Bereits enthaltene Berechtigungsobjekte
Berechtigungsprüfung
Nachdem Sie die Änderungsbelege der Benutzer- und Berechtigungsverwaltung archiviert haben, können Sie über einen logischen Index für Änderungsbelegmerkmale die Performance der Auswertung erheblich verbessern. Zuerst müssen Sie allerdings sicherstellen, dass die SAP-Hinweise 1648187 und 1704771 in Ihren Systemen installiert sind. Mit diesen Hinweisen wird der Report SUIM_CTRL_CHG_IDX ausgeliefert, mit dem Sie Schlüsselmerkmale für Änderungsbelegmerkmale der Objektklassen PFCG und IDENTITY in die Tabelle SUIM_CHG_IDX eintragen, wenn Sie das Feld Indiziere zentrale Änderungsbelege markiert haben. Dabei werden alle Änderungsbelege indiziert (beim ersten Durchlauf des Reports kann dies zu einer sehr langen Laufzeit führen). Später werden regelmäßig (z. B. wöchentlich oder monatlich) die neu hinzugekommenen Änderungsbelege indiziert. Dazu geben Sie das Zieldatum in der Selektion des Reports an und planen ihn als regelmäßigen Job ein. Beachten Sie dabei, dass Sie den Index immer nur bis zum vorangehenden Tag anlegen dürfen – andernfalls kann es zu Inkonsistenzen kommen.
Sie nutzen die Ergebnis- und Marktsegmentrechnung und benötigen Berechtigungsprüfungen für Kombinationen aus Merkmalen und Kennzahlen, die im Standard nicht enthalten sind? Legen Sie dazu spezifische Berechtigungsobjekte an. In der Ergebnis- und Marktsegmentrechnung (CO-PA) können Sie Kennzahlen und Ergebnisobjekte (Gruppen von Merkmalen) für die Planung und das Informationssystem definieren. Dabei kann es vorkommen, dass Sie die Berechtigungen auch über diese Merkmale oder Kennzahlen steuern möchten. Dies lässt sich mit den Standardberechtigungsobjekten nicht abbilden. Legen Sie daher Berechtigungsobjekte im Customizing der Ergebnisrechnung an.
Herausforderungen im Berechtigungsmanagement
Sollen Ihre Benutzer ihre eigenen Hintergrundjobs freigeben dürfen, benötigen Sie dafür die Berechtigung JOBACTION = RELE zum Objekt S_BTCH_JOB. In diesem Fall dürfen sie alle Jobs zu einem gewünschten Zeitpunkt starten lassen. In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«). Der Vorteil dabei ist, dass die Berechtigungen genauer gesteuert werden können und Sie nicht das Risiko eingehen, dass ein Job nicht mehr läuft, sollte der Benutzer, unter dem er eingeplant war, einmal Ihr Unternehmen verlassen. Die Zuordnung zu einem Systembenutzer können Sie realisieren, indem Sie dem Benutzer, der den Job einplant, eine Berechtigung für das Objekt S_BTCH_NAM erteilen. Im Feld BTCUNAME wird der Name des Step- Benutzers eingetragen, d. h. des Benutzers, unter dem der Job laufen soll, z. B. MUSTERMANN.
Neues vom Systemtrace für Berechtigungen! Hier wurden Funktionen ergänzt, die das Aufzeichnen und die Rollenpflege deutlich vereinfachen. Bei der Pflege von Berechtigungswerten in PFCG-Rollen sowie bei der Fehlersuche ist die Verwendung des Systemtrace für Berechtigungen unumgänglich. Hier haben SAP-Kunden sich in der Vergangenheit mehr Benutzerfreundlichkeit gewünscht, da die Traceauswertung zum Teil unübersichtlich ist.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen.
Wir erklären Ihnen daher im Folgenden die Unterschiede zwischen dem Sperren von Passwörtern, Sperren und Gültigkeiten von Benutzerkonten und Gültigkeiten von zugeordneten Berechtigungen.