Allgemeine Betrachtungen
Inaktive Benutzer sperren
Der SAP-Standard bietet verschiedene Möglichkeiten, um Aktivitäten aufzuzeichnen und massenhaft abzuspielen. Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege. Daher sind sie auch komplexer in der Bedienung, um möglichst flexibel alle denkbaren Einsatzszenarien abdecken zu können. Auch eCATT bildet hier keine Ausnahme, weswegen viele Anwender nach wie vor vor dessen Verwendung zurückschrecken. Wir können Ihnen aber aus Erfahrung sagen: Nach dem zweiten oder dritten Mal geht Ihnen die Erstellung der Testskripts so schnell von der Hand, dass Sie sich fragen werden, warum Sie es nicht schon immer so gemacht haben.
Ihre Compliance-Anforderungen geben vor, dass verwendete Hintergrundjobs mit Berechtigungsvorschlägen zu pflegen sind? Wir zeigen Ihnen, wie Sie das umsetzen. Gerade im Banking-Umfeld gibt es sehr strenge Richtlinien für die Berechtigungen von Hintergrundjobs, die für Monats- und Quartalsabschlüsse usw. verwendet werden. Nur ausgewählte Anwender bzw. dedizierte Systembenutzer dürfen über diese Berechtigungen verfügen. Um diese Berechtigungen klar von den Endanwenderberechtigungen abzugrenzen, ist es sinnvoll, die Berechtigungen für bestimmte Hintergrundjobs explizit mit Vorschlagswerten zu pflegen, sodass diese Werte immer wieder zur Berechtigungspflege verwendet werden können und somit transparent sind. Ihnen ist sicher aufgefallen, dass Sie in der Transaktion SU24 keine Möglichkeit dazu haben, Berechtigungsvorschlagswerte für Hintergrundjobs zu pflegen. Wie sollten Sie also am besten vorgehen?
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Mithilfe des Buttons Transportaufzeichnung aktivieren können Sie die Änderungen in den Rollen in einem Transportauftrag speichern. Informationen zur Gültigkeit des Reports PFCG_ORGFIELD_ROLES erhalten Sie im SAP-Hinweis 1624104.
Zusätzlich können Sie im SOS auch kundeneigene Berechtigungsprüfungen definieren und dabei auch Kombinationen von Berechtigungsobjekten und deren Werten festlegen. Sie können bis zu 1.000 kundeneigene Berechtigungsprüfungen im Check-ID-Namensraum 9000 bis 9999 anlegen. Auch für diese Berechtigungsprüfungen können Sie wieder Whitelists definieren, die entweder für einzelne oder alle kundeneigenen Berechtigungsprüfungen gelten. Die Konfiguration ist im SAP-Hinweis 837490 beschrieben.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dies gilt jedoch nur, sofern keine weitere Transaktion diese Berechtigung benötigt und somit den gleichen Berechtigungsvorschlag verwendet.
Kundeneigene Tabellen, oder auch SAP-Standardtabellen, die Sie besonders schützen möchten, gehören in separate, gegebenenfalls kundeneigene Tabellenberechtigungsgruppen.