Benutzerstammdaten
Berechtigungsobjekte der PFCG-Rolle
Um auf betriebswirtschaftliche Objekte zuzugreifen oder SAP-Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da betriebswirtschaftliche Objekte oder Transaktionen durch Berechtigungsobjekte geschützt sind. Die Berechtigungen stellen Instanzen der generischen Berechtigungsobjekte dar und sind je nach Tätigkeit und Zuständigkeit des Mitarbeiters ausgeprägt. Die Berechtigungen werden in einem Berechtigungsprofil zusammengefasst, das zu einer Rolle gehört. Die Benutzeradministratoren weisen dem Mitarbeiter dann über den Benutzerstammsatz die entsprechenden Rollen zu, damit dieser für seine Aufgaben im Unternehmen die jeweiligen Transaktionen nutzen kann.
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
Kompensierende Maßnahmen für Funktionstrennungskonflikte
Das Rollenkonzept sieht vor, dass jeder Anwender nur die Aufgaben bearbeiten kann, zu denen er befugt ist. Die Entwicklung erfolgt abteilungsübergreifend und muss sensible Daten vor unbefugtem Zugriff schützen. Ein klares Rollenkonzept ermöglicht einen modularen Aufbau von Berechtigungen, ohne für jeden Benutzer eigene Rollen anlegen zu müssen.
Bereits beim Anlegen der PFCG-Einzelrollen im jeweiligen SAP-System sollten Sie die Menüstruktur so erstellen, dass sie mit anderen Einzelrollen in einer Sammelrolle zusammengefasst werden können. Haben Sie die Einzelrollen mit dem richtigen Rollenmenü einmal erstellt, können Sie diese einer Sammelrolle zuordnen. Fügen Sie der Sammelrolle das Rollenmenü über den Button Menü einlesen hinzu. Das Menü kann nun final sortiert werden. Sind Änderungen am Rollenmenü notwendig, müssen Sie diese jedoch zuerst in den Einzelrollen vornehmen, um sie dann in der Sammelrolle neu abzumischen (über den Button Abmischen, siehe Abbildung nächste Seite oben). Transaktionen aus anderen SAP-Systemen wie SAP CRM, SAP SCM usw. können Sie ebenfalls in den NWBC einbinden. Zu diesem Zweck legen Sie die PFCG-Einzelrolle für die entsprechenden Transaktionen zunächst im Zielsystem an. Aus den Einzelrollen können Sie wieder Sammelrollen mit einer definierten Menüstruktur erstellen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Anders als der Berechtigungstrace ist ein Systemtrace hauptsächlich für kurze Zeiträume ausgelegt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Die Anforderungen in diesen Beispielen können Sie umsetzen, indem Sie die Berechtigungsprüfungen im Finanzwesen mithilfe der Belegvalidierung, eines Business Transaction Events (BTE) und anhand von Business Add-ins (BAdIs) erweitern.