Berechtigungskonzept des AS ABAP
Benutzerverwaltung
Achten Sie darauf, dass die für die Protokollierung vorgesehenen mandantenunabhängigen Tabellen immer protokolliert werden, wenn die Parameter nicht auf OFF gesetzt sind. Zusätzlich zu den hier angeführten Parametern muss auch in der Tabelle selbst der Haken für die Tabellenprotokollierung gesetzt sein; dies erfolgt üblicherweise mithilfe der Transaktion SE13. Die Einstellungen werden in der Entwicklung vorgenommen und dann in die weiteren Systeme transportiert. Im SAP-Standard sind bereits einige Tabellen für die Protokollierung vorgesehen; einen Überblick über diese Tabellen verschafft Ihnen der SAP-Hinweis 112388 (protokollierungspflichtige Tabellen). Die Einstellungen der Tabellen zur Protokollierung können Sie mit dem Report RDDPRCHK bzw. der Transaktion RDDPRCHK_AUDIT im SAP-System auswerten. Die Selektion erfolgt im Startbild des Reports, z. B. über den Tabellennamen oder die Auswahl der Optionen zur Protokollierung.
Vorab muss klargestellt werden, wobei es sich überhaupt um einen anerkannten „Notfall“ handelt und welche Szenarien die Aktivierung des hoch privilegierten Benutzers noch nicht rechtfertigen. Zudem darf er erst nach begründetem Antrag und nur im 4-Augen-Prinzip genehmigt und freigeschaltet werden. Nach Gebrauch ist er sofort wieder administrativ zu sperren.
Kompensierende Maßnahmen für Funktionstrennungskonflikte
Verwenden Sie den SAP NetWeaver Business Client anstelle von SAP GUI? Dabei wird die Anordnung der Anwendungen auf dem Bildschirm über PFCG-Rollen gesteuert. Der SAP NetWeaver Business Client (NWBC) ist eine Alternative zu SAP GUI, um Zugriff auf SAP-Anwendungen zu erhalten. Hiermit können Sie Anwendungen, die in verschiedenen SAP-Systemen liegen und über verschiedene UI-Technologien verfügen, zentral über eine Oberfläche aufrufen. So können Sie mit dem NWBC nicht nur Transaktionen, sondern auch Web-Dynpro- Anwendungen und externe Serviceanwendungen aufrufen. In diesem Tipp zeigen wir Ihnen, wie Sie den Aufbau der Benutzeroberfläche des NWBC mithilfe von PFCG-Rollen steuern können.
Alle Berechtigungsprüfungen werden in Tabellenform als ALV-Liste ausgegeben. Diese Liste können Sie nach Spalten sortieren oder filtern. Des Weiteren sind sämtliche Neuerungen aus der Transaktion ST01, die wir zu Beginn dieses Tipps aufgeführt haben, für die Auswertung übernommen worden. Durch einen Doppelklick auf ein Berechtigungsobjekt gelangen Sie direkt zur Berechtigungsobjektdefinition, und mit einem Doppelklick auf die Transaktion werden Sie direkt zur Programmstelle geleitet, in der die Berechtigungsprüfung erfolgt. Weitere Verwendungstipps für diesen Trace geben wir Ihnen in Tipp 32, »Berechtigungswerte mithilfe von Traceauswertungen pflegen«, und in Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Tabelle SPTH: Allgemeine Zugriffsrechte für Pfade und zusätzlich definierte Berechtigungsprüfungen für einzelne Pfade auf S_PATH werden ausgewertet.
Welches sind die Hintergründe für diese Pflegestatus, und was sagen sie eigentlich aus?