Risiko: historisch gewachsenen Berechtigungen
S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren
SAPconnect verwendet den S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions) für die Signierung beim Versand von E-Mails, bzw. um empfangene E-Mails zu verifizieren und zu entschlüsseln. S/MIME wird von den meisten E-Mail-Clients unterstützt und erfordert X.509-basierte Zertifikate.
SAP Access Control unterstützt ab Release 10.1 die Anlage von Benutzern sowie die Zuweisung von Rollen und Privilegien in HANA-Datenbanken. Nutzen Sie in SAP Access Control das Konzept der Business-Rollen, können Sie bei der Zuweisung einer Business-Rolle eine automatische Anlage der Benutzer im SAP NetWeaver AS ABAP und in der HANA-Datenbank sowie die Zuordnung der technischen ABAP- und HANA-Rollen (bzw. Privilegien) erreichen.
Fehlendes Knowhow
Mit diesen Informationen gewappnet, geht es an die Konzeptarbeit. Beschreiben Sie, welche Mitarbeitergruppen welcher Organisationseinheiten welche Applikationen nutzen, und legen Sie den Umfang der Nutzung fest. Nehmen Sie in der Beschreibung auf, für welche organisatorischen Zugriffe (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) die Organisationseinheit je Applikation berechtigt sein soll; bilden Sie also die Aufbauorganisation ab. Halten Sie unbedingt auch fest, welche zwingenden Funktionstrennungen zu berücksichtigen sind. Dadurch erhalten Sie eine recht detaillierte Beschreibung, die im Prinzip schon betriebswirtschaftliche Rollen (in Bezug auf das System) ausweist.
In unserem Beispiel meldet sich der Endanwender in einem SCM-System an, kann von hier aus aber auch ERP-Transaktionen aufrufen. Um diese ERPTransaktionen in SAP SCM verfügbar zu haben, legen Sie eine neue PFCGEinzelrolle in SAP SCM an, z. B. ZS:XXXX:ERP_MENU. Die ERP-Transaktionen, auf die der Benutzer Zugriff haben soll, fügen Sie dem Rollenmenü über die Option Übernahme von Menüs > Aus anderer Rolle > Zielsystem hinzu. Wählen Sie nun das entsprechende ERP-System und anschließend die entsprechende PFCG-Rolle aus SAP ERP aus. Für diese »Menürolle« benötigen Sie kein Profil, da diese Rolle nur das ERP-Menü beinhaltet. Die Anordnung der Transaktionen können Sie nun im Bereich Hierarchie über Drag & Drop oder über die Pfeiltasten so sortieren, wie Sie sie im NWBC benötigen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Sie definieren so z. B., dass eine Organisationseinheit oder eine Planstelle einer anderen Organisationseinheit zugordnet werden kann.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Im Rahmen des Erkennens von Berechtigungsproblemen sollte dokumentiert werden, was die Gefahren sind, wenn die aktuelle Situation beibehalten wird.