Systembenutzer
Prüfung auf Programmebene mit AUTHORITY-CHECK
Neues vom Systemtrace für Berechtigungen! Hier wurden Funktionen ergänzt, die das Aufzeichnen und die Rollenpflege deutlich vereinfachen. Bei der Pflege von Berechtigungswerten in PFCG-Rollen sowie bei der Fehlersuche ist die Verwendung des Systemtrace für Berechtigungen unumgänglich. Hier haben SAP-Kunden sich in der Vergangenheit mehr Benutzerfreundlichkeit gewünscht, da die Traceauswertung zum Teil unübersichtlich ist.
Eine Möglichkeit, einen direkten Zugriff auf die nachgelagerten Systeme vom Entwicklungssystem aus zu erhalten und dort evtl. unautorisierte Aktivitäten durchzuführen, besteht in der Nutzung fehlerhaft konfigurierter Schnittstellen. Grundsätzlich sollten Schnittstellen innerhalb einer Transportlandschaft bezüglich der Kritikalität der Systeme „bergauf“, also von einem „unsicheren“ auf ein „sicheres“ System (z.B. E-System auf Q- oder P-System) vermieden werden. Dies lässt sich allerdings nicht immer umsetzen, beispielsweise werden innerhalb des Transportwesens solche Schnittstellen benötigt. Ohne zu tief in die Thematik einzusteigen, lassen sich jedoch kritische Schnittstellen über folgende Eigenschaften charakterisieren. Kritische Schnittstellen verweisen auf ein kritisches System und einen kritischen Mandanten, beinhalten einen Schnittstellenbenutzer mit kritischen Berechtigungen im Zielmandanten, beinhalten dessen hinterlegtes Kennwort.
Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Nachdem die funktionale Spezifikation abgenommen worden ist, kann man mit der Umsetzung begingen: Erstellen Sie dafür zuerst Ihr kundeneigenes Berechtigungsobjekt und implementieren Sie die dafür vorgesehene Berechtigungsprüfung. Im nächsten Schritt müssen Sie die Vorschlagswerte in der Transaktion SU24 für die jeweilige kundeneigene Transaktion pflegen. Rufen Sie hierzu Ihre eigens erstellte Transaktion auf, und weisen Sie die notwendigen Berechtigungsobjekte entweder manuell über den Button Objekt zu, oder verwenden Sie den Berechtigungs- oder Systemtrace zur Vergabe der Berechtigungen (siehe Tipp 40, »Den Berechtigungstrace zur Ermittlung von Vorschlagswerten für kundeneigene Berechtigungen verwenden«). Dabei müssen Sie die im kundeneigenen Coding verwendeten Berechtigungsobjekte hinterlegen. Pro Berechtigungsobjekt können Sie Feldwerte pflegen, die als Vorschlagswerte in den jeweiligen Rollen auftauchen. Nun müssen alle betroffenen Rollen angepasst werden. Ist der Abmischmodus für die Transaktion PFCG auf Ein gestellt (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), werden alle PFCG-Rollen, die der jeweilige Transaktion im Rollenmenü zugewiesen werden, erkannt und können über die Transaktion SUPC neu abgemischt werden. Befindet sich die kundeneigene Transaktion noch nicht in den PFCG-Rollen, wird sie an dieser Stelle ergänzt, und die jeweilige PFCG-Rolle wird neu abgemischt.
Unter Schritt 2d (veränderte Transaktionscodes anzeigen) werden alle Rollen aufgelistet, bei denen festgestellt wurde, dass ein alter Transaktionscode verwendet wird. Es kommt hier und da vor, dass neue Transaktionscodes alte Transaktionscodes ersetzen. In diesem Schritt haben Sie die Möglichkeit, die Transaktionscodes auszutauschen. Sobald Sie mit dem Upgrade der Berechtigungsvorschlagswerte fertig sind, haben Sie in Schritt 3 (Transport der Kundentabellen) die Möglichkeit. Ihre Berechtigungsvorschläge in Ihrer Systemlandschaft zu transportieren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Geben Sie in der Transaktion SU01 eine noch nicht vorhandene Benutzer-ID ein, und klicken Sie auf den Button Anlegen ((F8)).
Schieben Sie diesem einen Riegel vor, indem Sie den Zeichenvorrat von vornherein einschränken.