Benutzerstammdaten
Korrekte Einstellungen der wesentlichen Parameter
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems – sowohl nach außen als auch nach innen.
Notfalluserkonzept
Ein temporäres Abschalten der Zentralen Benutzerverwaltung wird in der Regel nicht empfohlen. In bestimmten Fällen kann es jedoch notwendig sein. Wir zeigen Ihnen, welche Vor- und Nacharbeiten erforderlich sind, um Dateninkonsistenzen zu vermeiden. In komplexen SAP-Landschaften, in denen die Zentrale Benutzerverwaltung (ZBV) eingesetzt wird, können Fälle eintreten, in denen Sie ein Tochtersystem temporär aus der ZBV entfernen möchten, ohne dieses System löschen oder die ganze ZBV abschalten zu müssen, wenn z. B. kurzfristig Benutzer in einem Tochtersystem angelegt werden sollen.
Hinter dieser RFC-Verbindung verbirgt sich eine Trusted-RFC-Verbindung in das ERP-System der Systemlandschaft mit der Namenskonvention *_RFC. Wir empfehlen Ihnen, den Namen der RFC-Verbindung für jedes ERP-System der Systemlandschaft beizubehalten und nur die Verbindungsdaten in den RFC-Verbindungen zu ändern. So müssen Sie Ihre PFCG-Rollen nicht jeweils für die Entwicklungs-, Test- und Produktionsumgebungen anpassen. Beachten Sie, dass Sie beim Abmischen der Einzelrolle mit den Sammelrollen jeweils im Rollenmenü der Sammelrolle die RFC-Verbindung nachpflegen müssen!
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Klicken Sie auf die Eingabetaste, werden Sie gefragt, um welche Art von Parameter es sich handelt.
Sie können sie ohne Bedenken löschen, da ein externer Service für eine Berechtigung nur einmal im Rollenmenü erscheinen muss.