Berechtigungen mit dem Status Gepflegt
SAP_NEW richtig verwenden
Auch die Vergabe von Kombinationen kritischer Berechtigungen (z.B. Rechnung buchen und Zahllauf starten), allgemein bekannt unter dem Begriff „Funktionstrennungskonflikte“, sind zu überprüfen und gegebenenfalls mit den Verantwortlichen in den Fachbereichen zu klären, warum diese im System existieren. Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können. Dieser kann in weiterer Folge diese Information an seine Prüferkollegen weitergeben.
In Ihrem System gibt es inaktive Benutzer? Dies ist nicht nur ein Sicherheitsrisiko, da diese häufig noch ein Initialpasswort verwenden, sondern erzeugt auch unnötige Lizenzkosten. Es wird immer wieder Benutzer in Ihrem SAP-System geben, die inaktiv sind. Dies kann verschiedene Gründe haben. Beispielsweise kann es sich um Benutzer aus den Managementebenen handeln, die praktisch nicht benutzt werden, weil diese Führungskräfte nicht mit dem ERP-System arbeiten. Auch könnte es sein, dass Mitarbeiter ihren SAP-Benutzer aufgrund eines Positionswechsels nicht mehr nutzen oder dass Externe eine Zeit lang nicht am SAP-System arbeiten. Sie sollten auf alle Fälle dafür sorgen, dass diese inaktiven Benutzer entweder gesperrt oder ungültig werden. Bisher mussten Sie dazu mithilfe des Reports RSUSR200 alle inaktiven Benutzer selektieren und sie dann manuell in die Transaktion SU10 übertragen, um die Sperrung durchzuführen. Dies können Sie nun auch automatisiert durchführen.
Benutzerstammdaten
Suchen Sie sich zuerst das Berechtigungsobjekt aus, das Sie pflegen möchten. Für jedes Berechtigungsobjekt kann es mehrere Berechtigungen geben. Anschließend laden Sie die Tracedaten, indem Sie auf Trace auswerten klicken. Es öffnet sich wieder ein neues Fenster, in dem Sie die Auswertungskriterien für den Trace festlegen und den Filter für Anwendungen entweder nur auf Anwendungen im Menü oder auf alle Anwendungen beschränken können. Ist der Trace einmal ausgewertet, werden Ihnen alle geprüften Berechtigungswerte für das ausgewählte Berechtigungsobjekt angezeigt. Mit dem Button Übernehmen können Sie hier nun die Werte zeilenweise, spaltenweise oder feldweise übernehmen. Im linken Teil des Fensters sehen Sie nun, ergänzend zu den bereits sichtbaren Vorschlagswerten, die übernommenen Berechtigungswerte. Nach der Bestätigung dieser Eingaben gelangen Sie zurück in die Detailsicht Ihrer Rolle. Sie sehen hier die Ergänzungen der Berechtigungswerte für Ihr Berechtigungsobjekt.
Weitere Gefahren sind, dass Admins einfach Benutzerrollen kopieren, keine Kontrollprozesse für Berechtigungsvergaben existieren oder die Prozesse im Laufe der Zeit nicht eingehalten werden. In diesem Rahmen sollten zwei Dinge geklärt werden: Welcher SAP-Benutzer darf auf welche Daten zugreifen? Worin unterscheiden sich die Rollen (vor allem wenn es sich um ähnliche Rollen handelt)?
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Dafür muss die ZBV einmal initial konfiguriert werden.
Bei der Anlage eines neuen Benutzers wird die Standardbenutzergruppe als Vorbelegung herangezogen; diese Benutzergruppe kann durch die Einstellung einer anderen Benutzergruppe im Benutzerparameter S_USER_GRP_DEFAULT für jeden Benutzeradministrator überschrieben werden.