Redesign der SAP® Berechtigungen
Customizing
Sie haben Anwendungen selbst entwickelt und möchten Vorschlagswerte für diese pflegen? Das geht am einfachsten mithilfe des Berechtigungstrace. Auch bei selbst entwickelten Anwendungen werden Berechtigungsprüfungen durchgeführt. Diese Anwendungen müssen somit in die PFCG-Rollen aufgenommen werden. Werden sie in einem Rollenmenü gepflegt, wird Ihnen auffallen, dass neben den Startberechtigungen (wie z. B. S_TCODE) keine weiteren Berechtigungsobjekte in die PFCG-Rolle übernommen werden. Der Grund dafür ist, dass auch für kundeneigene Anwendungen Vorschlagswerte gepflegt werden müssen, um sicherzustellen, dass die PFCG-Rollenpflege regelkonform abläuft, und um die Pflege für Sie zu erleichtern. Bisher mussten die Werte von kundeneigenen Anwendungen entweder manuell in der PFCG-Rolle nachgepflegt werden, oder die Vorschlagswertepflege in der Transaktion SU24 wurde manuell durchgeführt.
Der Umgang mit Organisationsebenen in PFCG-Rollen will gelernt sein. Werden diese manuell gepflegt, entstehen Probleme beim Ableiten von Rollen. Wir zeigen Ihnen, wie Sie die betreffenden Felder korrigieren können. Manuell gepflegte Organisationsebenen (Orgebenen) in PFCG-Rollen können nicht über den Button Orgebenen gepflegt werden. Diese Organisationsebenen verhindern, dass das Vererbungskonzept korrekt umgesetzt werden kann. Dass Organisationsebenen manuell gepflegt worden sind, erkennen Sie, wenn Sie Werte über den Button Orgebenen eintragen, die Änderungen aber nicht in das Berechtigungsobjekt übernommen werden.
Die Zentrale Benutzerverwaltung temporär abschalten
Diese erweiterte Funktionalität der Transaktion SU53 wird über einen Patch ausgeliefert. Im SAP-Hinweis 1671117 finden Sie weiterführende Informationen zu den erforderlichen Support Packages sowie technische Hintergründe. Nicht erfolgreiche Berechtigungsprüfungen werden nun in einen Ringpuffer des Shared Memorys des Anwendungsservers geschrieben. Damit können Sie nun fehlgeschlagene Berechtigungsprüfungen auch in Web-Dynpro-Anwendungen oder anderen Benutzeroberflächen anzeigen, was bisher nicht möglich war. Abhängig von der Größe des Ringpuffers und der Systemauslastung können je Benutzer bis zu 100 fehlgeschlagene Berechtigungsprüfungen für die letzten drei Stunden angezeigt werden. Die Größe des Ringpuffers wird aus der Anzahl der definierten Workprozesse berechnet. Standardmäßig können 100 Berechtigungsprüfungen je Workprozess gespeichert werden. Diese Größe können Sie mithilfe des Profilparameters auth/su53_buffer_entries anpassen.
Seit SAP NetWeaver 7.02 ist eine solche Funktion verfügbar, d. h., dass Sie auf die Daten des Berechtigungstrace aus dem Systemtrace zugreifen können, um PFCG-Rollen zu pflegen. Im Folgenden zeigen wir Ihnen, wie Sie die Berechtigungswerte aus dem Berechtigungstrace in Ihre Rolle übernehmen können. Dazu zeichnen Sie in einem ersten Schritt Anwendungen anhand ihrer Berechtigungsprüfungen auf und können diese anschließend in Ihr Rollenmenü übernehmen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Sollte keine gültige Benutzergruppe im Customizing-Schalter eingetragen worden sein, ist die Benutzergruppe trotzdem ein Pflichtfeld.
Durch Hinzunahme bestimmter SAP Standardreports und des Benutzerinformationssystems („SUIM“) ist es Ihnen möglich, sicherheitsrelevante Sachverhalte schnell zu erfassen und etwaige Fehler zu beheben.