Neuaufbau des Berechtigungskonzeptes
Alten Stand bearbeiten
Nach der Erstellung eines Berechtigungsobjekts sollten Sie noch die folgenden Aufgaben ausführen: Nehmen Sie die Implementierung der Berechtigungsprüfung an einer geeigneten Stelle im Code vor. Pflegen Sie die Vorschlagswerte für die betreffende Anwendung in der Transaktion SU24. Laden Sie die Rolle nochmals neu in die Transaktion PFCG, wenn die Anwendung bereits in Rollen berechtigt wurde. Handelt es sich um eine neue Anwendung, passen Sie die Rollen an, indem Sie die neue Anwendung ins Rollenmenü aufnehmen und anschließend die Berechtigungen der Berechtigungsobjekte pflegen, die über die Vorschlagswerte in die Rolle geladen worden sind.
Welche Benutzer haben eine bestimmte Rolle (PFCG)? Um diese Frage zu beantworten steigst du mit der Transaktion PFCG ein – die Mutter aller Transaktionen im Umfeld der SAP-Rollen und -Berechtigungen. Wähle eine Rolle aus und klicke auf den Reiter “Benutzer”.
Kundeneigene Customizing-Tabellen in den IMG einbinden
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Aus diesem Grund erfordern Transaktionen, die mit zusätzlichen Parametern aufgerufen werden, unter Umständen mehr als ein Berechtigungsobjekt und müssen unbedingt programmatisch geschützt werden.
So sind die Test- und Freigabeschritte je nach Kritikalität in unterschiedlichem Ausmaß durchzuführen und somit können sie bei Changes mit geringem Risiko eventuell sogar stark verkürzt werden.