SAP FICO Berechtigungen
Ausprägungen SAP Berechtigungskonzept
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
Erstellen Sie als Erstes eine Übersicht der aktuell in Ihrem System vorhandenen kundeneigenen Customizing-Tabellen. Dazu öffnen Sie die Tabelle DD02L und suchen nach Tabellen, die mit Y, Z oder Ihrem spezifischen Kundennamensraum beginnen. Tabellen mit der Auslieferungsklasse C (wie Customizing, zu finden in der Spalte A) sind die in diesem Zusammenhang relevanten Tabellen. Die beschreibenden Texte zu den Tabellen finden Sie in der Tabelle DD02T.
Modul
Stellen Sie zunächst Ihre Aufbauorganisation dar. Bilden Sie (gegebenenfalls zunächst nur auf der generischen Ebene von Applikationen wie MM oder CO) über die Aufbauorganisation hinweg die betriebswirtschaftlichen Prozesse ab. Ermitteln Sie auf dieser Grundlage, welche organisatorischen Merkmale (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) welche Teile der Aufbauorganisation repräsentieren. Definieren Sie (gegebenenfalls zunächst nur im Rechnungswesen detailliert, ansonsten auf der Ebene von Applikationen), welche Funktionen zwingend getrennt bleiben müssen. Sofern Sie ein laufendes System haben, werten Sie die Verwendung der letzten 13 Monate aus (siehe Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«). Setzen Sie ein neues System auf, und sorgen Sie am besten dafür, dass die Prozesse immer bis hin zur Ebene der Transaktionen dokumentiert sind. In solch einem Fall ist es auch am besten, unmittelbar bei der Prozessbeschreibung die betriebswirtschaftlichen Risiken zu erheben.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Während der Startberechtigungsprüfung prüft die Web-Dynpro-ABAP-Laufzeit also den Schlüssel des Objektkatalogeintrags für die Web-Dynpro-ABAP-Anwendung.
Rollenbasierte SAP-Berechtigungen gewähren unterschiedlichen Personengruppen verschiedene Handlungsoptionen und Ansichten im System, regeln bspw. den Zugriff auf Gehaltsdaten.