Fazit und Ausblick
Fehlendes Knowhow
Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert. In älteren Releases wird im Startbild des Reports anstelle der Übersicht über die Sicherheitsrichtlinien eine Selektionsseite für die Profilparameter angeboten. Wenn Sie in dieser Selektionssicht Profilparameter anzeigen auswählen, erhalten Sie in der oberen Hälfte des Bildschirms eine Übersicht zu den Profilparametereinstellungen. Hier sollten Sie besonders auf die Einstellung des Parameters login/no_ automatic_user_sapstar achten und dessen Einstellung auch nach der Umstellung auf die Sicherheitsrichtlinien kontrollieren.
In Schritt 2b (Abgleich kundenmodifizierter Vorschlagswerte) müssen Sie manuelle Anpassungen an den Einträgen vornehmen, die Sie im Ausgangsrelease manuell in der Transaktion SU24 geändert haben. Dabei wird die Transaktion SU24 im Upgrademodus gestartet, und Sie können Schritt für Schritt durch alle Anwendungen gehen und die Änderungen abgleichen. Haben Sie kundeneigene Organisationsebenen (Orgebenen) erstellt, müssen Sie diese an dieser Stelle mithilfe des Reports PFCG_ORGFIELD_UPGRADE wiederherstellen. Der Report muss für jede einzelne Organisationsebene aufgerufen werden. Über die Wertehilfe werden nur die von Ihnen erstellten Organisationsebenen angezeigt. SAP-Hinweis 727536 führt Fragen und Antworten rund um die Verwendung von kundeneigenen Organisationsebenen auf.
Manueller Benutzerabgleich über die Transaktion PFUD
Für noch umfangreichere Operationen auf Jobs muss eine Berechtigung zum Objekt S_BTCH_ADM vorhanden sein, in der das Feld BTCADMIN (Kennung für den Batchadministrator) den Wert ‚Y‘ hat. Dies ermöglicht mandantenübergreifend alle Operationen auf beliebigen Jobs. S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht. Mit den in Hinweis 1702113 genannten Änderungen lässt sich über das Objekt S_BTCH_ADM die Berechtigungsvergabe genauer einschränken.
Ein Anwender meldet sich, dass ihm ein Berechtigungsfehler angezeigt wird, obwohl Sie ihm die erforderlichen Berechtigungen erteilt haben. Dies könnte an einer fehlerhaften Pufferung der Berechtigungsdaten liegen. Obwohl einem Benutzer eine Rolle mit den korrekten Berechtigungsdaten zugeteilt wurde, wird diesem Benutzer ein Berechtigungsfehler aufgrund von fehlenden Berechtigungen angezeigt. Dies mag auf den ersten Blick überraschen, kann aber fast immer durch eine kurze Analyse behoben werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Mithilfe des Buttons Transportaufzeichnung aktivieren können Sie die Änderungen in den Rollen in einem Transportauftrag speichern.