Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Berechtigungsvorschlagswerte
In der Transaktion SU25 sind neben den Upgradetätigkeiten noch weitere Anpassungsmöglichkeiten aufgeführt. Unter dem Punkt Anpassung der Berechtigungsprüfungen (optional) sind die Transaktionen SU24 zur Vorschlagswertepflege, die Transaktion AUTH_SWITCH_OBJECTS zur globalen Ausschaltung von Berechtigungsobjekten sowie die Transaktion SE97 zur Pflege von Transaktionsstartberechtigungsprüfungen (siehe Tipp 76, »Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen«) aufgelistet. Im Abschnitt Manuelle Anpassung ausgewählter Rollen können Sie Rollen aus manuell erstellten Profilen erzeugen, SAP_NEW (siehe Tipp 64, »SAP_NEW richtig verwenden«) oder SAP_APP als Rolle generieren. Im Abschnitt Allgemeine Wartung für Vorschlagswerte sind die Reports SU2X_CHECK_WDY_HEADER zur Registrierung der Headerdaten für externe Services (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«) sowie SU2X_CHECK_CONSISTENCY zur Konzistenzprüfung (verfügbar über das in SAP-Hinweis 1646692 benannte Support Package) von Vorschlagswerten bezüglich der ausgewählten Berechtigungsobjekte verlinkt.
Die Berechtigungsprüfung für die Berechtigungsobjekte PS_RMPSORG und PS_RMPSOEH läuft im Anschluss an eine Benutzereingabe folgendermaßen ab: Das System ermittelt die Organisationseinheit, der der Benutzer zugeordnet ist. Von dieser Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der im ersten Schritt ermittelten Organisationseinheit in der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M1) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System ermittelt die Organisationseinheit, der das zu bearbeitende Objekt zugeordnet ist (entspricht der federführenden Organisationseinheit in den Attributen des zu bearbeitenden Objekts). Von dieser federführenden Organisationseinheit ausgehend, erstellt das System eine Liste aller Organisationseinheiten, die der ermittelten Organisationseinheit innerhalb der Hierarchie übergeordnet sind. Das System ermittelt die Menge (M2) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind. Das System bildet die Schnittmenge (aus M1 und M2) der übereinstimmenden Organisationsobjekte von Benutzer und zu bearbeitendem Objekt. Das System ermittelt die Organisationsebenen, die für den Benutzer und das zu bearbeitende Objekt übereinstimmen. Sobald eine übereinstimmende Organisationsebene gefunden wird, führt das System die Berechtigungsprüfung für die anderen Felder des Berechtigungsobjekts (z. B. Art des Objekts oder Aktivität) aus; wenn das System keine gemeinsame Organisationsebene ermitteln kann, wird die Verarbeitung abgelehnt. Wenn der Benutzer die gewünschte Aktivität ausführen darf, ist die Verarbeitung erlaubt; andernfalls wird die Verarbeitung vom System abgelehnt.
Gewährleistung einer sicheren Verwaltung
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
AP-Neueinführung, S/4HANA Conversion oder Redesign eines SAP-Berechtigungskonzeptes - die Komplexität ist enorm gestiegen und erfordert eine klare Struktur an Prozessen, Verantwortlichkeiten und der dazugehörigen technischen Umsetzung. Neue Technologien wie Fiori und Launchpads sind Herausforderungen und Anlass, die Berechtigungsstrukturen neu zu denken.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Zuvor sollte daher die Konsistenz der Vorschlagswerte mit Hilfe des Reports SU2X_CHECK_CONSISTENCY überprüft werden.
Sie können dies für jedes Zwischenrelease einzeln durchführen.