Kritikalität
Managed Services
Damit werden nur die Anwendungen berücksichtigt, die in den Rollenmenüs der ausgewählten PFCG-Rollen gepflegt sind. Haben Sie den Haken bei Ausschließlich Anwendungen mit veränderten SU22-Daten berücksichtigen gesetzt, werden nur Anwendungen verwendet, bei denen die Vorschlagswerte durch einen Import, z. B. durch Support Packages oder Enhancement Packages, verändert wurden. Führen Sie den Schritt zur Übernahme der Daten aus der Transaktion SU22 aus, indem Sie Ihre Anwendungen selektieren. Sie erhalten nun eine Liste mit Anwendungen, die Sie abgleichen müssen. Markieren Sie jeweils die Zeilen, in denen die abzugleichenden Anwendungen stehen. Beim Abgleich helfen Ihnen die Buttons in der Menüleiste.
Diesen Rollen können Sie nun Transaktionen zuordnen. Die Erfahrung zeigt, dass Rollen applikationsspezifisch bleiben sollten und ferner eine Unterscheidung zwischen buchenden bzw. anlegenden, ändernden und lesenden Rollen sinnvoll ist. Es wird regelmäßig Transaktionen geben, die in mehreren Rollen verwendet werden. Die oft geforderte Redundanzfreiheit sollten Sie nicht zu hoch bewerten. Für kritische Transaktionen oder für Transaktionen, die Anteil an einem Funktionstrennungskonflikt haben, empfiehlt es sich aber, diese in einer eigenen Rolle vorzuhalten. Generell sollten Rollen nicht zu viele Transaktionen enthalten; kleinere Rollen sind einfacher zu warten und einfacher abzuleiten. Ihre Vergabe führt auch nicht so zügig zu dem Problem, dass Benutzer über zu viele Berechtigungen verfügen. Sofern Sie die notwendigen Funktionstrennungen gleich festhalten, haben Sie diese auch schon als Take-away vorbereitet.
Konfigurationsvalidierung einsetzen
In der Simulationsübersicht erhalten Sie nun alle Informationen, die Sie aus der Berechtigungspflege in der Transaktion PFCG bereits kennen. Die Ergebnisse werden in einer Tabelle dargestellt, bei der jede Zeile einem Werteintervall einer Berechtigung entspricht. In der Spalte Objekt wird das Berechtigungsobjekt angegeben. Über die Spalte Aktiv/Inaktiv erkennen Sie, ob die jeweilige Berechtigung deaktiviert wurde. Die Spalten Pflegestatus und Aktualisierungsstatus geben Auskunft zum Status der Berechtigung und darüber, wie die Berechtigung aktualisiert wurde. In der Spalte Berechtigungsvergleich erfahren Sie, was sich genau an der Berechtigung geändert hat, z. B. ob eine Berechtigung gelöscht oder neu hinzugefügt wurde oder ob die Feldwerte in der Berechtigung aktualisiert worden sind. Die Informationen zu den Feldwerten erhalten Sie in der Spalte Wertevergleich, aus der ersichtlich wird, ob Werte gleich geblieben, ergänzt oder gelöscht worden sind. Die eigentlich gelöschten und neu hinzugefügten Werte sehen Sie in den Spalten von Wert und bis Wert (siehe Abbildung nächste Seite). Bitte beachten Sie, dass es sich hier nur um eine Simulation handelt. Den eigentlichen Abmischvorgang müssen Sie nach wie vor in der Berechtigungspflege durchführen. Da das Abmischen von Rollen nicht nur bei Upgradenacharbeiten eine Rolle spielt, gibt es auch über die Transaktion SUPC die Möglichkeit, diesen Simulationsmodus aufzurufen. In der Übersicht der ausgewählten Rollen finden Sie wieder den Button Abmischen, der den Abmischvorgang simuliert.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen.
Der Report PFCG_ORGFIELD_DELETE stellt außerdem eine Wertehilfe zur Verfügung, die nur die kundeneigenen Organisationsebenen anzeigt.