Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
Berechtigungsprüfungen in SAP HANA verstehen
Möchten Sie nun PFCG-Rollen indirekt Nutzern über das Organisationsmanagement zuordnen, müssen Sie dafür Auswertungswege verwenden. Auswertungswege definieren eine Kette von Beziehungen zwischen Objekten innerhalb einer Hierarchie. Sie definieren so z. B., dass eine Organisationseinheit oder eine Planstelle einer anderen Organisationseinheit zugordnet werden kann. Diese Beziehung wird bis hin zur Benutzer-ID festgelegt. Ist im Organisationsmanagement allerdings auch der Geschäftspartner gepflegt worden, gibt es für diesen Fall keinen Standardauswertungsweg, und der der Rolle zugeordnete Benutzer wird nicht gefunden. Da in SAP CRM aber die Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern über den Geschäftspartner, müssen Sie Anpassungen an den Auswertungswegen vornehmen,bevor Sie die Rollen indirekt vergeben können.
Der Funktionsbaustein wurde offensichtlich nicht für diese Verwendung vorgesehen, unser Vorgehen beeinflusst aber nicht den Programmablauf, und es sind uns keine Einschränkungen durch diese Nutzung bekannt. Diese Vorgehensweise können Sie auch bei anderen BTEs anwenden, die in ähnlicher Form Daten übergeben. Dabei sollten Sie aber immer Vorsicht walten lassen und prüfen, ob die Anwendung bereits Summendatensätze gebildet hat oder ob es andere Abhängigkeiten gibt. Abschließend müssen Sie noch ein von Ihnen entwickeltes Produkt (den Namen können Sie selbst definieren) in der Transaktion FIBF anlegen und dieses zusammen mit dem kundeneigenen Funktionsbaustein dem Business Transaction Event 1650 zuordnen, wie es in der folgenden Abbildung zu sehen ist. Zu einem kundeneigenen Produkt können mehrere Erweiterungen gehören. Es bildet eine logische Klammer um die Erweiterungen und sorgt so für eine bessere Übersicht. Zusätzlich ermöglicht es eine gezielte Aktivierung bzw. Deaktivierung der Implementierungen.
Berechtigungsobjekte der PFCG-Rolle
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der ersten Seite der Ausgabe zu schicken.
Beachten Sie, dass die globale Checkvariante des Code Inspectors, die Sie in der Transaktion SCI angelegt haben und die als Default in der Transaktion ATC (ATC-Konfiguration) eingetragen ist, die Sicherheitstests der erweiterten Programmprüfung des SAP Code Vulnerability Analyzers beinhaltet.