Gleiche Berechtigungen
Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken
Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen. Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja.
Über diese Berechtigungen kann unabhängig von den eigentlichen Entwicklerberechtigungen beliebiger Quellcode ausgeführt und somit eine beliebige Aktion im System ausgeführt werden. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Wollen Sie einen neuen Mandanten aufsetzen oder in einem Entwicklungssystem die Bewegungsdaten des produktiven Systems übernehmen, sollten Sie ebenfalls die Änderungsbelege betrachten. Bei einer Mandantenkopie sollten Sie vorher die Indizierung der Änderungsbelege (Tabelle SUIM_CHG_IDX) löschen, da Sie die Indizierung nach der Kopie wiederherstellen können. Nutzen Sie dazu den Report SUIM_CTRL_CHG_IDX, ohne ein Datum zu selektieren, und markieren Sie das Feld Index zuvor zurücksetzen. Nach der erfolgten Kopie sollten Sie die mandantenabhängigen Änderungsbelege löschen; dies gilt ebenso für die mandantenunabhängigen Änderungsbelege (z. B. Berechtigungsvorschlagswerte, Tabellenprotokolle), wenn Sie die Mandantenkopie in ein neues System durchgeführt haben. Zusätzlich sollten Sie vor der Kopie des Mandanten die Änderungsbelege der Schattendatenbank entfernen und nach der Kopie einen vollständigen Indexaufbau durchführen. Markieren Sie dabei in jedem Fall das Feld Index zuvor zurücksetzen im Report SUIM_CTRL_CHG_IDX!
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Zusätzlich können Sie im Report noch die Spalten ID: Vertraglicher Nutzertyp und ID: Wert in Zentrale einblenden, die die technischen Werte zum Benutzertyp beinhalten.