Testen der Berechtigung
Aktivitätslevel
In SAP-Hinweis 1763089 finden Sie Informationen zu den Systemvoraussetzungen und Support Packages, die Sie benötigen, um auf die neue Funktion zuzugreifen. Mit diesen Support Packages wird die Transaktion SAIS, das neue AIS Cockpit, ausgeliefert. Damit wurde das AIS vom vorherigen Rollenkonzept wieder auf themenbezogene Auditstrukturen umgestellt und bietet neue Funktionen, wie die Protokollierung aller Prüfungsaktivitäten. Das AIS gibt es im SAP-System schon recht lange; es wurde als Arbeitsmittel zur Prüfung und Bewertung von SAP-Systemen konzipiert und wird im Standardumfang von SAP ERP ausgeliefert. Es beinhaltet die Funktion der Auditstrukturen, einer Sammlung von Prüfungsfunktionen zu den Bereichen des kaufmännischen Audits und des Systemaudits, inklusive deren Dokumentation. Das kaufmännische Audit beinhaltet organisatorische Übersichten und bilanzorientierte bzw. prozessorientierte Funktionen. Damit können Sie z. B. Informationen zur Finanzbuchhaltung und zu Steuerbelangen auswerten. Das Systemaudit des AIS deckt die allgemeinen Systemprüfungen und die Analyse der Benutzer und Berechtigungen ab. Es beinhaltet z. B. Funktionen zur Überprüfung von Profilparametern oder des Transportwesens.
Ein falscher Einsatz der Benutzertypen und Passwortregeln kann zum Stillstand der RFC-Schnittstellen führen. Erfahren Sie, welche Benutzertypen Sie verwenden können und wie sich die Passwortregeln auf diese Benutzertypen auswirken. Im SAP-System können Sie bei der Anlage von Benutzern zwischen verschiedenen Benutzertypen wählen. Diese Benutzertypen steuern das Anmeldeverhalten und auch die Auswirkungen der Passwortregeln auf den Benutzer. Dies kann zu unerwünschtem Verhalten führen, insbesondere wenn der Parameter für die Gültigkeit des Initialpassworts gesetzt ist. So ist häufig nicht bekannt, dass die Passwortregeln auch für Benutzer vom Typ Kommunikation gelten. Kommunikationsbenutzer verwenden meist ein Initialpasswort, da eine Dialoganmeldung nicht möglich ist und damit das Passwort nicht geändert wird. Werden nun auch Parameter für die Gültigkeit des Initialpassworts eingeführt, greifen diese auch für Kommunikationsbenutzer. Wir zeigen daher im Folgenden, wie Sie solche Probleme verhindern und geben Ihnen einen Überblick über die Benutzertypen und die Auswirkung der Passwortregeln.
WARUM ACCESS CONTROL
Der Berechtigungstrace ist ein mandanten- und benutzerunabhängiger Trace. Die Ergebnisse dieses Trace werden in die Tabelle USOB_AUTHVALTRC geschrieben, und können ebenfalls in der Transaktion STUSOBTRACE über den Button Auswerten eingesehen werden. Diese Tracedaten können von Entwicklern verwendet werden, um die Berechtigungsvorschlagswerte in der Transaktion SU22 zu pflegen (siehe auch Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«).
Sie haben bereits Rollen für SAP CRM erstellt und möchten diese um weitere externe Services ergänzen? Nichts leichter als das! Erstellen Sie PFCG-Rollen für den SAP CRM Web Client, gehen Sie in der Regel so vor, dass Sie erst das Customizing der CRM-Business-Rolle fertigstellen, bevor Sie die PFCG-Rolle, aufbauend auf diesem Customizing, anlegen. Es kann jedoch vorkommen, dass das Customizing der CRM-Business-Rolle aktualisiert wird. Die PFCG-Rolle muss nun ebenfalls angepasst werden, da sonst die neu konfigurierten Bereichsstartseiten oder die logischen Links nicht sichtbar sind. Dafür gibt es jedoch keinen Automatismus, wie er bei der initialen Erstellung des Rollenmenüs vorhanden ist. Die Anpassung müssen Sie manuell in der PFCG-Rolle nachtragen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Unsere Erfahrung aus Kundenprojekten zeigt jedoch, dass nur die wenigsten Berechtigungsadministratoren wissen, wie die Szenarien korrekt zu berechtigen sind.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
In solchen Fällen wird die Prüfung fortgesetzt: Schlägt die Berechtigungsprüfung auf das Berechtigungsobjekt S_TABU_DIS fehl, wird als Nächstes das Berechtigungsobjekt S_TABU_NAM geprüft.