Grenzen von Berechtigungstools
Rollen und Berechtigungen in SAP SuccessFactors wachsen oft organisch und werden unübersichtlich
Im zweiten Beispiel sind zusätzliche Berechtigungsprüfungen für die Anzeige bestimmter Belege in den Transaktionen FBL*N gefordert. Dies können Sie über die Ausprägung und Aktivierung eines Funktionsbausteins im BTE, den sogenannten Prozessen und Events erreichen. Den Musterfunktionsbaustein BTE zum Event 1650 finden Sie in der Transaktion FIBF im Bereich der Publish-&-Subscribe-Schnittstellen (Umfeld > Informationsystem (P/S)). Der Musterfunktionsbaustein dient grundsätzlich der Anreicherung von Daten in der Einzelpostenanzeige. Dazu übergibt er den kompletten Datensatz pro Belegzeile und erwartet diesen angereichert wieder zurück. Genau dieses Verhalten machen wir uns zunutze.
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein? Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System auswerten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführbaren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgenden klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
Herausforderungen im Berechtigungsmanagement
Eine universal anwendbare Vorlage für ein zuverlässiges und funktionierendes Berechtigungskonzept existiert aufgrund der Individualität und der unterschiedlichen Prozesse innerhalb jedes Unternehmens nicht. Im Rahmen der Erstellung müssen somit die Strukturen des Unternehmens und die relevanten Prozesse genau analysiert werden. Einige Kernelemente des zu erstellenden Berechtigungskonzepts können im Vorfeld definiert werden. Dazu gehören das übergeordnete Ziel, die rechtlichen Rahmenbedingungen, eine Namenskonvention, die Klärung von Verantwortlichkeiten und Prozessabläufen für das Benutzer- wie auch Berechtigungsmanagement sowie die Ergänzung durch Sonderberechtigungen. Nur mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet.
Für den Fall, dass dennoch solche Konflikte auftreten, sind regelmäßige Kontrollen als Teil eines internen Kontrollsystems festzuschreiben. Des Weiteren finden sich im Berechtigungskonzept Inhalte wie z. B. die Einbindung des Dateneigentümers, sicherheitsrelevante Systemeinstellungen, Vorgaben zur Pflege der Berechtigungsvorschlagswerte (Transaktion SU24) und Dokumentationspflichten.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Wildwuchs bei den in Benutzer-IDs verwendeten Zeichen kann negative Auswirkungen haben.
Behalten Sie hier den Überblick, um Abhängigkeiten zu erkennen und Zugriffsberechtigungen organisationsspezifisch steuern zu können.