Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen
Benutzergruppe als Pflichtfeld definierbar
Die Berechtigungen werden in SAP-Systemen in Form von Rollen an die Benutzer vergeben. Das Ziel ist es, ein möglichst sicheres System zu schaffen sowie die Komplexität und Anzahl der Rollen so gering wie möglich zu halten. Nur so kann ein ausgewogenes Kosten-Nutzen-Verhältnis erreicht werden.
Kommen wir heute mal zur Fehleranalyse bei Berechtigungen. Das beste, was einem dabei passieren kann, ist der Fehler der Art: „Ich habe keine Berechtigung das und das auszuführen!“ (FALL1). Schlechter ist schon der Fall, dass jemand zuviele Berechtigungen hat, also der Art: „User xy soll diese Berechtigung nicht mehr haben“ (FALL2). Wie geht man da vor? Kommen wir zunächst mal zum Fall 1 Dieser Fall, dass also jemand keine Berechtigung für etwas hat, unterstützt das System vortrefflich! Das Codewort ist SU53! Falls eine Transaktion auf einen Berechtigungsfehler trifft, dann wird dieser Fehler in einen Speicherbereich geschrieben, den man sich anzeigen lassen kann. Dazu gibt es einmal die Transaktion SU53 oder die Menüauswahl „System/Hilfsmittel/Anzeige Berechtigungsprüfung“. Mit dieser Funktion wird vom System eine Information ausgeben, in der gezeigt wird, welche Berechtigungsobjekte dem Benutzer fehlen.
PROGRAMMSTART IM BATCH
SAP Access Control unterstützt ab Release 10.1 die Anlage von Benutzern sowie die Zuweisung von Rollen und Privilegien in HANA-Datenbanken. Nutzen Sie in SAP Access Control das Konzept der Business-Rollen, können Sie bei der Zuweisung einer Business-Rolle eine automatische Anlage der Benutzer im SAP NetWeaver AS ABAP und in der HANA-Datenbank sowie die Zuordnung der technischen ABAP- und HANA-Rollen (bzw. Privilegien) erreichen.
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen. Sie pflegen sie einmalig in der Transaktion PFCG über den Button Orgebenen. Die Werte für jeden Eintrag dieses Feldes werden in den Berechtigungen der Rolle eingetragen. Dies bedeutet, dass Sie innerhalb einer Rolle immer nur die gleichen Werte für das Organisationsebenenfeld eintragen können. Ändern Sie die Werte der einzelnen Felder in den Berechtigungsobjekten unabhängig von der übergreifenden Pflege, erhalten Sie eine Warnmeldung, dass Sie dieses Feld nun nicht mehr über den Button Orgebenen verändern können und dass bei der Anpassung von abgeleiteten Rollen dieser individuelle Wert überschrieben wird. Daher raten wir Ihnen dringend davon ab, eine individuelle Pflege der Organisationsebenenfelder vorzunehmen. Wenn Sie sich an diesen Ratschlag halten, kann es, wie oben beschrieben, immer nur einen Wertebereich für ein Organisationsebenenfeld geben. So ist z. B. die Kombination aus der Anzeige aller Buchungskreise und der Änderung eines einzelnen Buchungskreises innerhalb einer Rolle nicht umzusetzen. Dies hat natürlich Auswirkungen, wenn Sie ein Feld in die Organisationsebene hochstufen möchten. Ein Feld, das bisher nicht als Organisationsebene fungierte, kann solche Einträge mit unterschiedlichen Werten innerhalb einer Rolle beinhalten. Diese Einträge müssen Sie bereinigen, bevor Sie ein Feld als Organisationsebene deklarieren. Zusätzlich wirkt sich die Definition eines Feldes als Organisationsebene auch auf die Berechtigungsvorschlagswerte des Profilgenerators aus.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Damit wird sichergestellt, dass die Systemleistung optimal bleibt.
Über die Customizing-Parameter in der Tabelle PRGN_CUST wird der Passwortgenerator in den Transaktionen SU01 und SU10 gesteuert.