Risiko: historisch gewachsenen Berechtigungen
Fazit und Ausblick
Für ein Berechtigungskonzept muss ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige System und das zugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt, welche eine juristische Notwendigkeit zur erfolgreichen Umsetzung darstellen.
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
Dem Benutzermenü externe Services aus SAP CRM hinzufügen
Rote Ampeln nach einem Rollentransport verheißen nichts Gutes. Um die Aktualität der Profilzuordnung zu jeder Zeit sicherzustellen, sollten Sie regelmäßig einen Benutzerabgleich durchführen. Sicherlich haben Sie festgestellt, dass es Situationen gibt, in denen die Profile Ihrer Anwender nicht aktuell sind. Dies kann z. B. nach einem Rollentransport oder beim Zuweisen von Benutzern zu Rollen in der Transaktion PFCG geschehen. Es verhält sich ähnlich, wenn Sie die Rollen indirekt über das Organisationsmanagement (siehe Tipp 13, »Rollen über das Organisationsmanagement zuordnen«) zuordnen oder die Gültigkeitsdauer von Rollen für Benutzer einschränken. In diesen Fällen kann es sein, dass der Anwender zwar über eine PFCG-Rollenzuweisung verfügt, das dazugehörige Profil allerdings nicht aktuell ist. Eine rote Ampel vor einem Rollennamen im Benutzerstamm in der Transaktion SU01 oder eine gelbe Ampel in der Transaktion PFCG auf der Registerkarte Benutzer macht Sie auf solche Unstimmigkeiten aufmerksam.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Die Protokollierung findet sowohl im Zentralsystem als auch in den Tochtersystemen statt. Sollen die Änderungsbelege auch für die angeschlossenen Tochtersysteme gelesen werden, müssen die Tochtersysteme ebenfalls auf dem im SAP-Hinweis 1902038 genannten Release- bzw. Support-Package-Stand sein. Außerdem benötigen die RFC-Benutzer in den jeweiligen Tochtersystemen die Berechtigung zum Lesen der Änderungsbelege über das Berechtigungsobjekt S_USER_SYS mit der neuen Aktivität 08 (Änderungsbelege lesen).
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
SAP hat seit dem Jahr 2001 in Zusammenarbeit mit der Deutschsprachigen SAP-Anwendergruppe (DSAG e. V.) Musterrollen für die Steuerprüfer entwickelt und im Laufe der Jahre überarbeitet.
Das Ziel ist, dass SAP SuccessFactors-Anwender den Überblick über Rollen und Berechtigungen im System behalten.