Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Über Berechtigungsobjekte können Sie den Zugriff auf Tabellen bzw. auf deren Inhalte über Transaktionen, wie z. B. SE16 oder SM30, einschränken. Mit dem Berechtigungsobjekt S_TABU_DIS können Sie Zugriff auf Tabellen gewähren, die bestimmten Tabellenberechtigungsgruppen zugeordnet sind. Sie können Tabellenberechtigungsgruppen in der Transaktion SE54 einsehen, pflegen und sie Tabellen zuweisen (siehe Tipp 55, »Tabellenberechtigungsgruppen pflegen«). Soll ein Administrator z. B. Zugriff auf Tabellen der Benutzerverwaltung erhalten, prüfen Sie den Berechtigungsstatus mithilfe der Transaktion SE54. Sie werden feststellen, dass sämtliche Tabellen der Benutzerverwaltung der Tabellenberechtigungsgruppe SC zugeordnet sind.
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
Rollenpflege im Betrieb
Betriebswirtschaftliche Objekte, auf die Unternehmen Berechtigungen beziehen, sind im System als Berechtigungsobjekte definiert. Für Individualkonditionen liefert SAP die Berechtigungsobjekte F_FICO_IND und F_FICO_AIN aus. Mit F_FICO_IND kann festgelegt werden, welche Individualkonditionen beim Bearbeiten des Vertrages in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden. Mithilfe des Berechtigungsobjekt F_FICO_AIN können Unternehmen festlegen, ob und wie Individualkonditionen bei der Bearbeitung im Kanal BAPI in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden sollen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Durch die Konfigurationsvalidierung erhalten Sie einen Überblick über die Homogenität Ihrer Systemlandschaft. Typische Kriterien sind die Betriebssystemversionen, der Kernel-Patch-Level und der Status von bestimmten Transportaufträgen oder Sicherheitseinstellungen. Die folgenden Sicherheitseinstellungen können Sie mit der Konfigurationsvalidierung überwachen: Gateway-Einstellungen, Profilparameter, Sicherheitshinweise, Berechtigungen. Im Rahmen des Abgleichs können Sie Regeln definieren, die bestimmen, ob die Konfiguration regelkonform ist oder nicht. Erfüllt die Konfiguration die definierten Werte in der Regel, bekommt sie den Status Konform. Diesen Status können Sie dann über das Reporting auswerten.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht.
Wenn der Wildwuchs entstanden ist, weil es Fehler und Lücken im Berechtigungskonzept gibt, müssen diese Fehler identifiziert, beseitigt und die Berechtigungen optimiert werden.