Gesetzeskritische Berechtigungen
Sicherheit innerhalb des Entwicklungssystems
Als Rollenentwickler können Sie nun in der Transaktion PFCG auf der Registerkarte Menü aus der Liste der von den Softwareentwicklern veröffentlichten Web-Dynpro-Anwendungen die konkret benötigte Anwendung auswählen und im Menü der Rolle eintragen. Zum Generieren des Rollenprofils wechseln Sie dann auf die Registerkarte Berechtigungen. Dort können Sie die konkreten Werteausprägungen der Berechtigungsfelder von S_START und gegebenenfalls die für diese Webanwendung zusätzlich relevanten Berechtigungsobjekte prüfen und bei Bedarf ergänzen. Zuletzt müssen Sie, wie gewohnt, das Rollenprofil generieren.
Eine universal anwendbare Vorlage für ein zuverlässiges und funktionierendes Berechtigungskonzept existiert aufgrund der Individualität und der unterschiedlichen Prozesse innerhalb jedes Unternehmens nicht. Im Rahmen der Erstellung müssen somit die Strukturen des Unternehmens und die relevanten Prozesse genau analysiert werden. Einige Kernelemente des zu erstellenden Berechtigungskonzepts können im Vorfeld definiert werden. Dazu gehören das übergeordnete Ziel, die rechtlichen Rahmenbedingungen, eine Namenskonvention, die Klärung von Verantwortlichkeiten und Prozessabläufen für das Benutzer- wie auch Berechtigungsmanagement sowie die Ergänzung durch Sonderberechtigungen. Nur mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet.
Unsere Services im Bereich SAP-Berechtigungen
TMSADM: Der Benutzer TMSADM dient der Kommunikation zwischen SAP-Systemen im Transportmanagementsystem und wird bei deren Konfiguration automatisch im Mandanten 000 angelegt. TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen. Schutzmaßnahmen: Ändern Sie die Passwörter des Benutzers in den einzelnen Mandanten. Dazu gibt es den Report TMS_UPDATE_PWD_OF_TMSADM, den Sie im Mandanten 000 starten müssen. Dies ist nur möglich, wenn Sie über Administratorberechtigungen in allen Systemen der Landschaft verfügen und die Passwortregeln der Systeme kompatibel sind. Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Das Ziel eines Berechtigungskonzepts besteht darin, jeden User nach einer vorher definierten Regel individuell für seine Aufgaben mit den entsprechenden Berechtigungen im System zu versehen. Hierfür muss ein Berechtigungskonzept als Fundament für eine effiziente Berechtigungsvergabe definiert werden. So erhält jeder Mitarbeiter durch die rollenspezifische Vergabe von Berechtigungen entsprechend seiner Aufgaben System-Zugriff. Damit können einerseits sensible Informationen geschützt und andererseits Schäden durch falsche Verwendung von Daten verhindert werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Mit den Customizing-Schaltern für die Pflege von Session Manager und Profilgenerator sowie der Benutzer- und Berechtigungsverwaltung können Sie das Standardverhalten diverser Transaktionen und Parameter beeinflussen.
Wenn Sie mehr als eine Kostenstellen- oder Profit-Center-Hierarchie mit Vererbungslogik für die Berechtigungen nutzen, müssen Sie dies im Customizing der Kostenrechnungskreise über die Transaktion OKKP einstellen.