Anforderungen an ein Berechtigungskonzept umsetzen
Organisatorische Zuordnung
Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen. Als kleiner Vorgriff mag ich hier einige SAP Blogs zum Thema SAP Basis verweisen oder auch der VideoPodcast "RZ10 LIVE SAP BASIS UND SECURITY" von rz10.de greift Themen im Bereich Berechtigungen immer wieder auf und ist hier lehrreich :-).
Wenn Sie nun die Zeile mit der von Ihnen erstellten Parametertransaktion markieren und auf den Button Vorschlagswerte klicken, wird automatisch das Berechtigungsobjekt S_TABU_NAM mit den korrekten Vorschlagswerten, also dem Tabellennamen in der Transaktion SU24 angelegt. Prüfen Sie diese Vorschlagswerte, indem Sie auf Ja in der Spalte S_TABU_NAM klicken. Sie landen nun in einem View aus der Transaktion SU24 und können in den Tabellen Berechtigungsobjekte und Berechtigungsvorschlagswerte (für alle Berechtigungsobjekte) prüfen, welche Änderungen am Objekt S_TABU_NAM automatisch vorgenommen worden sind. Nutzen Sie den SAP-Hinweis 1500054 für weitere Informationen und eine Implementierungsanleitung. Der SAP-Hinweis liefert darüber hinaus den Analysereport SUSR_TABLES_WITH_AUTH, der Tabellenberechtigungen für Anwender oder Einzelrollen angibt. Dieser Report prüft auf Benutzer- oder Einzelrollenebene, für welche Tabellen aufgrund der Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Berechtigungen vorhanden sind. Der Report prüft nicht, ob der Anwender über die ebenfalls notwendigen Transaktionsstartberechtigungen, wie z. B. S_TCODE, verfügt. Prüfen Sie z. B., welche Tabellenberechtigungen ein bestimmter Benutzer aufgrund des Berechtigungsobjekts S_TABU_DIS hat, erhalten Sie die Informationen zu den Tabellennamen, zur dazugehörigen Tabellenberechtigungsgruppe und zu den berechtigten Aktivitäten. Die Berechtigungen zum Zugriff auf Tabellen direkt zu vergeben, ist flexibel und sinnvoll, ist nur dann nicht empfehlenswert, wenn der Mechanismus ausgehebelt wird, indem der Anwender über generische Pflegetools generellen Tabellenzugriff erhält.
Anmeldesperren sicher einrichten
Im SAP-Standard gibt es keine allgemein anwendbare Möglichkeit für die Automatisierung der Massenpflege von Rollenableitungen. Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar) (BRM) von SAP Access Control.
Sie möchten den Überblick behalten, welche Änderungen in der Konfiguration der Zentralen Benutzerverwaltung oder an den Verteilungsparametern für die Benutzerstammpflege vorgenommen wurden? Hierzu können Sie die Änderungsbelege zentral verwalten. Über die Zentrale Benutzerverwaltung (ZBV) werden Benutzer angelegt, Rollen zugeordnet und in die jeweiligen Tochtersysteme verteilt. Dafür muss die ZBV einmal initial konfiguriert werden. Dazu gehören u. a. das Definieren der ZBV-Landschaft, d. h. das Festlegen von Zentralsystem und Tochtersystemen, das Einstellen der Verteilungsparameter sowie die Übernahme der Benutzer aus den Tochtersystemen in das Zentralsystem. Die ZBV können Sie auch im Nachhinein noch weiterkonfigurieren. So können Sie z. B. Tochtersysteme hinzufügen oder aus der ZBV herauslösen. Einstellungen zu den Verteilungseigenschaften der Felder können Sie in der Transaktion SCUM verändern, sodass Felder, die ursprünglich global über die ZBV verteilt wurden, auch lokal pflegbar sind. Alle diese Informationen zu den Änderungen an der ZBV-Konfiguration wurden bisher nicht zentral protokolliert.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Damit können Sie nun fehlgeschlagene Berechtigungsprüfungen auch in Web-Dynpro-Anwendungen oder anderen Benutzeroberflächen anzeigen, was bisher nicht möglich war.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Bei der FIORI Umgebung gibt es grundsätzlich zwei unterschiedliche Arten von Zugriffen über eine Kachel.