Berechtigungsprüfungen in SAP HANA verstehen
Benutzerstammdaten
Werden zu den Berechtigungsobjekten auch Berechtigungsfelder benötigt, können Sie diese in der Transaktion SU20 anlegen. Beim Anlegen eines Berechtigungsobjekts in der Transaktion SU21 legen Sie zuerst einen Namen und eine Beschreibung für das Berechtigungsobjekt fest und weisen es anschließend einer Objektklasse zu. Anschließend weisen Sie die notwendigen Berechtigungsfelder zu. Handelt es sich bei einem dieser Felder um das Feld ACTVT (Aktivität), können Sie über den Button Zulässige Aktivitäten alle zu prüfenden Aktivitäten auswählen. Das Navigationsverhalten ist hier um einiges verbessert worden.
Ihnen ist sicher bekannt, dass Sie sich bei der Vergabe von Namen von PFCG-Rollen nicht zwingend im Kundennamensraum bewegen müssen und somit viel Freiraum haben. Die einzige Einschränkung ist hier, dass Sie nicht den Namensraum der von SAP ausgelierten Rollen verwenden dürfen. Zunächst müssen Sie sich über die Form der Namen einig sein. Eine grundlegende Entscheidung ist die Festlegung der Sprache, in der die PFCG-Rollen gepflegt werden müssen. Dies hat zwar auf den Rollennamen nicht zwingend Einfluss, da dieser in allen Sprachen gleich ist, aber Sie haben sicher beschreibende Elemente in Ihren Rollennamen. Auch die Rollenbeschreibung sowie der Langtext sind jeweils sprachabhängig. Es ist deshalb sinnvoll, die Rollen initial in der Sprache anzulegen, die auch am häufigsten genutzt wird, und auch die beschreibenden Texte zunächst in dieser Sprache zu pflegen. Werden Rollen in verschiedenen Sprachen benötigt, können Sie die Texte übersetzen.
Allgemeine Berechtigungen
Die Pflege der Berechtigungen zu den Auditstrukturen wird ebenfalls durch die Bereichsmenüs vereinfacht. Die von Ihnen genutzten Auditstrukturen bzw. Bereichsmenüs können Sie in der Rollenbearbeitung selektieren und so als Menüs in die Rollen importieren. Möchten Sie eine Einschränkung für Benutzer des AIS auf bestimmte Auditstrukturen einrichten oder einzelne Audits vor dem Zugriff schützen, können Sie dafür das Berechtigungsobjekt S_SAIS nutzen. Dieses Objekt steuert den Zugriff auf die Auditstrukturen oder die Prüfnummern einzelner Audits.
Welche Anwendungen verfügen über ähnliche oder gleiche Funktionen? Verwenden Sie die Anwendungssuche, um dies herauszufinden. Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben. Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden. Die eigentliche Funktion der alternativen Anwendung soll dabei aber nicht genutzt werden.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Um die fehlenden Vorschlagswerte zu pflegen, können Sie hier nun den Trace starten, indem Sie auf den Button Trace klicken.
Detaillierte Informationen bezüglich der Vorgehensweise können dem SAP Hinweis 1539556 entnommen werden.