Nach fehlenden Berechtigungen tracen
Korrekte Einstellungen der wesentlichen Parameter
SAP*: Der Benutzer SAP* ist Teil des SAP-Kernels, und da er im SAP-System hart kodiert ist, benötigt er keinen Benutzerstammsatz. Wenn kein Benutzerstammsatz für SAP* existiert, kann sich jedermann nach einem Neustart mit diesem Benutzer am SAP-System anmelden, da dann das Standardpasswort gilt. Der Benutzer hat somit Zugang zu allen Funktionen, da Authority Checks in diesem Fall nicht greifen. Dieses Verhalten können Sie mit der Einstellung des Profilparameters login/no_automatic_user_sapstar auf den Wert 1 unterbinden. Sollten Sie Mandanten kopieren wollen, müssen Sie diesen Parameter allerdings vorher wieder auf 0 setzen, da der Benutzer SAP* hierzu benötigt wird. Schutzmaßnahmen: Trotz der Parametereinstellung sollte bei Ihnen der Benutzer SAP* in allen Mandanten über einen Benutzerstammsatz verfügen. Allerdings sollten Sie ihm alle Profile entziehen und den Benutzer sperren. Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
Konfigurationsvalidierung einsetzen
Mit den Customizing-Schaltern für die Pflege von Session Manager und Profilgenerator sowie der Benutzer- und Berechtigungsverwaltung können Sie das Standardverhalten diverser Transaktionen und Parameter beeinflussen. Die Tabelle SSM_CID gibt Ihnen einen Überblick über alle von SAP ausgelieferten Customizing-Schalter unter der Angabe der relevanten Tabellen SSM_CUST, SSM_COL, PRGN_CUST und USR_CUST. Die Kurzbeschreibung des Customizing- Schalters verweist auf die relevanten und aktuellen SAP-Hinweise. Die tatsächlichen Einstellungen nehmen Sie selbst in den Tabellen SSM_CUST, PRGN_CUST sowie USR_CUST vor.
Unter Schritt 2d (veränderte Transaktionscodes anzeigen) werden alle Rollen aufgelistet, bei denen festgestellt wurde, dass ein alter Transaktionscode verwendet wird. Es kommt hier und da vor, dass neue Transaktionscodes alte Transaktionscodes ersetzen. In diesem Schritt haben Sie die Möglichkeit, die Transaktionscodes auszutauschen. Sobald Sie mit dem Upgrade der Berechtigungsvorschlagswerte fertig sind, haben Sie in Schritt 3 (Transport der Kundentabellen) die Möglichkeit. Ihre Berechtigungsvorschläge in Ihrer Systemlandschaft zu transportieren.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Ein Zettelkasten, in dem schnell Daten aller Art abgelegt und wiedergefunden werden können. Das verspricht Scribble Papers. Anfangs sieht das Programm sehr spartanisch aus. Aber wenn erst einmal eine kleine Struktur vorhanden ist, erkennt man die große Flexibilität dieses kleinen Helfers.
Es werden alle Objektfelder und deren Werte aufgezeichnet während der Prüfung der Berechtigungsobjekten.
Mit der Aktivierung der Einstellung Default Page wird z. B. die ausgewählte Transaktion (in unserem Beispiel MM03) beim Abruf des übergeordneten Ordners (in unserem Beispiel des Ordners Materialstamm) zuerst aufgerufen.