Vergabe von Rollen
Gesetzeskritische Berechtigungen
Bereits beim Anlegen der PFCG-Einzelrollen im jeweiligen SAP-System sollten Sie die Menüstruktur so erstellen, dass sie mit anderen Einzelrollen in einer Sammelrolle zusammengefasst werden können. Haben Sie die Einzelrollen mit dem richtigen Rollenmenü einmal erstellt, können Sie diese einer Sammelrolle zuordnen. Fügen Sie der Sammelrolle das Rollenmenü über den Button Menü einlesen hinzu. Das Menü kann nun final sortiert werden. Sind Änderungen am Rollenmenü notwendig, müssen Sie diese jedoch zuerst in den Einzelrollen vornehmen, um sie dann in der Sammelrolle neu abzumischen (über den Button Abmischen, siehe Abbildung nächste Seite oben). Transaktionen aus anderen SAP-Systemen wie SAP CRM, SAP SCM usw. können Sie ebenfalls in den NWBC einbinden. Zu diesem Zweck legen Sie die PFCG-Einzelrolle für die entsprechenden Transaktionen zunächst im Zielsystem an. Aus den Einzelrollen können Sie wieder Sammelrollen mit einer definierten Menüstruktur erstellen.
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Fehlendes Knowhow
Anschließend legen Sie eine Unterroutine mit demselben Namen wie die User-Exit-Definition an und programmieren dort Ihre kundenspezifischen Prüfungen (z. B. auf bestimmte Datenkonstellationen oder Berechtigungen). Binden Sie die Exit-Definition (UGALI) über die Transaktion GGB0 ein. Dabei müssen Sie diese Transaktion erneut aufrufen, damit der ausprogrammierte Exit gelesen wird und Sie ihn selektieren können.
Mit diesen Informationen gewappnet, geht es an die Konzeptarbeit. Beschreiben Sie, welche Mitarbeitergruppen welcher Organisationseinheiten welche Applikationen nutzen, und legen Sie den Umfang der Nutzung fest. Nehmen Sie in der Beschreibung auf, für welche organisatorischen Zugriffe (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) die Organisationseinheit je Applikation berechtigt sein soll; bilden Sie also die Aufbauorganisation ab. Halten Sie unbedingt auch fest, welche zwingenden Funktionstrennungen zu berücksichtigen sind. Dadurch erhalten Sie eine recht detaillierte Beschreibung, die im Prinzip schon betriebswirtschaftliche Rollen (in Bezug auf das System) ausweist.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie finden dieses Werkzeug im Arbeitsbereich Change Management (Transaktion SOLMAN_WORKCENTER oder SM_WORKCENTER) des SAP Solution Managers.
Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen.