FAQ
Analyse von Berechtigungen
Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja. Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung. Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen. Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.
Die Lösung der ersten beiden genannten Probleme erhalten Sie durch das Einspielen der Korrektur aus dem SAP-Hinweis 1614407. Die Profildaten werden nicht mehr zum Zeitpunkt der Rollenaufzeichnung, sondern erst bei der Freigabe des Transportauftrags der Stückliste hinzugefügt. Auf diese Weise ist die Übereinstimmung zwischen den Berechtigungsdaten der Rolle und den dazugehörigen Profildaten gewährleistet. Der freigegebene Transportauftrag enthält ebenfalls die komplette Änderungshistorie der Profile und Berechtigungen, sodass auch die Löschung obsoleter Daten in den Zielsystemen möglich ist.
Herausforderungen im Berechtigungsmanagement
Die Berechtigungsprüfung auf der Ebene des Funktionsbausteins können Sie nutzen, indem Sie im Berechtigungsobjekt S_RFC im Feld RFC_TYPE (Typ des zu schützenden RFC-Objekts) den Wert FUNC (Funktionsbaustein) eintragen. Wollen Sie weiterhin Funktionsgruppen berechtigen, geben Sie hier den Wert FUGR an. Abhängig von der Ausprägung des Feldes RFC_TYPE geben Sie dann im Feld RFC_NAME (Name des zu schützenden RFC-Objekts) den Namen des Funktionsbausteins oder der Funktionsgruppe an. Diese Erweiterung der Prüfung wird durch die Korrektur im SAP-Hinweis 931251 ausgeliefert.
Die für das System verantwortlichen Personen sollten Rollenbeschreibungen am besten vorab mit Ihren Fachbereichen erarbeiten und außerhalb von SAP SuccessFactors dokumentieren (wie bspw. in Abb. 2). Bei Rückfragen können sie mit dieser Grundlage genau erklären, warum jemand eine bestimmte Berechtigung bekommen hat. Die Rollenbeschreibungen und der Bericht helfen dabei, DSGVO-konform zu arbeiten. Da sich der Bericht automatisch aktualisiert, haben Unternehmen keinen zusätzlichen Aufwand für das Dokumentieren der Änderungen – eine ungeliebte (und oft „vergessene“) Aufgabe weniger.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Hier ist zu beschreiben, wie Anwender vorhandene SAP Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen verantwortlich ist.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
In diesem Fall öffnet sich ein weiteres Dialogfenster, in dem auf das Sicherheitsrisiko hingewiesen wird.