Lösungsansätze für effiziente Berechtigungen
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen. Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja.
Der Komfort bei der Konfiguration und Auswertung des Security Audit Logs wurde verbessert. Dafür wurden die maximale Anzahl markierter Meldungen in der Detailauswahl auf 40 Ereignisse erhöht, eine Vorwärtsnavigation für die dargestellten Objekte ergänzt und die Detailauswahl in Transaktion SM20 um die technischen Ereignisnamen ergänzt. Sie finden die Korrekturen und eine Übersicht über die erforderlichen Support Packages in SAP-Hinweis 1963882.
SAP S/4HANA® Migrationsprüfung
Für den Fall, dass dennoch solche Konflikte auftreten, sind regelmäßige Kontrollen als Teil eines internen Kontrollsystems festzuschreiben. Des Weiteren finden sich im Berechtigungskonzept Inhalte wie z. B. die Einbindung des Dateneigentümers, sicherheitsrelevante Systemeinstellungen, Vorgaben zur Pflege der Berechtigungsvorschlagswerte (Transaktion SU24) und Dokumentationspflichten.
Im schriftlich dokumentierten Berechtigungskonzept sollte auch das Kapitel der Berechtigungsrezertifizierung definiert sein. Damit ist eine regelmäßige, mindestens einmal im Jahr durchzuführende Überprüfung der vergebenen Berechtigungen im SAP®-System gemeint. Im Zuge dieses Prozesses sollten die zuständigen Fachbereiche die Vergabe der jeweiligen Rollen an Benutzer in ihrem Bereich überprüfen und noch einmal kritisch hinterfragen. Durch diesen Prozess kann letzten Endes sichergestellt werden, dass die Benutzer auch tatsächlich nur jene Berechtigungen im SAP®-System besitzen, die sie auch tatsächlich brauchen. Es muss also definiert sein, in welchem Zeitraum und in welcher Form die Fachbereiche die Informationen über die vergebenen Berechtigungen erhalten und bezüglich der Korrektheit der Vergabe zurückmelden müssen. In der Vorbereitung ist daher zu überprüfen, ob der Prozess gemäß den internen Vorgaben, aber auch gemäß möglicher Optimierungsvorschläge des Wirtschaftsprüfers, ausgeführt wurde und sämtliche Nachweise griffbereit für den Prüfer abgelegt sind.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Wie ist es möglich, von einer Transaktion in eine andere zu springen, ohne dass die Berechtigung für die Zieltransaktion geprüft wird? Mit der Anweisung CALL TRANSACTION! In diesem Tipp erläutern wir Ihnen, wie Sie Berechtigungen für Absprünge von einer Transaktion in eine andere über den ABAP-Befehl CALL TRANSACTION vergeben bzw. aktiv bestimmen können, welche Prüfungen durchgeführt werden sollen.
Neben der teilweise vorhandenen Onlinehilfe zu einzelnen Berechtigungsobjekten stellt scih die Frage wie die Dokuemtation zum Berechitgungsobjekt aufgerufen werden kann.