Kundenspezifische Berechtigungen einsetzen
Aktivitätslevel
Ein Hinweis zur zugrunde liegenden Tabelle USKRIA: Diese Tabelle ist mandantenunabhängig. Aus diesem Grund können Sie diese Tabelle in Systemen, die gegen ein mandantenübergreifendes Customizing gesperrt sind, nicht pflegen. In diesem Fall sollten Sie einen Transportauftrag im Entwicklungssystem anlegen und die Tabelle ins Produktivsystem transportieren.
Optional: Berechtigungsobjekt S_PATH: Wurden in der Prüfung 3 zusätzliche Berechtigungsprüfungen für einzelne Pfade für das Berechtigungsobjekt S_PATH identifiziert, werden diese im vierten Schritt geprüft. Dabei werden die Zugriffsart und die in der Tabelle SPTH hinterlegte Berechtigungsgruppe geprüft.
Ziel eines Berechtigungskonzepts
Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE. Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Transaktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat. Zusätzlich können ausführbare Transaktionen aber auch durch die Zuordnung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Zuvor müssen allerdings alle Indexeinträge gelöscht werden; es kann also wieder zu einer langen Laufzeit des Reports kommen.
So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen.