Kundeneigene Customizing-Tabellen in den IMG einbinden
Nutzungsdaten für die Rollendefinition verwenden
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.
Diese Lösung steht nur über ein Support Package ab SAP NetWeaver AS ABAP 731 zur Verfügung und erfordert einen Kernel-Patch. Die Details zu den relevanten Support Packages finden Sie in SAP-Hinweis 1891583. Grundsätzlich kann dann die Anmeldung von Benutzern am Anwendungsserver durch die Einstellung des neuen Profilparameters login/server_logon_restriction eingeschränkt werden.
Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
Ihnen ist sicher bekannt, dass Sie sich bei der Vergabe von Namen von PFCG-Rollen nicht zwingend im Kundennamensraum bewegen müssen und somit viel Freiraum haben. Die einzige Einschränkung ist hier, dass Sie nicht den Namensraum der von SAP ausgelierten Rollen verwenden dürfen. Zunächst müssen Sie sich über die Form der Namen einig sein. Eine grundlegende Entscheidung ist die Festlegung der Sprache, in der die PFCG-Rollen gepflegt werden müssen. Dies hat zwar auf den Rollennamen nicht zwingend Einfluss, da dieser in allen Sprachen gleich ist, aber Sie haben sicher beschreibende Elemente in Ihren Rollennamen. Auch die Rollenbeschreibung sowie der Langtext sind jeweils sprachabhängig. Es ist deshalb sinnvoll, die Rollen initial in der Sprache anzulegen, die auch am häufigsten genutzt wird, und auch die beschreibenden Texte zunächst in dieser Sprache zu pflegen. Werden Rollen in verschiedenen Sprachen benötigt, können Sie die Texte übersetzen.
Welche Rollen hat mein Benutzer (SU01)? Wir starten mit einer einfachen Frage: welche Rollen sind deinem SAP-Benutzer eigentlich zugeordnet? Mit der Transaktion SU01 kannst du dir deinen (oder andere) SAP-Benutzer ansehen. Neben vielen anderen Informationen findest du auf dem Reiter “Rollen” die zugeordneten Einzel- und Sammelrollen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Im SAP-Standard setzt sich der Name eines generierten Profils wie folgt zusammen, wenn die System-ID z. B. ADG lautet: T-AG######.
Der Hintergrund des massenhaften Vorhandenseins von Berechtigungsobjekten in einer PFCG-Rolle, nachdem ein Rollenmenü erstellt worden ist, ist in der Regel die Masse an generischen OP-Links, die eigentlich für die CRMBusiness- Rolle gar nicht notwendig sind.