Gleiche Berechtigungen
Kundenspezifische Berechtigungen einsetzen
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Sie können den Benutzerabgleich direkt in der Transaktion PFUD durchführen. Hier können Sie zwischen den Abgleichsarten Profilabgleich, Abgleichindirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement für bestimmte PFCG-Rollen wählen.
Sie haben gelesen, dass es mit Standardmitteln möglich ist, Massenaktivitäten, wie z. B. das massenhafte Ableiten von Rollen, vorzunehmen. Dies ist Ihnen alles zu kompliziert, und Sie sind noch auf der Suche nach ganz simplen Lösungen für die Rollenpflege? Bestimmt schauen Sie sich hierzu Tools von SAP-Partnern an, die Abhilfe versprechen. In diesem Zusammenhang möchten wir Ihnen in diesem Tipp noch einige Hinweise mitgeben; hierzu gibt es einen ganz praktischen Anlass: Wir haben zu oft bei SAP-Kunden ein »kaputtes« Berechtigungswesen vorgefunden, verursacht durch die falsche Anwendung von Zusatzprogrammen. Mitunter gab es Schiefstände in den Rolleninhalten und keine sauber gepflegten Vorschlagswerte, woraufhin sich die Berechtigungsadministratoren irgendwann überhaupt nicht mehr zurechtgefunden haben. Deshalb sollten Sie sehr gut prüfen, ob das Werkzeug, das Sie gerade näher ins Auge fassen, tatsächlich für Ihre Zwecke geeignet ist.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Rufen Sie nun die Transaktion ST03N auf, und navigieren Sie zu: Kollektor & Perf.
Zusätzlich brauchen Sie dann natürlich noch eine Ausprägung von P_ABAP für die relevanten Berichte mit dem Wert COARS = 1.