Favoriten der Benutzer zentral einsehen
Grenzen von Berechtigungstools
Ein weiterer wichtiger Faktor, der in einem Berechtigungskonzept berücksichtigt werden sollte, besteht darin, eine einheitliche Namenskonvention zu verwenden, weil einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits so die Suchbarkeit im SAP System sichergestellt wird. Zusätzlich sollten die voreingestellten Berechtigungsrollen des SAP System niemals überschrieben oder gelöscht werden, sondern lediglich Kopien davon erstellt werden, welche dann beliebig angepasst werden können.
Das manuelle Zufügen von Berechtigungsobjekten in Rollen ist teilweise erforderlich. Die Startberechtigungen für Aktionen sollten allerdings ausschließlich über das Rollenmenü in die Rolle generiert werden. Für die nachfolgenden Auswertungen wird die Tabelle AGR_1251 genutzt, in der zu den Rollen die Berechtigungsobjekte mit ihren Werten gespeichert werden.
Rollenverwaltung
Die wichtigsten Security Services im Hinblick auf Berechtigungen sind der EarlyWatch Alert (EWA) und der SAP Security Optimization Service (SOS). Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP. Beide Services werden als teilautomatisierte Remote Services geliefert; den SOS können Sie auch als vollautomatisierten Self-Service nutzen. Im EWA und SOS werden Berechtigungsprüfungen durchgeführt, deren Ergebnis immer wie folgt aufgebaut ist: Die Überschrift benennt den betreffenden Check. Ein kurzer Text beschreibt die Bedeutung der geprüften Berechtigung und das Risiko, das bei einer unnötigen Vergabe entsteht. Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an. Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen. Im SOS folgt für jeden Check eine Empfehlung, wie Sie das identifizierte Risiko minimieren können. Eine abschließende formale Beschreibung stellt die geprüften Berechtigungen dar. Es werden allerdings nicht nur die explizit genannten Transaktionen ausgewertet, sondern auch äquivalente Parameter- oder Variantentransaktionen.
Nachdem Sie die Entwicklung des User-Exits abgeschlossen haben, müssen Sie noch Ihre Validierung transportieren. Navigieren Sie hierzu zurück, und markieren Sie die angelegte Validierung. Nun können Sie die Objekte über den Menüpfad Validierung > Transport in einen Transportauftrag einbinden. Abschließend müssen Sie Ihre Validierung noch über die Transaktion OB28 aktivieren. Dabei müssen Sie beachten, dass dies nur für eine Validierung (gegebenenfalls mit mehreren Schritten) pro Buchungskreis und Zeitpunkt möglich ist. Nun wird Ihre Validierung mit zusätzlichen Prüfungen bei der Belegbuchung über eine Schnittstelle durchlaufen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an.
Die Konfiguration des Betriebssystems, der Datenbank und von Profilparametern können Sie im ABAP- und Java-System auswerten.