Sofortige Berechtigungsprüfung – SU53
FAZIT
Planen Sie den Report RHAUTUPD_NEW einmal täglich, am besten nach Mitternacht bzw. vor dem ersten Anmelden der Anwender ein. Dieser Hintergrundjob ist für den täglichen Abgleich zuständig. Führen Sie den Report RHAUTUPD_NEW mit der Option Bereinigung durchführen wöchentlich oder monatlich aus. Dadurch werden z. B. Profile samt ihrer Benutzerzuordnung gelöscht, wenn keine passende PFCG-Rolle existiert, oder fehlerhafte Zuordnungen zwischen Benutzern und Rollen bereinigt.
Selbst die besten Berechtigungstools können strukturelle und strategische Schieflagen nicht ausgleichen. Auch fehlendes Knowhow über SAP Berechtigungen kann nicht kostengünstig mittels Tools kompensiert werden.
Objekt S_BTCH_NAM und S_BTCH_NA1 (Nutzung fremder Benutzer in Steps)
In den einzelnen Modulen werden unterschiedliche Organisationsfelder verwendet. Da es eine Vielzahl von Schnittstellen zwischen den Modulen gibt, müssen die Hauptorganisationsfelder der Module miteinander in Beziehung gesetzt werden. Es gibt jedoch auch Organisationsfelder, die ausschließlich für das jeweilige Modul relevant sind. Alle Objektfelder, die als Organisationseinheiten genutzt werden, sind in der Tabelle USORG aufgelistet. Diese Tabelle können Sie über die Transaktion SE16 aufrufen. Alternativ zeigt die Wertehilfe des Feldes VARBL im Selektionsbild der Tabelle AGR_1252 zu den jeweiligen Organisationsfeldern auch die entsprechende Bezeichnung mit an.
Wurde ein Eintrag in der Transaktion SE97 korrekt angelegt, wird eine Berechtigungsprüfung genauso durchgeführt, wie es bei einer Transaktionsstartberechtigung der Fall ist. Dieser Ansatz erfordert daher eine exakte und vollständige Konfiguration für jede Transaktion, die aufgerufen wird. Der erforderliche Aufwand und der Raum für Fehler sind entsprechend groß. Der ABAP-Befehl CALL TRANSACTION verursacht keine Transaktionsstartberechtigungprüfung. Ohne eine Berechtigungsprüfung könnte das ABAP-Programm Benutzern ungewollt Zugriff auf Systemressourcen erlauben. Solche Berechtigungsprobleme führen in vielen Fällen zu einer versteckten Compliance-Verletzung, denn dadurch ist die Nachvollziehbarkeit von Benutzeraktionen im SAP-System nicht mehr gewährleistet. Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen. Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Damit beugen Sie negativen und höchst sicherheitskritischen Auswirkungen auf Ihre gesamte Systemlandschaft vor.
Behalten Sie hier den Überblick, um Abhängigkeiten zu erkennen und Zugriffsberechtigungen organisationsspezifisch steuern zu können.