Analyse von Berechtigungen
Rollenpflege im Betrieb
Ihre Compliance-Anforderungen geben vor, dass verwendete Hintergrundjobs mit Berechtigungsvorschlägen zu pflegen sind? Wir zeigen Ihnen, wie Sie das umsetzen. Gerade im Banking-Umfeld gibt es sehr strenge Richtlinien für die Berechtigungen von Hintergrundjobs, die für Monats- und Quartalsabschlüsse usw. verwendet werden. Nur ausgewählte Anwender bzw. dedizierte Systembenutzer dürfen über diese Berechtigungen verfügen. Um diese Berechtigungen klar von den Endanwenderberechtigungen abzugrenzen, ist es sinnvoll, die Berechtigungen für bestimmte Hintergrundjobs explizit mit Vorschlagswerten zu pflegen, sodass diese Werte immer wieder zur Berechtigungspflege verwendet werden können und somit transparent sind. Ihnen ist sicher aufgefallen, dass Sie in der Transaktion SU24 keine Möglichkeit dazu haben, Berechtigungsvorschlagswerte für Hintergrundjobs zu pflegen. Wie sollten Sie also am besten vorgehen?
Gründe für fehlerhafte Organisationsebenen sind Werte, die im Berechtigungsobjekt selbst manuell gepflegt wurden, anstatt über den Button Orgebenen, sowie fehlerhafte Transporte oder fehlerhaft erstellte oder gelöschte Organisationsebenen. Da eine korrekte Vererbung in solchen Fällen nicht mehr stattfinden kann, benötigen Sie eine Möglichkeit, um fehlerhafte Werte der Organisationsebenen in den PFCG-Rollen zurückzusetzen.
Benutzerstammdaten
Zusätzlich können Sie im SOS auch kundeneigene Berechtigungsprüfungen definieren und dabei auch Kombinationen von Berechtigungsobjekten und deren Werten festlegen. Sie können bis zu 1.000 kundeneigene Berechtigungsprüfungen im Check-ID-Namensraum 9000 bis 9999 anlegen. Auch für diese Berechtigungsprüfungen können Sie wieder Whitelists definieren, die entweder für einzelne oder alle kundeneigenen Berechtigungsprüfungen gelten. Die Konfiguration ist im SAP-Hinweis 837490 beschrieben.
Berechtigungen für bestimmte Funktionen zu vergeben, die in SAP CRM über externe Services aufgerufen werden, erfordert einige Vorarbeiten. Anwender, die in SAP CRM arbeiten, verwenden den SAP CRM Web Client, um CRM-Funktionen aufzurufen. Damit dies reibungslos funktioniert, müssen Sie dem Anwender eine CRM-Business-Rolle zuweisen, die alle für den Nutzer notwendigen CRM-Funktionen zur Verfügung stellt. Wenn die Rolle nur für den Zugriff auf bestimmte externe Services, unabhängig vom Customizing, berechtigen soll (bzw. nur für die im Customizing angegebenen externen Services), wird es etwas kniffliger. Alle anklickbaren Elemente im SAP CRM Web Client, wie Bereichsstartseiten oder logische Links werden durch CRM-UI-Komponenten dargestellt. Diese UI-Komponenten sind, technisch gesehen, BSP-Anwendungen. Durch einen Klick auf eine solche Komponente erhält der Anwender Zugriff auf bestimmte CRM-Funktionen. Diese UI-Komponenten werden in den Rollen als externe Services dargestellt. Der Zugriff auf diese UI-Komponenten muss über PFCG-Rollen explizit erlaubt werden, ähnlich wie bei der Berechtigung für den Zugriff auf bestimmte Transaktionen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Hierbei werden die Berechtigungen entweder aus dem Rollenmenü abgeleitet (durch die Berechtigungsvorschlagswerte (Transaktion SU24) oder können im Expertenmodus auch manuell bearbeitet werden.
Diese Zuordnung ist als Customizing-Einstellung definiert und bleibt damit auch nach einem Releasewechsel bestehen.