Systembenutzer
Einstellungen zur Systemänderbarkeit einsehen
Zugriffsmöglichkeiten und Berechtigungen werden im SAP Berechtigungskonzept festgelegt und kontrolliert. Wie sicher Geschäftsdaten in SAP sind, hängt maßgeblich an der Vergabe von Berechtigungen und Zugriffsmöglichkeiten der Benutzer eines Unternehmens.
Die Lösung der ersten beiden genannten Probleme erhalten Sie durch das Einspielen der Korrektur aus dem SAP-Hinweis 1614407. Die Profildaten werden nicht mehr zum Zeitpunkt der Rollenaufzeichnung, sondern erst bei der Freigabe des Transportauftrags der Stückliste hinzugefügt. Auf diese Weise ist die Übereinstimmung zwischen den Berechtigungsdaten der Rolle und den dazugehörigen Profildaten gewährleistet. Der freigegebene Transportauftrag enthält ebenfalls die komplette Änderungshistorie der Profile und Berechtigungen, sodass auch die Löschung obsoleter Daten in den Zielsystemen möglich ist.
Abfrage der Daten aus einer lokalen Tabelle
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Legen Sie eine Nachricht an, die dem Benutzer bei fehlgeschlagenen Berechtigungsprüfungen angezeigt werden soll. Die Prüfungen in diesem User-Exit können Sie relativ frei gestalten. So können Sie Tabelleneinträge lesen, Daten aus dem Speicher der ABAP-Anwendung ablegen oder dort bereits vorhandene Daten auslesen. Eingeschränkt sind Sie allerdings durch die Schnittstellenparameter der Anwendung. In unserem Beispiel sind dies die Strukturen BKPF und BSEG sowie die Systemvariablen. Sollten Ihnen die Informationen aus den Schnittstellenparametern nicht für die Prüfung ausreichen, können Sie mithilfe Ihrer Programmierkenntnisse und dem Wissen über die Zusammenhänge der Substitution und Validierung im Finanzwesen zusätzliche Daten ermitteln. Mit dem folgenden Coding können Sie die selektierten Posten zum Ausgleichsbeleg ermitteln, die Sie in der Tabelle POSTAB (mit der Struktur RFOPS) im Programm SAPMF05A finden können. Auf diesem Weg können Sie viele zusätzliche Daten ermitteln. Wichtig ist dabei, dass das Rahmenprogramm die User-Exits prozessiert.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Sobald ein Database User gelöscht wird, werden zugleich alle (!) Datenbankobjekte, die von diesem Database User angelegt worden sind, ebenfalls gelöscht.
Allerdings wird es mit einer größeren Menge an Rollen enden: buchende/anlegende Rollen, ändernde Rollen, lesende Rollen.