Berechtigungen für User-Interface-Clients
Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen nur Zugriff auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss. Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
Bevor Sie die Systemempfehlungen einsetzen, empfehlen wir Ihnen die Implementierung der Korrekturen in den SAP-Hinweisen 1554475 und 1577059. Außerdem ist es erforderlich, dass die zu verwaltenden Systeme an den SAP Solution Manager angeschlossen sind und in der Transaktion SMSY einem produktiven System und einer SAP-Lösung zugeordnet wurden. Planen Sie dann in den Einstellungen der Systemempfehlungen einen Hintergrundjob ein, der die relevanten Informationen zu den angeschlossenen Systemen sammelt. Relevante Informationen sind Ihr Release- und Support- Package-Stand, sowie eingespielte SAP-Hinweise und deren Versionen. Über eine OSS-Verbindung des SAP Solution Managers, die Sie zuvor einrichten müssen, wird dann im SAP Global Support Backbone eine Berechnung durchgeführt, die die erforderlichen Hinweise ermittelt, d. h., dass im SAP Solution Manager selbst kaum Last durch die Berechnung entsteht. Für einen automatischen Abgleich des Sicherheitsstands Ihrer Systeme sollten Sie diese Berechnung ebenfalls als Hintergrundjob einplanen.
Abfrage der Daten aus einer lokalen Tabelle
Wenn ein Benutzer keine Druckberechtigung für ein Ausgabegerät hat (Berechtigungsobjekt S_SPO_DEV), wird ein eventuell gesetztes Kennzeichen für den Sofortdruck wieder zurückgenommen, d. h., zur Laufzeit des Job- Steps würde ein dabei erstellter Spoolauftrag nicht sofort gedruckt. Werden beim Einplanen eines Steps Archivparameter übergeben, wird eine Prüfung auf das Objekt S_WFAR_PRI ausgeführt. Hat der Step-Benutzer keine passende Berechtigung, wird eine Fehlermeldung ausgegeben.
Sicherheitswarnungen des Security Audit Logs können Sie außerdem über das Alert-Monitoring Ihres Computing Center Management Systems (CCMS) überwachen. Die erzeugten Sicherheitswarnungen entsprechen dabei den Auditklassen der Ereignisse, die im Security Audit Log definiert sind. Viele Unternehmen haben zusätzlich die Anforderung, die Ereignisse des Security Audit Logs auch in anderen Anwendungen darzustellen. Hierzu ist eine Auswertung durch externe Programme erforderlich, die über die XMI-BAPIs (XML Metadata Interchange) erfolgen kann. Für eine entsprechende Konfiguration müssen Sie der Dokumentation zur XMI-Schnittstelle folgen. Außerdem können Sie das Beispielprogramm RSAU_READ_AUDITLOG_ EXTERNAL als Vorlage nutzen. Eine Beschreibung zu diesem Programm finden Sie im SAP-Hinweis 539404.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
In Transaktion PFUD, die für den Benutzerabgleich sorgt, werden die Auswertungswege US_ACTGR und SAP_TAGT verwendet.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Für die Pflege der Berechtigungsobjekte im Customizing der Ergebnis- und Marktsegmentrechnung brauchen Sie ebenfalls Berechtigungen.