Servicebenutzer
Berechtigungskonzept – Rezertifizierungsprozess
Authorization object: Berechtigungsobjekte sind Gruppen von Berechtigungsfeldern, die eine bestimmte Aktivität steuern. Berechtigungsobjekte sollten immer im Vorfeld mit dem Nutzerkreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.
Berechtigungen für Datenbankschemata (Schema Privileges): Schema Privileges sind SQL-Objekt-Berechtigungen, die den Zugriff auf und das Ändern eines (Datenbank-)schemas einschließlich der in diesem Schema enthaltenen Objekte steuern. Ein Benutzer, der ein Object Privilege für ein Schema besitzt, hat damit auch das gleiche Object Privilege für alle in diesem Schema enthaltenen Objekte.
SAP Lizenzoptimierung
Rote Ampeln nach einem Rollentransport verheißen nichts Gutes. Um die Aktualität der Profilzuordnung zu jeder Zeit sicherzustellen, sollten Sie regelmäßig einen Benutzerabgleich durchführen. Sicherlich haben Sie festgestellt, dass es Situationen gibt, in denen die Profile Ihrer Anwender nicht aktuell sind. Dies kann z. B. nach einem Rollentransport oder beim Zuweisen von Benutzern zu Rollen in der Transaktion PFCG geschehen. Es verhält sich ähnlich, wenn Sie die Rollen indirekt über das Organisationsmanagement (siehe Tipp 13, »Rollen über das Organisationsmanagement zuordnen«) zuordnen oder die Gültigkeitsdauer von Rollen für Benutzer einschränken. In diesen Fällen kann es sein, dass der Anwender zwar über eine PFCG-Rollenzuweisung verfügt, das dazugehörige Profil allerdings nicht aktuell ist. Eine rote Ampel vor einem Rollennamen im Benutzerstamm in der Transaktion SU01 oder eine gelbe Ampel in der Transaktion PFCG auf der Registerkarte Benutzer macht Sie auf solche Unstimmigkeiten aufmerksam.
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Hat ein Anwender ein Berechtigungsproblem, wird in der Regel ein Ticket beim Support aufgemacht.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Es ist jedoch entscheidend, dies nachvollziehbar zu begründen.