Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Rollentyp
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Für den Transport von PFCG-Rollen mit ihren Profilen gibt es ebenfalls einen SAP-Hinweis: den Hinweis 1380203. Spielen Sie die Korrektur ein, ist es möglich, für die dritte und vierte Stelle des generierten Profilnamens eigene Positionen zur Definition zu verwenden. Im SAP-Standard setzt sich der Name eines generierten Profils wie folgt zusammen, wenn die System-ID z. B. ADG lautet: T-AG######. Unterscheiden sich Ihre anderen Quellsysteme nur an der zweiten Stelle der System-ID, ist aus dem Profilnamen nicht erkenntlich, aus welchem System die Profile eigentlich stammen.
Allgemeine Berechtigungen
Wenn Sie nun die Zeile mit der von Ihnen erstellten Parametertransaktion markieren und auf den Button Vorschlagswerte klicken, wird automatisch das Berechtigungsobjekt S_TABU_NAM mit den korrekten Vorschlagswerten, also dem Tabellennamen in der Transaktion SU24 angelegt. Prüfen Sie diese Vorschlagswerte, indem Sie auf Ja in der Spalte S_TABU_NAM klicken. Sie landen nun in einem View aus der Transaktion SU24 und können in den Tabellen Berechtigungsobjekte und Berechtigungsvorschlagswerte (für alle Berechtigungsobjekte) prüfen, welche Änderungen am Objekt S_TABU_NAM automatisch vorgenommen worden sind. Nutzen Sie den SAP-Hinweis 1500054 für weitere Informationen und eine Implementierungsanleitung. Der SAP-Hinweis liefert darüber hinaus den Analysereport SUSR_TABLES_WITH_AUTH, der Tabellenberechtigungen für Anwender oder Einzelrollen angibt. Dieser Report prüft auf Benutzer- oder Einzelrollenebene, für welche Tabellen aufgrund der Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Berechtigungen vorhanden sind. Der Report prüft nicht, ob der Anwender über die ebenfalls notwendigen Transaktionsstartberechtigungen, wie z. B. S_TCODE, verfügt. Prüfen Sie z. B., welche Tabellenberechtigungen ein bestimmter Benutzer aufgrund des Berechtigungsobjekts S_TABU_DIS hat, erhalten Sie die Informationen zu den Tabellennamen, zur dazugehörigen Tabellenberechtigungsgruppe und zu den berechtigten Aktivitäten. Die Berechtigungen zum Zugriff auf Tabellen direkt zu vergeben, ist flexibel und sinnvoll, ist nur dann nicht empfehlenswert, wenn der Mechanismus ausgehebelt wird, indem der Anwender über generische Pflegetools generellen Tabellenzugriff erhält.
Umfangreiche Berechtigungen für die Transaktionen SCC4 und SE06 sollten Sie nicht an interne und externe Revisoren vergeben, nur damit diese die Systemänderbarkeit einsehen können. Wir stellen Ihnen den Report vor, der zur Anzeige der Systemänderbarkeit nur die Berechtigungen erfordert, die ein Revisor üblicherweise hat. Es gibt verschiedene Personen, die die Einstellungen zur Systemänderbarkeit in Ihrem System aus bestimmten Gründen einsehen möchten. Dies können Mitarbeiter der internen Revision, Wirtschaftsprüfer oder auch Entwickler sein. Die Anzeige dieser Einstellungen, z. B. über die Transaktionen SCC4 oder SE06 ist an sich unkritisch; allerdings waren dafür bisher Berechtigungen notwendig, die dem soeben beschriebenen Personenkreis üblicherweise nicht zugeordnet werden. Seit SAP NetWeaver 7.0 gibt es alternativ einen Report, der die Einstellungen zur Systemänderbarkeit anzeigt. Dieser Report erfordert nur Anzeigeberechtigungen, die dem oben beschriebenen Personenkreis ohne Bedenken zugeordnet werden können. Die Anwendung dieses Reports und die erforderlichen Berechtigungen stellen wir Ihnen an dieser Stelle vor.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Besonderes Augenmerk sollte nicht nur auf die Vergabe der Transaktionen gerichtet werden, sondern auch auf die Werteausprägungen der einzelnen Berechtigungsobjekte.
Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01.