Unklare Zielvorgaben und fehlende Definition eigener Sicherheitsstandards
Ausprägungen SAP Berechtigungskonzept
Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Nach der Erstellung eines Berechtigungskonzepts beginnt die Umsetzung im System. Auf dem Markt gibt es Lösungen, die auf der Basis von Microsoft Excel PFCG-Rollen im Handumdrehen anlegen. Sie sollten allerdings einiges beachten. Sie haben Ihre Rollen in Form von Rollenmatrizen und Ihre Organisationsebenen (Orgebenen) in Form von Organisationssets (Orgsets) definiert? Das alles haben Sie in Excel-Dokumenten gespeichert und wünschen sich nun eine Möglichkeit, um diese Informationen einfach per Knopfdruck in PFCG-Rollen zu gießen, ohne langwierig Rollenmenüs erstellen oder anschließend große Mengen von Rollen ableiten zu müssen, je nachdem wie viele Organisationssets Sie definiert haben?
Anmeldung am Anwendungsserver einschränken
Rollen werden je nach Funktion der Mitarbeiter im Unternehmen zugewiesen und deren Gültigkeitsdauer je nach Aufgabe begrenzt. Rollenzuordnungen manuell in Benutzerstammsätzen aufzuräumen, ist sehr mühselig. Wir zeigen Ihnen, wie es einfacher geht. Mit der Zeit haben sich bei den Anwendern Ihres SAP-Systems viele Rollen im Benutzerstammsatz angesammelt. Diese Rollen haben unterschiedliche Gültigkeitszeiträume. Die Gültigkeit einiger Rollen ist bereits abgelaufen, und andere Rollen sind vielleicht mehrfach zugewiesen, weil ein Anwender z. B. mehrere Funktionen im Unternehmen übernimmt, bei denen zum Teil die gleichen Rollen zum Einsatz kommen. Nun suchen Sie nach einem einfachen Weg, um Rollenzuordnungen zu löschen, bei denen der Gültigkeitszeitraum abgelaufen ist, bzw. um mehrfach vergebene Rollenzuordnungen aufzuräumen.
Wir möchten Sie darauf hinweisen, dass Sie nach der Definition und Implementierung eines Berechtigungsobjekts die Berechtigungsfeldliste nicht mehr ändern sollten, da dies zu Inkonsistenzen führt. Haben Sie festgestellt, dass Sie Ihre Prüfung um weitere Felder erweitern möchten, weisen Sie Ihr Berechtigungsobjekt der Objektklasse AAAA (obsolete Berechtigungsobjekte) zu und erstellen ein neues Berechtigungsobjekt.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Dazu führen Sie den Report CRMD_UI_ROLE_PREPARE aus.
Denn diese Transaktion zeigt die letzte fehlgeschlagene Berechtigungsprüfung an.