Sicherheitsrichtlinien für Benutzer definieren
Anwendungsberechtigungen
Viele Unternehmen schenken dem Thema Berechtigungen in SAP SuccessFactors nicht genug Beachtung. Oft erscheint es zu komplex und unübersichtlich. Sowohl die Erstellung eines Konzepts als auch die Harmonisierung bestehender Strukturen erscheint häufig wie eine Mammut-Aufgabe. SAP liefert mit den rollenbasierten Berechtigungen jedoch ein sehr starkes Steuerungstool, welches mit ein wenig Hilfe und Dokumentation übersichtlich bleibt.
Die Zuweisung der Rollen beinhaltet keine Besonderheiten. Daher behandeln wir im Folgenden ausschließlich die Themen Zeitraumabgrenzung und Protokollierung. Die Zeitraumprüfung ist als zusätzlicher Filter implementiert, der nach den üblichen Berechtigungsprüfungen abläuft. Diese zusätzliche Filterlogik arbeitet folgendermaßen: Zunächst wird geprüft, ob der Benutzer in der Tabelle für Steuerprüfer eingetragen ist (Tabelle TPCUSERN, Konfiguration mit der Transaktion TPC2). Nur dann werden die weiteren Prüfschritte durchlaufen. Falls nicht, finden keine Zusatzprüfungen statt. Anschließend wird geprüft, ob das aufgerufene Programm in der Tabelle der zulässigen Programme enthalten ist (Tabelle TPCPROG, Konfiguration mit der Transaktion TPC4). Bei negativer Prüfung bricht das System mit einem Berechtigungsfehler ab. Die Zeitraumprüfung erfolgt gegen die gültigen Intervalle in der Tabelle TPCDATEN (Konfiguration mit der Transaktion TPC6). Die Zeitraumprüfung arbeitet dabei kontextabhängig: Neben den Belegen des Prüfungszeitraums werden auch ältere Belege mitangezeigt, wenn sie noch für den Prüfungszeitraum relevant sind, z. B. offene Posten, die zwar in früheren Jahren gebucht, aber erst im Prüfungszeitraum ausgeglichen wurden. Datensätze, die gemäß der beschriebenen Logik nicht in den gültigen Zeitraum fallen, werden herausgefiltert.
Wichtige Komponenten im Berechtigungskonzept
Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Die Favoritenlisten von Benutzern geben Ihnen wertvolle Auskunft über die von ihnen genutzten Transaktionen. Mit der Kenntnis der Favoriten können Sie daher Lücken in Ihrem Berechtigungskonzept vermeiden. Im SAP-System gibt es für jeden Benutzer die Möglichkeit, häufig genutzte Funktionen als eigene Favoriten zu speichern. In der Praxis haben wir festgestellt, dass diese Funktion sehr häufig von den Anwendern genutzt wird. Erstellen Sie ein neues Berechtigungskonzept, ist es sinnvoll, die Favoriten in die Betrachtung einzubeziehen. Denn in den Favoriten werden nicht nur immer wieder gebrauchte Transaktionen abgelegt, sondern auch Transaktionen, die die Anwender nur gelegentlich verwenden. Diese nur gelegentlich verwendeten Transaktionen könnten bei der Neukonzeption eines Berechtigungskonzepts schnell vergessen werden. Daher empfehlen wir Ihnen immer den Abgleich der von Ihnen berücksichtigten Transaktionen mit den in Ihrem System gespeicherten Favoriten.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält.
Im SAP-System können Sie bei der Anlage von Benutzern zwischen verschiedenen Benutzertypen wählen.