Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Effizienter SAP-Rollout durch zentrale, tool-gestützte Verwaltung
Wie ist es möglich, von einer Transaktion in eine andere zu springen, ohne dass die Berechtigung für die Zieltransaktion geprüft wird? Mit der Anweisung CALL TRANSACTION! In diesem Tipp erläutern wir Ihnen, wie Sie Berechtigungen für Absprünge von einer Transaktion in eine andere über den ABAP-Befehl CALL TRANSACTION vergeben bzw. aktiv bestimmen können, welche Prüfungen durchgeführt werden sollen. Bei der Anweisung CALL TRANSACTION wird die Berechtigung des Benutzers zur Ausführung der aufgerufenen Transaktion nicht automatisch überprüft. Falls keine Überprüfung im aufgerufenen Programm stattfindet, muss diese im aufrufenden Programm durch zusätzliche Funktionsbausteine für die Berechtigungsprüfung eingebaut werden.
Haben Sie schon einmal versucht manuell nachzuvollziehen, wer von den Nutzern in Ihrem SAP-System kritische Berechtigungen besitzt? Je nach Kenntnisstand und Erfahrung nimmt diese Arbeit viel Zeit in Anspruch. Sind zudem Wirtschaftsprüfungen angekündigt, ist der Druck besonders hoch. Denn manuell ist es schwierig, alle Anforderungen in Bezug auf SAP Berechtigungen zu erfüllen.
Werte aus der Zwischenablage in die Berechtigungsfelder der Transaktion PFCG kopieren
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Berechtigungen im Berechtigungsbaum mit dem Status Gepflegt werden hingegen nur dann gelöscht, wenn die letzte mit der Berechtigung verbundene Transaktion über das Rollenmenü gelöscht wurde. Profil und Berechtigungen löschen und neu anlegen Alle Berechtigungen werden neu angelegt. Zuvor gepflegte, veränderte oder manuelle Werte gehen verloren und werden gelöscht. Ausnahme stellen hier die Werte dar, die durch die Organisationsebenen gefüllt werden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.
Dies sieht zwar alles sehr bequem aus (und ist es vermutlich zunächst auch), hat aber langfristig seine Tücken.