Hashwerte der Benutzerkennwörter
Aktivitätslevel
Mit dem Enhancement Package (EHP) 3 zu SAP ERP 6.0 hat SAP in der Business Function FIN_GL_CI_1 eine Erweiterung der Berechtigungsprüfungen zur Verfügung gestellt, mit der die Berechtigungsobjekte für Profit-Center bereits in FI geprüft werden können. Die Business Function FIN_GL_CI_1 müssen Sie zunächst im Switch Framework (Transaktion SFW5) einschalten. Danach können Sie die neue Funktionalität im Customizing über diesen Pfad aktivieren: Finanzwesen (neu) > Grundeinstellungen Finanzwesen (neu) > Berechtigungen > Berechtigungsprüfung für Profitcenter aktivieren.
Excel-basierte Werkzeuge kennen typischerweise die releasespezifischen Vorschlagswerte nicht (sie arbeiten oft ganz ohne die systeminterne Vorschlagswertemechanik, weil sie die Transaktion PFCG ja gar nicht verwenden). Damit ist ein Upgrade von Rollen mit SAP-Standardwerkzeugen, wie der Transaktion SU25, ebenfalls nicht möglich. Auch damit vergrößert sich die Abhängigkeit vom externen Werkzeug, und das Berechtigungswesen entfernt sich weiter vom SAP-Standard und den von SAP empfohlenen Best Practices bei der Rollenpflege.
SAP_NEW nicht zuweisen
Sind in der Transaktion PFCG keine Buttons zum Kopieren und Einfügen vorhanden, können Sie diese einfach einspielen. Im Dialogfenster zur Pflege von Feldwerten zu Berechtigungsobjekten in Transaktion PFCG (Rollenpflege) werden nur sieben Zeilen angezeigt. Bisher war es nicht möglich, mehr als diese sieben Zeilen auf einmal aus der Zwischenablage einzufügen. Gerade dies kann im Rahmen der Berechtigungspflege aber häufig notwendig sein, z. B. wenn Sie Einträge aus anderen Rollen verwenden möchten. Lesen Sie hier, wie Sie die Buttons zum Kopieren und Einfügen im Dialogfenster zur Pflege von Feldwerten zu den Berechtigungsobjekten einspielen und nutzen.
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“. In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht. Dazu muss die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält! Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Falls es sich um einen Funktionsbaustein oder eine Webanwendung handelt, können Sie den Programmnamen über den Systemtrace für Berechtigungen (Transaktion ST01 oder Transaktion STAUTHTRACE) ermitteln.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Ebenso verhält es sich mit dem Konzept der Dateneigentümerschaft.