Benutzer-und Berechtigungsverwaltung
Kundeneigene Customizing-Tabellen in den IMG einbinden
Wichtig ist, dass nach dem Aufruf des Befehls AUTHORITY-CHECK OBJECT insbesondere der Return-Code in SY-SUBRC geprüft wird. Dieser muss auf 0 gesetzt sein; nur dann ist ein Absprung erlaubt.
Wie bei einer SAP_NEW-Rolle besteht die Möglichkeit, eine SAP_APP-Rolle zu generieren. Wie beim Profil SAP_APP sind hier alle Berechtigungen, außer die Basis- und die HCM-relevanten Berechtigungen enthalten. Die Möglichkeit, diese Rolle mit dem Report REGENERATE_SAP_APP zu erstellen, besteht nach dem Einspielen des SAP-Hinweises 1703299. Dieser Report generiert eine Rolle, die uneingeschränkt für alle Anwendungen zu benutzen ist. Wir empfehlen Ihnen den Einsatz dieser Rolle jedoch nur für Entwicklungs- und Testsystem.
Konzept für Eigenentwicklungen
Diese Funktion war bisher nicht Teil der Standardauslieferung. Mit dem in SAP-Hinweis 1860162 benannten Support Packages wird nun die Transaktion SAIS_SEARCH_APPL ausgeliefert. Über diese Transaktion können Sie prüfen, ob weitere Anwendungen mit ähnlichen Starteigenschaften wie in einer bestimmten Anwendung verfügbar sind. So haben wir z. B. nach Anwendungen mit ähnlichen Funktionen, wie sie die Transaktion PPOME bereitstellt, gesucht.
Mithilfe eigener Berechtigungsobjekte können Sie Berechtigungsprüfungen entwickeln, um Ihre kundeneigenen Anwendungen zu berechtigen oder Standardberechtigungen zu erweitern. Dabei war die Pflege der Berechtigungsobjekte bisher sehr unhandlich. Berechtigungsobjekte können in der Transaktion SU21 angezeigt und neu angelegt werden. Das Anlegen von Berechtigungsobjekten über diese Transaktion war bisher nicht sehr benutzerfreundlich. Wurden Eingaben nicht korrekt vorgenommen, war die Dialogführung für den Anwender mitunter nicht transparent und verwirrend. Dasselbe galt für das Speichern eines Berechtigungsobjekts. Mehrere Pop-up-Fenster weisen hier auf weitere Pflegeaktivitäten hin. Ein anderes Problem ist, dass der Verwendungsnachweis des Berechtigungsobjekts darauf beschränkt ist, Implementierungen des Berechtigungsobjekts zu finden. Berechtigungsobjekte werden allerdings an anderen Stellen, wie z. B. der Vorschlagswertepflege und der Berechtigungspflege, ebenfalls verwendet. Eine weitere Problematik ist die Verwendung von Namensräumen. Für SAPPartner, die Ihre Berechtigungsprüfungen in ihren Namensräumen pflegen möchten, sind die klassischen Namenräume, mit J beginnend, aufgebraucht.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Rufen Sie die Transaktion SOBJ auf.
In einem solchen Fall möchten Sie natürlich ungültige Benutzer und solche mit Administratorsperre von der Selektion ausnehmen.