Berechtigungsobjekte der PFCG-Rolle
SAP Lizenzoptimierung
Dabei müssen Sie die Vorlage an die Gegebenheiten in Ihrem Unternehmen anpassen, also vermutlich die Ablage der Zertifikate abhängig von der Namenskonvention für Ihre Benutzer definieren und die Prüfung der Zertifikate anpassen. Diese Prüfung der Zertifikate stellt in der Vorlage sicher, dass keine bereits vorhandenen Zertifikate hinzugefügt werden und nur ein Zertifikat zu einer E-Mail-Adresse eingetragen wird. Diese Prüfung ist notwendig, da der Versand einer verschlüsselten E-Mail abgebrochen wird, wenn mehr als ein gültiges Zertifikat zu einer E-Mail-Adresse gefunden wurde. Über dieses kundeneigene Programm können Sie Massenimporte der Zertifikate abbilden. Zusätzlich müssen Sie aber auch eine Vorgehensweise für die Verwaltung von Zertifikaten in Ihrem Unternehmen definieren, d. h. sich überlegen, wie Änderungen an den Zertifikaten in das SAP-System übertragen werden können.
Werte des Berechtigungstrace ins Rollenmenü übernehmen: Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFCBausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten. Anschließend werden Ihnen im rechten Teil des Fensters alle mitprotokollierten Anwendungen angezeigt. Markieren Sie die Anwendungen, die Sie ins Rollenmenü übernehmen möchten und klicken Sie auf Übernehmen. Sie können nun entscheiden, wie die Anwendungen im Rollenmenü erscheinen. Die Anwendung kann über das Auswahlfeld Hinzufügen zur Rolle entweder als Berechtigungsvorschlag oder als Menüeintrag hinzugefügt werden. Sie können als Liste oder als Bereichsmenü angezeigt werden (Einfügen als Liste) oder dem SAP-Menübaum entsprechend, in dem die Anwendung im SAP-Menü hinterlegt ist (Einfügen als SAP Menü).
Berechtigungen mit dem Status Gepflegt
Den Systemtrace für Berechtigungen nach und nach für jeden Anwendungsserver auszuführen, ist mühselig. Wir zeigen Ihnen daher, wie Sie Berechtigungsprüfungen auf mehreren Servern gleichzeitig aufzeichnen können. Wenn Sie in einem System mit mehreren Anwendungsservern den Systemtrace für Berechtigungen verwenden möchten, müssen Sie beachten, dass der Trace immer nur Daten je Anwendungsserver protokollieren und auswerten kann. Berechtigungsadministratoren müssen daher bei einem Berechtigungsfehler erst prüfen, auf welchem Anwendungsserver der Anwender mit dem Berechtigungsproblem angemeldet ist, um dann den Trace auf diesem Anwendungsserver zu starten. Wir geben Ihnen hier eine Anleitung zum Aufzeichnen von Berechtigungsprüfungen auf bestimmten Anwendungsservern, zeigen Ihnen aber darüber hinaus auch eine Möglichkeit, um diese Funktion zentral zu nutzen.
Schluss mit der unübersichtlichen Zettelwirtschaft macht die Freeware Scribble Papers. Allerdings eignet sich das Tool auch dazu, neben Notizen Textdokumente und Textschnipseln aller Art abzulegen, zu strukturieren und schnell aufzufinden.
Sollten Sie trotz der regelmäßigen Archivierung und Indizierung der Änderungsbelege Ihrer Benutzer- und Berechtigungsverwaltung noch Probleme mit der Performance der Auswertung haben, liegt dies vermutlich an der Menge der zentralen Änderungsbelege. In diesem Fall brauchen Sie ebenfalls ein Archivierungskonzept für andere zentrale Änderungsbelegdaten. In SAPHinweis 1257133 wird die Vorgehensweise zur Erstellung eines solchen Konzepts beschrieben.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Um nun die Zertifikate für alle relevanten Benutzer über einen Massenimport in dieses Adressbuch hineinzubekommen, nutzen Sie am besten das im SAP-Hinweis 1750161 angehängte Beispielprogramm Z_IMPORT_CERTIFICATES als Vorlage für ein kundeneigenes Programm.
Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.