Neuaufbau des Berechtigungskonzeptes
Einführung & Best Practices
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
In unserem Beispiel meldet sich der Endanwender in einem SCM-System an, kann von hier aus aber auch ERP-Transaktionen aufrufen. Um diese ERPTransaktionen in SAP SCM verfügbar zu haben, legen Sie eine neue PFCGEinzelrolle in SAP SCM an, z. B. ZS:XXXX:ERP_MENU. Die ERP-Transaktionen, auf die der Benutzer Zugriff haben soll, fügen Sie dem Rollenmenü über die Option Übernahme von Menüs > Aus anderer Rolle > Zielsystem hinzu. Wählen Sie nun das entsprechende ERP-System und anschließend die entsprechende PFCG-Rolle aus SAP ERP aus. Für diese »Menürolle« benötigen Sie kein Profil, da diese Rolle nur das ERP-Menü beinhaltet. Die Anordnung der Transaktionen können Sie nun im Bereich Hierarchie über Drag & Drop oder über die Pfeiltasten so sortieren, wie Sie sie im NWBC benötigen.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Zur Pflege von Vorschlagswerten verwenden Sie die Transaktion SU24. Hier können Sie für alle Arten von Anwendungen, wie z. B. SAP-GUI-Transaktionen, RFC-Bausteinen oder Web-Dynpro-Anwendungen die Vorschlagswerte anzeigen und anpassen. Eine Möglichkeit der Pflege von Vorschlagswerten ist die Zuhilfenahme des Systemtrace, der nach Einspielen des im SAP-Hinweis 1631929 benannten Support Package sowie der Korrekturanleitung mit der Transaktion SU24 verknüpft ist. Das heißt, dass Sie aus der Transaktion SU24 heraus den Systemtrace starten, Tracedaten sammeln und diese Daten bei der Pflege direkt verwenden.
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden. Berechtigungen werden dem User nicht mehr über „Transaktions-Einträge“ im Menü einer Rolle zur Verfügung gestellt. Stattdessen kommen hier nun Kataloge und Gruppen zum Einsatz. Diese werden, ähnlich der „Transaktions-Einträge“ im Menü einer Rolle hinterlegt und dem User zugeordnet. Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden. Hierbei ist darauf zu achten, dass immer alle relevanten Komponenten (Kachelkomponente und Zielzuordnungskomponente(n)) mit im Katalog hinterlegt werden. Der FIORI Katalog dient dazu einem User den technischen Zugriff auf eine Kachel zu ermöglichen. Eine korrespondiere FIORI Gruppe dient dazu, diese Kacheln dem User dann auch optisch zum Zugriff im Launchpad zur Verfügung zu stellen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt.
TMSADM hat nur die Berechtigungen für den Zugriff auf das gemeinsame Transportverzeichnis, für die Anzeige im Änderungs- und Transportmanagementsystem und die notwendigen RFC-Berechtigungen.