Anmeldung am Anwendungsserver einschränken
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Wir möchten Sie darauf hinweisen, dass Sie nach der Definition und Implementierung eines Berechtigungsobjekts die Berechtigungsfeldliste nicht mehr ändern sollten, da dies zu Inkonsistenzen führt. Haben Sie festgestellt, dass Sie Ihre Prüfung um weitere Felder erweitern möchten, weisen Sie Ihr Berechtigungsobjekt der Objektklasse AAAA (obsolete Berechtigungsobjekte) zu und erstellen ein neues Berechtigungsobjekt.
Upgradenacharbeiten für Berechtigungsvorschlagswerte in Y-Landschaften durchführen
Ein temporäres Abschalten der Zentralen Benutzerverwaltung wird in der Regel nicht empfohlen. In bestimmten Fällen kann es jedoch notwendig sein. Wir zeigen Ihnen, welche Vor- und Nacharbeiten erforderlich sind, um Dateninkonsistenzen zu vermeiden. In komplexen SAP-Landschaften, in denen die Zentrale Benutzerverwaltung (ZBV) eingesetzt wird, können Fälle eintreten, in denen Sie ein Tochtersystem temporär aus der ZBV entfernen möchten, ohne dieses System löschen oder die ganze ZBV abschalten zu müssen, wenn z. B. kurzfristig Benutzer in einem Tochtersystem angelegt werden sollen.
Nach der Erstellung eines Berechtigungsobjekts sollten Sie noch die folgenden Aufgaben ausführen: Nehmen Sie die Implementierung der Berechtigungsprüfung an einer geeigneten Stelle im Code vor. Pflegen Sie die Vorschlagswerte für die betreffende Anwendung in der Transaktion SU24. Laden Sie die Rolle nochmals neu in die Transaktion PFCG, wenn die Anwendung bereits in Rollen berechtigt wurde. Handelt es sich um eine neue Anwendung, passen Sie die Rollen an, indem Sie die neue Anwendung ins Rollenmenü aufnehmen und anschließend die Berechtigungen der Berechtigungsobjekte pflegen, die über die Vorschlagswerte in die Rolle geladen worden sind.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Nutzen Sie den Testmodus des Reports, um sich mögliche Korrekturen im Vorfeld anzuschauen.
Über die Registerkarte Selektionsbedingungen können Sie Ihre einschränkende organisatorische Bedingung in Form eines Feldes und eines Feldwerts angeben.