Berechtigungstools – Vorteile und Grenzen
Anwendungsberechtigungen
Eine weitere Funktion dieser Transaktion ist die Suche nach Transaktionen, die auf Transaktionen mit generischem Tabellenzugriff basieren. Hier können Sie prüfen, ob es für eine bestimmte Tabelle bzw. für einen bestimmten View Parameter- oder Variantentransaktionen gibt, für die Sie Berechtigungen einrichten können, anstatt den Zugriff auf die Tabelle über Werkzeuge für den generischen Tabellenzugriff zu erlauben. Wurde ein Suchergebnis generiert, besteht anschließend sogar die Möglichkeit, nach Rollen zu suchen, die über die Berechtigungen für die ausgewählten Alternativanwendungen verfügen. Klicken Sie hierzu auf den Button Rollen (Verwendung in Einzelrollen). Achten Sie bei der Verwendung dieses Werkzeugs darauf, dass es, auch wenn Anwendungen dieselben Starteigenschaften haben, unterschiedliche Verwendungseigenschaften geben kann, wie z. B. bei den Transaktionen SU22 und SU24. Beide Transaktionen verfügen über dieselben Starteigenschaften, werden aber für verschiedene Zwecke verwendet und zeigen auch unterschiedliche Daten an.
AP-Neueinführung, S/4HANA Conversion oder Redesign eines SAP-Berechtigungskonzeptes - die Komplexität ist enorm gestiegen und erfordert eine klare Struktur an Prozessen, Verantwortlichkeiten und der dazugehörigen technischen Umsetzung. Neue Technologien wie Fiori und Launchpads sind Herausforderungen und Anlass, die Berechtigungsstrukturen neu zu denken.
Berechtigungstraces anwendungsserverübergreifend auswerten
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Sie müssen eine Nachrichtenklasse für die spätere Verwendung einrichten. Hierzu werden Sie beim ersten Aufruf der Transaktion GGB0 automatisch aufgefordert. Sollten einige relevante Felder des kompletten Belegs ausgeblendet sein, d. h. nicht zur Verfügung stehen, beachten Sie die Anleitungen im SAPHinweis 413956. Legen Sie eine Validierung in der Transaktion GGB0 an (z. B. GALILEO), und bestimmen Sie die Schritte der Validierung. Kopieren Sie bei der Anlage der Validierung das Programm RGGBR000 in Ihren Kundennamensraum und ersetzen Sie dabei die letzten drei Zeichen mit der Nummer des Mandanten, in dem die Prüfung durchgeführt werden soll. Weisen Sie anschließend Ihr neues kundeneigenes Programm mit der Transaktion GCX2 dem Arbeitsgebiet der Benutzer-Exit-Steuerung GBLR zu. Durch diese Zuordnung ist die Voraussetzung für mandantenabhängige User-Exits geschaffen. Sollten Sie einen mandantenunabhängigen User-Exit einrichten wollen, gehen Sie ebenso vor, nutzen aber die Transaktion GCX1.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Mit dem SAP Code Vulnerability Analyzer lassen sich sowohl kundeneigene On-Premise- als auch On-Demand-Anwendungen scannen, die in ABAP programmiert sind.
Gegebenenfalls werden außerdem weitere, über die Transaktion SE93 gepflegte Berechtigungen beim Aufruf der Transaktion geprüft.