PROGRAMMSTART IM BATCH
Ein kompliziertes Rollenkonstrukt
Dazu haben Sie die Möglichkeit, mit dem Berechtigungsobjekt P_ABAP die üblichen Berechtigungsprüfungen zu übersteuern. Dies gilt für alle Berichte, die auf die logische Datenbank PNPCE (bzw. PNP) zugreifen. Bei einer Berechtigung für P_ABAP finden die üblichen Prüfungen auf Berechtigungsobjekte, wie z. B. P_ORGIN oder P_ORGINCON, nicht mehr statt oder werden vereinfacht. Dies trifft auch für strukturelle Berechtigungen zu. Ob die Berechtigungsprüfungen vereinfacht oder komplett ausgeschaltet werden, wird über das Feld COARS des Objekts gesteuert. Wollen Sie alle Prüfungen ausschalten, setzen Sie den Wert COARS = 2. Bei diesem Wert gibt es keine Einschränkung für die angezeigten Daten im berechtigten Bericht. Wenn Sie für das Reporting erweiterte Berechtigungen erlauben möchten, diese aber nicht uneingeschränkt sein sollen, müssen Sie den Wert COARS = 1 wählen. In diesem Fall prägen Sie zusätzlich das Berechtigungsobjekt P_ORGIN (bzw. P_ORGINCON, P_ORGXX und P_ORGXXCON) aus. Allerdings müssen Sie darauf achten, nicht alle Felder der Objekte auszuprägen, da ansonsten auch der direkte Zugriff möglich ist. Prägen Sie daher immer zwei Versionen des Berechtigungsobjekts P_ORGIN aus, einmal mit den funktionalen Berechtigungen (Berechtigungslevel, Infotypen und Subtypen) und einmal mit den organisatorischen Abgrenzungen (Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis und Organisationsschlüssel). Zusätzlich brauchen Sie dann natürlich noch eine Ausprägung von P_ABAP für die relevanten Berichte mit dem Wert COARS = 1.
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Rollen und Berechtigungen in SAP SuccessFactors wachsen oft organisch und werden unübersichtlich
Jede anklickbare UI-Komponente entspricht einem externen Service, für den jeweils eine Berechtigung eingerichtet werden muss. Zu den UI-Komponenten gehören auch das Erstellen oder Aufrufen von gespeicherten Suchen oder das Navigieren aus einem Datensatz direkt in einen anderen Datensatz, z. B. das Aufrufen eines Termins direkt aus einem Geschäftspartner; dies entspricht der Cross-Navigation. Alle Navigationsmöglichkeiten in Form von externen Services werden im Customizing der CRM-Business-Rolle in Form einer generischen Outbound- Plug-Zuordnung zur Navigationsleiste definiert. Outbound-Plugs (OP) definieren, was passiert, wenn ein Anwender einen View in SAP CRM verlässt. Hier ist das Customizing für Szenarien voreingestellt, die nicht zwingend zu allen CRM-Business-Rollen passen. Die entsprechenden CRM-Business- Rollen wurden so konfiguriert, dass sie Outbound-Plugs zugeordnet wurden, die für das jeweilige Szenario der CRM-Business-Rolle gar nicht erforderlich sind. Dies erklärt die große Anzahl an externen Services im Rollenmenü.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Zum Schluss möchten wir Sie noch auf den SAP-Hinweis 1781328 aufmerksam machen, der den Report PFCG_ORGFIELD_ROLES_UPD bereitstellt. Mit diesem Report wird eine Massenaktualisierung bestehender Rollenableitungen ermöglicht. Dabei wird allerdings nicht das Konzept der Organisationsmatrix verwendet, sondern Sie müssen die neuen Organisationswerte direkt beim Aufruf des Reports hinterlegen. Deshalb erfordert diese Funktion einen hohen Grad an Verständnis für die im Hintergrund laufenden Anpassungen und ist aus diesem Grund nur als Pilothinweis verfügbar. Das heißt, dass dieser Hinweis explizit über eine Kundenmeldung angefragt werden muss und erst daraufhin vom SAP-Support gegebenenfalls für Sie freigegeben wird. Es ist aktuell nicht geplant, den Hinweis etwa über ein Support Package allgemein verfügbar zu machen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Abschließend können Sie Ihre Reportvariante mit kritischen Berechtigungen ausführen.
Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.