Konzept für Eigenentwicklungen
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Die zu bevorzugende und auch umfassendere Variante einer programmatischen Berechtigungsprüfung ist jedoch die Verwendung des Funktionsbausteins AUTHORITY_CHECK_TCODE. Dieser Funktionsbaustein reagiert nicht nur beim Start des Programms auf eine fehlende Berechtigung, sondern kann auch vorgeben, dass nur die in der Transaktion SE97 gepflegten NO-CHECK-Prüfkennzeichen den externen Aufruf aus einem anderen Transaktionskontext heraus erlauben. Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.
Die Vergabe des Profils SAP_ALL ist für den Betrieb eines SAP-Systems nicht erforderlich; daher wird für den ersten Check ein gelbes Symbol angezeigt, sobald ein Benutzer das Profil zugeordnet hat. Für die anderen sechs Checks auf kritische Basisberechtigungen wird das gelbe Symbol angezeigt, sobald ein Mandant auf dem System gefunden wird, für den mindestens eine der beiden folgenden Bedingungen zutrifft: Mehr als 75 Benutzer verfügen über die in diesem Check geprüfte Berechtigung. Mehr als 10 % aller Benutzer verfügen über die in diesem Check geprüfte Berechtigung, mindestens jedoch elf Benutzer.
Einführung & Best Practices
Möchten Sie die Bewegungsdaten des produktiven Systems in ein Entwicklungssystem übernehmen, sollten Sie zuvor Benutzerstammsätze und die Berechtigungsvorschlagswerte exportieren und die kompletten Änderungsbelege archivieren. Nach dem Import können Sie dann analog zur Mandantenkopie die importieren Änderungsbelege löschen und die originalen Änderungsbelege des Entwicklungssystems wieder zurückladen und indexieren. Für die hier beschriebenen Aktivitäten sind administrative Berechtigungen für die Änderungsbelege (S_SCD0 und S_ARCHIVE) und gegebenenfalls für die Tabellenprotokolle (S_TABU_DIS oder S_TABU_NAM und S_ARCHIVE) notwendig. Diese Berechtigungen sind als kritisch einzustufen, und Sie sollten Sie entsprechend nur an einen kleinen Benutzerkreis vergeben.
Die gültigen Programme bzw. Transaktionen sind in der SAP-Auslieferungstabelle TPCPROGS hinterlegt, folgen jedoch keiner einheitlichen Namenskonvention. Teilweise ist hier der Transaktionscode (z. B. AW01N), teilweise der Reportname (z. B. RFEPOS00) oder die logische Datenbank (z. B. SAPDBADA) relevant. Logische Datenbanken (z. B. SAPDBADA, SAPDBBRF) sind grundlegende Datenselektionsprogramme und werden insbesondere in der Finanzbuchhaltung verwendet. Die Berechtigungsprüfungen – einschließlich der Zeitraumabgrenzung – sind in der logischen Datenbank implementiert und wirken für alle Reports, die auf einer logischen Datenbank basieren (z. B. basiert das Anlagengitter RAGITT00 auf SAPDBADA und der Bilanzreport RFBILA00 auf SAPDBSDF). Wenn Sie die Werte aus der Tabelle TPCPROGS kopieren, ist die Transaktion TPC4 schnell konfiguriert.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Aus diesem Grund sollte im Vorfeld auch sichergestellt werden, dass sämtliche Parameter gemäß den Unternehmensvorgaben eingerichtet sind.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Die Prüfergebnisse in diesen Bereichen werden jeweils mit einem Ampelsymbol dargestellt.