Berechtigungskonzept
SAP Security Automation
Das Interface IF_IDENTITY der Klasse CL_IDENTITY stellt verschiedene Methoden für die Pflege der Felder des Benutzerstammsatzes zur Verfügung. Als Vorlage für die Implementierung des BAdIs können Sie das Implementierungsbeispiel CL_EXM_IM_IDENTITY_SU01_CREATE nutzen, in dem die Felder Nachname, Raumnummer, Telefon, E-Mail-Adresse, Benutzergruppe, Abrechnungsnummer und Kostenstelle der Transaktion SU01 automatisch vorbelegt werden. In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt. An dieser Stelle müssen Sie die Implementierung, abhängig von Ihren Anforderungen, ergänzen. Dabei gibt es verschiedene mögliche Datenquellen für die Benutzerstammdaten, die Sie aus dem BAdI aufrufen können.
Excel-basierte Werkzeuge kennen typischerweise die releasespezifischen Vorschlagswerte nicht (sie arbeiten oft ganz ohne die systeminterne Vorschlagswertemechanik, weil sie die Transaktion PFCG ja gar nicht verwenden). Damit ist ein Upgrade von Rollen mit SAP-Standardwerkzeugen, wie der Transaktion SU25, ebenfalls nicht möglich. Auch damit vergrößert sich die Abhängigkeit vom externen Werkzeug, und das Berechtigungswesen entfernt sich weiter vom SAP-Standard und den von SAP empfohlenen Best Practices bei der Rollenpflege.
DIE „TOP SEVEN“
Die Selektionsmaske zur Auswahl von Änderungsbelegen in der Transaktion SCUH unterteilt sich in vier Abschnitte: Standardselektion (ähnlich wie in anderen SUIM-Reports), Ausgabe, Selektionskriterien und Verteilungsparameter. In der Standardselektion haben Sie die Möglichkeit anzugeben, für welche Modellsicht, für welchen Änderer (Geändert von) und für welchen Zeitraum Sie sich Änderungsbelege anzeigen lassen möchten.
Ich persönlich bin großer Fan der rollenbasierten Berechtigungen in SAP SuccessFactors und bin froh, dass das System so umfangreiche Möglichkeiten hat. Um Ihren Handlungsbedarf in diesem Bereich zu überprüfen, rate ich Ihnen, sich folgende Fragen zu stellen: Wissen Sie, welche Benutzer welche SAP-Berechtigungen bekommen und warum? Können Sie Ihrem Datenschutzbeauftragten das Konzept erklären? Ist es bei Ihnen einfach, einen neuen Prozess einzuführen, weil Sie wissen, wie die Berechtigungen funktionieren? Wenn Sie hier (mehrmals) mit „Nein“ antworten müssen, empfehle ich Ihnen sich dem Thema zu widmen. Es wird ihnen in Zukunft das Leben erleichtern. Wenn Sie Hilfe dabei benötigen, melden Sie sich sehr gerne bei uns!
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen.
Die Implementierung der Zeitraumberechtigungsprüfungen wird als zusätzlicher Zeitraumfilter durchlaufen.