ACCESS CONTROL | BERECHTIGUNGSMANAGEMENT FÜR SAP®
Prüfung auf Berechtigungen für die alte Benutzergruppe bei der Zuweisung einer neuen Benutzergruppe zu einem Benutzer
Welche Anwendungen verfügen über ähnliche oder gleiche Funktionen? Verwenden Sie die Anwendungssuche, um dies herauszufinden. Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben. Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden. Die eigentliche Funktion der alternativen Anwendung soll dabei aber nicht genutzt werden.
Wertvolle Informationen können Sie insbesondere auch über kundeneigene Transaktionen ableiten, da erfahrungsgemäß nicht alle angelegten Transaktionen auch verwendet werden. Wichtig zu erwähnen ist in diesem Zusammenhang, dass Sie die aus dem SAP-System protokollierten und extrahierten Nutzungsdaten grundsätzlich nur zweckgebunden für die Optimierung von SAP-Rollenkonzepten einsetzen sollten. Diese Informationen dürfen nur unter Einbeziehung eines Mitbestimmungsorgans Ihrer Organisation verwendet werden, da hieraus natürlich auch Informationen zur Leistungskontrolle von einzelnen Benutzern abgeleitet werden können. Erfahrungsgemäß ist aber die Verwendung dieser Daten unter einer frühen Einbeziehung der Mitbestimmungsorgane und Festschreibung der Zweckgebundenheit unkritisch.
Massenänderungen in der Tabellenprotokollierung vornehmen
Allerdings können Sie auch den Verwendungsnachweis in der Berechtigungsobjektpflege verwenden, um nach konkreten Implementierungsstellen zu suchen. Öffnen Sie hierzu das Berechtigungsobjekt in der Transaktion SU21. Öffnen Sie den Verwendungsnachweis über den Button, und ein Pop-up-Fenster für die Abfrage von Verwendungsformen (z. B. die Verwendung des betroffenen Berechtigungsobjekts in Programmen oder Klassen) erscheint. Nach der Vornahme Ihrer Auswahl im Verwendungsnachweis werden Ihnen alle betroffenen Implementierungen tabellarisch angezeigt. Über einen Doppelklick gelangen Sie zu den jeweiligen Codestellen.
Für die Anlage eines Berechtigungsobjekts müssen Sie zuerst den Ergebnisbereich und die Form der Ergebnisrechnung (kalkulatorisch oder buchhalterisch) auswählen, für den das Berechtigungsobjekt geprüft werden soll. Dazu müssen Sie den Namen des anzulegenden Berechtigungsobjekts eingeben und auf den Button (Weiter) klicken. Anschließend legen Sie einen Text für das Berechtigungsobjekt fest und selektieren maximal zehn Berechtigungsfelder für das Objekt über den Button Felder. Dabei ist nur eine Selektion der für den Ergebnisbereich festgelegten Merkmale – und für die kalkulatorische Ergebnisrechnung auch der Wertfelder – möglich. Nun können Sie unterschiedliche Berechtigungsobjekte zu den Kennzahlen und Merkmalen anlegen oder die relevanten Felder in einem Berechtigungsobjekt zusammenfassen. Wir raten Ihnen, nur ein Objekt mit allen relevanten Feldern zu definieren, da dies die Berechtigungspflege erleichtert. In unserem Beispiel haben wir ein buchhalterisches Berechtigungsobjekt für die Merkmale Profitcenter, Vertriebsweg und Werk im Infosystem angelegt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Der Anwender kann diese Übersicht jederzeit exportieren.
Hierzu sollten Sie sich die Tabelle AGR_TEXTS einmal genauer anschauen.