Kundeneigene Customizing-Tabellen in den IMG einbinden
Berechtigungsfehler durch Debugging ermitteln
Der hohe manuelle Pflegeaufwand von abgeleiteten Rollen bei organisatorischen Änderungen stört Sie? Nutzen Sie die in diesem Tipp vorgestellten Varianten für die Massenpflege von Rollenableitungen. Gerade in großen Unternehmen kommt es oft vor, dass z. B. für Buchhaltung, Vertrieb oder Einkauf ein weltweites, integriertes ERP-System genutzt wird. Die Zugriffe der verschiedenen Abteilungen müssen Sie dann jeweils einschränken, z. B. auf entsprechende Buchungskreise, Verkaufsorganisationen oder Einkauforganisationen. Im Berechtigungsumfeld können Sie in solchen Fällen mit Referenzrollen und Rollenableitungen arbeiten. Dies verringert Ihren administrativen Aufwand für die Pflege funktionaler Berechtigungen und reduziert den Pflegeaufwand für Rollenableitungen auf das Anpassender sogenannten Organisationsfelder. Die Pflege der Organisationsfelder kann dennoch eine enorme manuelle Arbeit für Sie bedeuten, da die Anzahl der Rollenableitungen sehr groß werden kann. Hat Ihr Unternehmen beispielsweise 100 Vertriebsorganisationen und 20 Vertriebsrollen, haben Sie bereits 2.000 Rollenableitungen. Wir stellen Ihnen hier mögliche Ansätze dazu vor, wie Sie diesen manuellen Aufwand verringern können.
Nachdem Sie die Daten für die Webseite ermittelt haben, müssen Sie nun das Initialpasswort generieren und per E-Mail verschicken sowie gegebenenfalls den Benutzer entsperren. Dafür gibt es ebenfalls unterschiedliche Lösungen – wir beschreiben eine mögliche Vorgehensweise. Die Generierung eines Passworts können Sie über den Importparameter GENERATE_PWD des BAPIs BAPI_USER_CHANGE veranlassen. Das generierte Passwort wird dann als Initialpasswort gesetzt und muss bei der nächsten Anmeldung durch den Benutzer geändert werden. Außerdem müssen Sie den Importparameter PASSWORDX setzen, um eine Änderung am Passwort anzuzeigen. Über den Exportparameter GENERATED_PASSWORD wird das generierte Passwort zurückgegeben. Dies ist erforderlich, wenn Sie das BAPI BAPI_USER_CHANGE aus einem zentralen System (z. B. aus der ZBV) aufrufen und die betreffende E-Mail aus diesem System verschicken wollen. Sie sollten dieses Passwort niemals speichern, sondern es direkt in Ihrer Anwendung in eine E-Mail einbinden. Anschließend verschicken Sie diese E-Mail an den Benutzer, dessen E-Mail-Adresse Sie entweder direkt im SAP-System ermitteln (Parameter ADDSMTP von BAPI_USER_GET_DETAIL) oder im Rahmen Ihrer Webanwendung (z. B. aus dem AD). Auch wenn Sie die E-Mail-Adresse im AD ermitteln, raten wir Ihnen davon ab, die E-Mail auch von dort aus zu versenden. Initiieren Sie den Versand lieber im Rahmen Ihres zentralen SAPSystems, um zu vermeiden dass das Passwort unnötig übertragen wird. Außerdem raten wir Ihnen dringend, die E-Mails mit den Initialpasswörtern verschlüsselt zu verschicken. Dazu muss die Implementierung Ihres Self-Services bei der Erstellung der E-Mail das Kennzeichen für die Verschlüsselung setzen. Details zur Verschlüsselung von E-Mails und einen alternativen Versand des Initialpassworts direkt aus dem betroffenen SAP-System beschreiben wir in Tipp 98, »E-Mails verschlüsseln«.
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
Nun muss die Struktur »mit Leben« gefüllt werden. Dazu müssen Sie als Erstes sinnvolle Unterordner in der kundeneigenen Struktur anlegen. Wie schon erwähnt, sind diese meist an die SAP-Module angelehnt. Achten Sie darauf, dass Sie Ihr Customizing für zusätzlich eingespielte Add-ons ebenfalls entsprechend ablegen, damit später die Arbeit von Supportorganisationen erleichtert wird. Rufen Sie die Transaktion SOBJ auf. Dort legen Sie Customizing-Objekte an, die später in Ihrer IMG-Struktur wiederverwendet werden. Es bietet sich an, das Objekt genau wie die dazugehörige Tabelle zu benennen. Dies vereinfacht die spätere Pflege in der IMG-Struktur. Hier entscheiden Sie auch, ob und wie die Tabellen möglicherweise im produktiven System gepflegt werden können. Dazu wählen Sie die entsprechenden Einträge in den Feldern Kategorie und Transport und markieren die Option Laufende Einstellung. Dies wiederholen Sie für alle kundeneigenen Customizing-Tabellen, die noch benötigt werden.
Sind Geschäftspartner zu den Benutzer-IDs hinterlegt, führen die Standardauswertungswege in eine Sackgasse. Passen Sie diese so an, dass die indirekte Rollenzuordnung trotzdem klappt. In SAP CRM können Sie, wie in SAP HCM, ein Organisationsmanagement aufbauen. Dabei können Sie Organisationseinheiten und Planstellen pflegen und Geschäftspartner mit deren Benutzer-IDs zuordnen. In SAP CRM gibt es jedoch die Besonderheit, dass Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern in der Regel indirekt mithilfe des zugeordneten Geschäftspartners. Alle Personen und Organisationen, die an Geschäftsprozessen beteiligt sind, sind in SAP CRM als Geschäftspartner abgebildet.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Neue Technologien erfordern ein entsprechendes Handeln, um die aktuelle Systemlandschaft immer auf dem neuesten Stand zu halten, die Position am Markt zu stärken und natürlich um sich gegenüber anderen Mitbewerbern einen technologischen Vorsprung zu erarbeiten.
Es findet eine automatische Bereinigung statt, indem beide Wertebereiche zusammen in alle Felder geschrieben werden.