SAP Berechtigungen Customizing - NW Admin

Direkt zum Seiteninhalt
Customizing
Die Transaktionen SU22 und SU24 richtig verwenden
Sie finden alle Benutzerfavoriten eines Systems in der Tabelle SMEN_BUFFC; zusätzlich gibt es noch die Tabelle SMEN_BUFFI, in der die Links aus den Favoritenlisten abgelegt werden. Sie können diese Tabelle einfach nach Microsoft Excel exportieren und dann auswerten. An dieser Stelle möchten wir Sie allerdings darauf hinweisen, dass Sie die Favoriten nicht ohne die vorherige Abstimmung mit den Benutzern auswerten dürfen, denn die gespeicherten Favoriten sind benutzerbezogen und damit personenbezogene Daten. Die Tabelle SMEN_BUFFC enthält verschiedene Felder, die die Struktur der abgelegten Favoriten bestimmt. So können Sie z. B. Ordner in Ihren Favoriten anlegen, um diese zu sortieren. Diese Ordnerstruktur finden Sie ebenfalls in der Tabelle SMEN_BUFFC. Wichtig für die Neuerstellung eines Berechtigungskonzepts sind allerdings die Einträge selbst, die Sie im Feld REPORT finden. Das Feld REPORTTYPE gibt Ihnen Aufschluss darüber, ob es sich bei dem betreffenden Eintrag z. B. um eine Transaktion oder eine Web-Dynpro-Anwendung handelt. Im Feld TEXT finden Sie dann, falls erforderlich die Beschreibung des Favoriteneintrags. Zusätzlich sollten Sie auch auf das Feld TARGET_SYS achten, da Favoriten auch für andere Systeme eingetragen werden können, in diesem Fall ist unter TARGET_SYS ein RFC-Zielsystem eingetragen.

Im Laufe der Zeit kommt es bei vielen Unternehmen zu tiefgreifenden Veränderungen bei den Rahmenbedingungen, die das SAP® Berechtigungsmanagement maßgeblich beeinflussen. Nicht unüblich sind nachträgliche Anforderungen aus dem Bereich Compliance (SOX o.ä.) oder das gestiegene Schutzbedürfnis.
Ein kompliziertes Rollenkonstrukt
Beim Abmischen von Rollen – sei es nach Upgradenacharbeiten oder bei Rollenmenüänderungen – werden Änderungen an den Berechtigungswerten vorgenommen. Diese Änderungen können Sie sich im Vorfeld als Simulation anzeigen lassen. Wie in Tipp 43, »Berechtigungen nach einem Upgrade anpassen«, beschrieben, erscheinen Administratoren so manche Upgradenacharbeiten wie eine Black Box. Sie klicken auf irgendwelche Buttons, und irgendetwas passiert mit den Berechtigungen in ihren Rollen. Wenn Sie z. B. Schritt 2c (Zu überprüfende Rollen) in der Transaktion SU25 aufrufen, werden alle Rollen mit einer roten Ampel markiert, bei denen ein Abmischen aufgrund der geänderten Daten aus der Transaktion SU24 notwendig ist. Sobald Sie eine dieser Rolle aufrufen und in die Berechtigungspflege einsteigen, ändern sich die Berechtigungswerte sofort. Anhand des Aktualisierungsstatus Alt, Neu oder Verändert erkennen Sie zwar, an welchen Stellen etwas geändert wurde, geänderte oder gelöschte Werte können hier jedoch nicht angezeigt werden. Ein einfaches Beispiel, um dieses Verhalten auch ohne Upgradeszenario nachzuspielen, ist das Ändern des Rollenmenüs. Löschen Sie aus einer Testrolle eine Transaktion, und mischen Sie diese Rolle neu ab. Sie wissen genau, dass nun bestimmte Berechtigungsobjekte verändert und andere sogar komplett entfernt worden sind, können aber nicht alle Änderungen auf der Werteebene nachvollziehen? Dank neuer Funktionen ist nun mit dieser Ungewissheit Schluss.

Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden dann in Ordnern und Seiten organisiert.

Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.

Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.

Es ist zwar möglich, Profile manuell zu erstellen, es wird aber empfohlen, mit dem Profilgenerator zu arbeiten.

Neben der Authentifizierung via Benutzername und Passwort können Sie die Methoden Kerberos und SAML durch Anklicken der entsprechenden Optionen konfigurieren.
NW BASIS
Zurück zum Seiteninhalt