Anzahl der möglichen Profile über Referenzbenutzer erweitern
Wesentliche Berechtigungen und Parameter im SAP®-Umfeld
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
S_TABU_NAM in ein Berechtigungskonzept integrieren
Um einen Berechtigungssupport für Anwender anbieten zu können, sind Sie oft auf deren Auskünfte angewiesen. Es gibt jedoch auch die Möglichkeit, fehlende Berechtigungen für alle Anwender zentral einzusehen. Hat ein Anwender ein Berechtigungsproblem, wird in der Regel ein Ticket beim Support aufgemacht. Berechtigungsfehler sind für Supportmitarbeiter jedoch nur schwer nachzuvollziehen, da diese über andere Berechtigungen verfügen und häufig detaillierte Informationen zur Applikation, in der der Berechtigungsfehler aufgetreten ist, fehlen. In der Praxis helfen sich Supportmitarbeiter daher oft damit, den Anwender zu bitten, einen Screenshot ausder Transaktion SU53 zu schicken. Denn diese Transaktion zeigt die letzte fehlgeschlagene Berechtigungsprüfung an. In vielen Fällen sind die Informationen, die dort angezeigt werden, für den Berechtigungsadministrator jedoch gar nicht hilfreich. Sicher haben Sie es auch schon einmal erlebt, dass ein Screenshot aus der Transaktion SU53 eine fehlende Berechtigung für typische Basisberechtigungsobjekte anzeigt, wie z. B. S_ADMI_FCD, S_CTS_ADMI oder S_TRANSLAT, von denen Sie aber wissen, dass ihre Prüfung mit dem eigentlichen Berechtigungsproblem in der Anwendung gar nichts zu tun hat. Sie brauchen also die Möglichkeit, sich selbst ein Bild machen zu können.
Welche Berechtigungsdaten hat eine Rolle (PFCG)? Auch hierbei startest du die Transaktion PFCG und lässt dir eine Rolle anzeigen. Verzweige dann auf den Reiter Berechtigungen und klicke auf den Button mit der “Brille” (unten links): Berechtigungsdaten anzeigen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Über den Button Verzichtbare Einträge werden Ihnen die Attribute angezeigt, die sich nicht von den globalen Einträgen unterscheiden.
Das muss im Falle einer Bereinigung schnell geklärt werden.