Rollen über das Organisationsmanagement zuordnen
Die Transaktionen SU22 und SU24 richtig verwenden
Arbeiten Sie auch in einer komplexen Systemlandschaft, in der die Rollen dezentral gepflegt werden? Dann kann es durch den Transport von Profilen aus unterschiedlichen Systemen in ein Zielsystem zu Inkonsistenzen kommen. Wir zeigen Ihnen, wie Sie das verhindern. Bei dezentraler Pflege der Berechtigungsrollen, d. h. einer Pflege der Rollen in unterschiedlichen Systemen bzw. Mandanten, besteht das Risiko, dass sich die Nummernkreise für die Generierung von Berechtigungsprofilen überlappen. Sie können dann zu unterschiedlichen Rollen in unterschiedlichen Mandanten Profile mit gleichem Namen generieren. Sobald Sie diese gleichnamigen Berechtigungsprofile in ein gemeinsames Zielsystem transportieren, wird das bisherige Profil durch das neu importierte Profil überschrieben, und es entstehen Inkonsistenzen. In der Konsequenz kann es passieren, dass Sie beispielsweise einer ERP-Berechtigungsrolle ein SCMBerechtigungsprofil zuweisen. Dies kann dazu führen, dass ein Benutzer, dem die ERP-Rolle zugewiesen ist, nicht die benötigten oder sogar zu viele Berechtigungen erhält. Außerdem haben Sie ein Problem, falls Sie über das Berechtigungsprofil das Quellsystem und den Mandanten ermitteln wollen, in dem dieses Profil generiert wurde. Dies ist nicht möglich, wenn das erste und dritte Zeichen der SAP-System-ID (SID), und der Nummernkreis für die Generierung des Berechtigungsprofils übereinstimmen.
Der nächste Schritt ist nun die Pflege der Berechtigungswerte. Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen. Wenn Sie aus dem Rollenmenü auf die Registerkarte Berechtigungen wechseln, werden Startberechtigungen für alle im Rollenmenü enthaltenen Anwendungen generiert und Standardberechtigungen aus den Berechtigungsvorschlägen angezeigt. Sie können diese Vorschlagswerte nun mit den Tracedaten ergänzen, indem Sie in der Button-Leiste auf den Button Trace klicken.
Manuell gepflegte Organisationsebenen in Rollen zurücksetzen
Werden im Rollenmenü einer Einzelrolle Transaktionen geändert, wird diese Option automatisch dem Bearbeiter vorgeschlagen. Bei dieser Option gleicht der Profilgenerator die bereits vorhandenen Berechtigungsdaten mit den Berechtigungsvorschlägen der Transaktion SU24 der über das Rollenmenü gepflegten Transaktionen ab. Werden bei diesem Abgleich neue Berechtigungen in den Berechtigungsbaum aufgenommen, werden diese mit dem Aktualisierungstatus Neu gekennzeichnet. Berechtigungen, die bereits vor dem Abgleich vorhanden waren, wird der Aktualisierungstatus Alt zugewiesen.
Wird eine Transaktion aus dem Rollenmenü entfernt, wird die jeweilige Standardberechtigung beim Abmischen gelöscht. Dies gilt jedoch nur, sofern keine weitere Transaktion diese Berechtigung benötigt und somit den gleichen Berechtigungsvorschlag verwendet. Dieser Umstand gilt sowohl für aktive als auch für inaktiv gesetzte Standardberechtigungen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Wie geht man da vor? Kommen wir zunächst mal zum Fall 1 Dieser Fall, dass also jemand keine Berechtigung für etwas hat, unterstützt das System vortrefflich! Das Codewort ist SU53! Falls eine Transaktion auf einen Berechtigungsfehler trifft, dann wird dieser Fehler in einen Speicherbereich geschrieben, den man sich anzeigen lassen kann.
Auch die System-Performance leidet mit zunehmender Datenmenge.