelle des generierten Profilnamens verwendet werden. Weitere Informationen zum Umgang mit generierten Profilen in komplexen Systemlandschaften erhalten Sie in Tipp 54, »Generierte Profilnamen in komplexen Systemlandschaften verwalten«.
Um auf Geschäftsobjekte zuzugreifen oder SAP Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da Geschäftsobjekte oder Transaktionen durch Berechtigungsobjekte (Authorization objects) mit mehreren Berechtigungsfeldern (Authorization fields) geschützt werden. Die Berechtigungen stellen Instanzen generischer Berechtigungsobjekte dar und werden abhängig von der Tätigkeit und den Verantwortlichkeiten des Mitarbeiters definiert. Die Berechtigungen werden in einem Berechtigungsprofil (Generated profil) zusammengefasst, das einer Rolle zugeordnet ist. Die Benutzeradministratoren ordnen dann die entsprechenden Rollen (Single role oder Composite role) über den Benutzerstammsatz zu, sodass der Benutzer die entsprechenden Transaktionen für seine Aufgaben verwenden kann.
Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen. Sie pflegen sie einmalig in der Transaktion PFCG über den Button Orgebenen. Die Werte für jeden Eintrag dieses Feldes werden in den Berechtigungen der Rolle eingetragen. Dies bedeutet, dass Sie innerhalb einer Rolle immer nur die gleichen Werte für das Organisationsebenenfeld eintragen können. Ändern Sie die Werte der einzelnen Felder in den Berechtigungsobjekten unabhängig von der übergreifenden Pflege, erhalten Sie eine Warnmeldung, dass Sie dieses Feld nun nicht mehr über den Button Orgebenen verändern können und dass bei der Anpassung von abgeleiteten Rollen dieser individuelle Wert überschrieben wird. Daher raten wir Ihnen dringend davon ab, eine individuelle Pflege der Organisationsebenenfelder vorzunehmen. Wenn Sie sich an diesen Ratschlag halten, kann es, wie oben beschrieben, immer nur einen Wertebereich für ein Organisationsebenenfeld geben. So ist z. B. die Kombination aus der Anzeige aller Buchungskreise und der Änderung eines einzelnen Buchungskreises innerhalb einer Rolle nicht umzusetzen. Dies hat natürlich Auswirkungen, wenn Sie ein Feld in die Organisationsebene hochstufen möchten. Ein Feld, das bisher nicht als Organisationsebene fungierte, kann solche Einträge mit unterschiedlichen Werten innerhalb einer Rolle beinhalten. Diese Einträge müssen Sie bereinigen, bevor Sie ein Feld als Organisationsebene deklarieren. Zusätzlich wirkt sich die Definition eines Feldes als Organisationsebene auch auf die Berechtigungsvorschlagswerte des Profilgenerators aus.
Sie finden alle Benutzerfavoriten eines Systems in der Tabelle SMEN_BUFFC; zusätzlich gibt es noch die Tabelle SMEN_BUFFI, in der die Links aus den Favoritenlisten abgelegt werden. Sie können diese Tabelle einfach nach Microsoft Excel exportieren und dann auswerten. An dieser Stelle möchten wir Sie allerdings darauf hinweisen, dass Sie die Favoriten nicht ohne die vorherige Abstimmung mit den Benutzern auswerten dürfen, denn die gespeicherten Favoriten sind benutzerbezogen und damit personenbezogene Daten. Die Tabelle SMEN_BUFFC enthält verschiedene Felder, die die Struktur der abgelegten Favoriten bestimmt. So können Sie z. B. Ordner in Ihren Favoriten anlegen, um diese zu sortieren. Diese Ordnerstruktur finden Sie ebenfalls in der Tabelle SMEN_BUFFC. Wichtig für die Neuerstellung eines Berechtigungskonzepts sind allerdings die Einträge selbst, die Sie im Feld REPORT finden. Das Feld REPORTTYPE gibt Ihnen Aufschluss darüber, ob es sich bei dem betreffenden Eintrag z. B. um eine Transaktion oder eine Web-Dynpro-Anwendung handelt. Im Feld TEXT finden Sie dann, falls erforderlich die Beschreibung des Favoriteneintrags. Zusätzlich sollten Sie auch auf das Feld TARGET_SYS achten, da Favoriten auch für andere Systeme eingetragen werden können, in diesem Fall ist unter TARGET_SYS ein RFC-Zielsystem eingetragen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Damit bei der Entwicklung Ihrer Anwendungen eine hohe Qualität erreicht werden kann, sollten Sie allerdings eine Systemlandschaft mit Entwicklungssystem (DEV), Qualitätssicherungssystem (QAS) und Produktivsystem (PRD) nutzen.
Hierbei spricht man von so genannten Kritischen Berechtigungen.