Automatische Synchronisation in der Zentralen Benutzerverwaltung verwenden
Alten Stand bearbeiten
Sie haben eine Organisationsstruktur, die 4 Hierarchieebenen - Behörde, Abteilung, Referat, Sachgebiet) umfasst. Das Berechtigungskonzept in Ihrer Organisation sieht vor, dass der Zugriff (Bearbeitung) auf die Records Management Objekte für einen Mitarbeiter nur innerhalb seiner eigenen Organisationseinheit erlaubt sein soll. Die Berechtigungsprüfung soll aber nur auf drei Ebenen erfolgen. Wenn also ein Referat in weitere Sachgebiete untergliedert ist, sollen alle Mitarbeiter des Referats und der Sachgebiete dieselben Berechtigungen haben. Da Abteilung 2 und Abteilung 3 sehr eng zusammen arbeiten, sollen die Mitarbeiter von Abteilung 2 alle Akten, Vorgänge und Dokumente der Abteilung 3 lesen können und umgekehrt.
In der alltäglichen Rollenpflege kommt es häufig dazu, dass Sie die Berechtigungsdaten einer Einzelrolle erneut ändern müssen, nachdem Sie die Rolle zusammen mit den generierten Berechtigungsprofilen bereits in einem Transportauftrag aufgezeichnet haben. Bisher mussten Sie in diesem Fall einen neuen Transportauftrag anlegen, weil bei jeder Einzelrollenaufzeichnung auch die Tabellenschlüssel der generierten Profile und Berechtigungen aufgezeichnet, aber bei späteren Änderungen der Rollendaten nicht angepasst werden.
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Die Transaktion SU10 unterstützt Sie als Benutzeradministrator bei der Massenpflege von Benutzerstammsätzen. Dazu können Sie die Benutzerdaten nun auch nach Anmeldedaten selektieren. Sie kennen das sicher: Sie haben Benutzer gesperrt, damit z. B. ein Support Package eingespielt werden kann. Einige Benutzer, wie z. B. Administratoren, sind davon nicht betroffen. Zur kollektiven Entsperrung möchten Sie nur die Benutzer mit einer Administratorsperre selektieren. Hierzu bietet sich das Werkzeug zur Massenpflege von Benutzern in der Transaktion SU10 an. Mithilfe dieser Transaktion können Sie nach Benutzern selektieren, um anschließend eine Aktion für alle selektierten Benutzer auszuführen. Bislang konnten Benutzer nur nach Adressdaten und Berechtigungsdaten selektiert werden.
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
In der Transaktion TPC6 stellen Sie die zu prüfenden Zeiträume ein.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
In SAP-Hinweis 1763089 finden Sie Informationen zu den Systemvoraussetzungen und Support Packages, die Sie benötigen, um auf die neue Funktion zuzugreifen.