Bereits vorhandene Berechtigungen
Abfrage der Daten aus einer lokalen Tabelle
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Der erste Schritt, um Wildwuchs in den Berechtigungen zu beseitigen, besteht darin, diesen zu verhindern. Dazu sollten sich Administratoren einen Überblick verschaffen und die vergebenen Berechtigungen sollten regelmäßig überprüft werden. Dadurch werden Probleme und fehlerhaft vergebene Berechtigungen frühzeitig erkannt. Hierbei kann der Systemlastmonitor helfen. Dieser zeigt an, welche Berechtigungen Benutzer tatsächlich verwenden. Punktuell lässt sich dadurch die Verwendung von Berechtigungen analysieren und in Tabellen exportieren. Das hilft ebenso bei der Verbesserung von vorhandenen Rollen und beim Erstellen von neuen Rollen für das Berechtigungsmodell in SAP.
Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Falls Ihrem Benutzer das Privileg ROLE ADMIN zugeordnet ist (entweder direkt oder über eine Rolle), können Sie eigene Rollen erstellen und diese Benutzern zuweisen. Dabei können Sie auf vorhandene Privilegien und Rollen zurückgreifen. Die Privilegien selbst werden von Entwicklern mit entsprechenden Berechtigungen zur Erstellung von Anwendungen einschließlich der darin benötigten Privilegien bereitgestellt. Häufig besitzen Sie als Berechtigungsadministrator nicht das Privileg zur Erstellung von Privilegien. Dies ist auch sinnvoll, da nur der Anwendungsentwickler entscheiden kann, welche Eigenschaften die Privilegien für die Nutzung der Objekte in der Anwendung haben sollen. Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Mit dem BAdI BADI_IDENTITY_CHECK können Sie zusätzliche Prüfungen in der Pflege der Benutzerstammdaten einführen, z. B. ob bestimmte Felder in der Transaktion SU01 gepflegt wurden.
Allerdings wird es mit einer größeren Menge an Rollen enden: buchende/anlegende Rollen, ändernde Rollen, lesende Rollen.