Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten
Berechtigungsprüfung
Wir verfolgen bei einem Redesign das Prinzip der stellenbezogenen Arbeitsplatzrollen, um das Jobprofil der Mitarbeiter technisch abzubilden. Um den Aufwand für gleiche Jobprofile mit unterschiedlichen organisatorischen Zugehörigkeiten zu minimieren, werden die Organisationseinheiten über eine Zusatzrolle vererbt. Die Trennung der technischen und organisatorischen Anforderungen erleichtert die Rollenentwicklung und -änderung erheblich. Benötigen bestimmte Personen, beispielsweise Teamleiter, erweiterte Berechtigungen, werden dafür Key-User-Rollen entwickelt, welche die bestehende Arbeitsplatzrolle erweitern.
Das Customizing der Organisationskriterien ist mandantenübergreifend. Die Aktivierung der Organisationskriterien ist allerdings mandantenabhängig. Möchten Sie diese Berechtigungen in verschiedenen Mandanten nutzen, müssen Sie die jeweiligen Organisationskriterien für den jeweiligen Mandanten aktivieren. Nun können Sie das Organisationskriterium in Ihrer PFCG-Rolle verwenden. Pflegen Sie dazu das Berechtigungsobjekt S_TABU_LIN mit dem von Ihnen erstellten Organisationskriterium ein. Weisen Sie dazu die jeweiligen Attribute mit den organisatorischen Werten zu, für die der Anwender berechtigt sein soll. Hier können Sie neben den Einzelwerten auch Intervalle für Ihr Organisationskriterium angeben, sodass Sie den Anwendern Berechtigungen für mehrere organisatorische Werte zuteilen können.
Hintergrundverarbeitung
Analog zur Pflege der Berechtigungsvorschlagswerte für SAP-Transaktionen mittels der Transaktionen SU22 und SU24 ist die Pflege von Vorschlagswerten für Webanwendungen ratsam. Damit einem Nutzer eine passende Berechtigung für einen betriebswirtschaftlichen Funktionsumfang in der Webanwendung zugewiesen werden kann, müssen die Softwareentwickler in der Transaktion SU22 alle für diese Anwendung benötigten Berechtigungsobjekte an die entsprechende Web-Dynpro-Anwendung anbinden, also nicht nur S_START. Quelle für die benötigten Berechtigungsobjekte ist in der Regel ein Developer- oder Berechtigungstrace.
Um das Zeitstempelverfahren optimal zu nutzen, sollten Sie die Zeitstempeltabellen bereits vor dem Upgrade im Altsystem füllen. Implementieren Sie dafür SAP-Hinweis 1599128. Mit dieser Korrektur wird der Report SU25_INITIALIZE_TSTMP ausgeliefert, der es ermöglicht, die aktuellen Zeitstempel Ihrer Daten aus der Transaktion SU22 in die jeweiligen Zeitstempeltabellen USOBT_TSTMP und USOBX_TSTMP zu schreiben. Nach dem Upgrade haben Sie für Ihre SU22-Daten ein Referenzdatum, das Sie zum Vergleich mit den für das neue Release ausgelieferten SAP-Vorschlagsdaten heranziehen können. Durch das Setzen der Zeitstempel im Altrelease reduziert sich der Aufwand zum Ausführen von Schritt 2a, da nur die Anwendungen abgeglichen werden, deren SU22-Daten verändert wurden. Haben Sie die Zeitstempeltabellen im Altrelease nicht gefüllt, sind die Tabellen in Ihrem neuen Release leer. In diesem Fall wird in Schritt 2a der Inhalt der SAP-Vorschlagswerte, unabhängig von einem Zeitstempel, mit den Kundenvorschlagswerten abgeglichen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Passwortsperre ist nicht dazu geeignet, die Anmeldung am System zu unterbinden, denn sie verhindert nicht die Anmeldung mittels Single Sign-on.
Cybersecurity ist ein weites Feld.