Neuaufbau des Berechtigungskonzeptes
Fallstricke beim Excel-basierten Berechtigungswesen umgehen
Um auf Geschäftsobjekte zuzugreifen oder SAP Transaktionen auszuführen, benötigt ein Benutzer entsprechende Berechtigungen, da Geschäftsobjekte oder Transaktionen durch Berechtigungsobjekte (Authorization objects) mit mehreren Berechtigungsfeldern (Authorization fields) geschützt werden. Die Berechtigungen stellen Instanzen generischer Berechtigungsobjekte dar und werden abhängig von der Tätigkeit und den Verantwortlichkeiten des Mitarbeiters definiert. Die Berechtigungen werden in einem Berechtigungsprofil (Generated profil) zusammengefasst, das einer Rolle zugeordnet ist. Die Benutzeradministratoren ordnen dann die entsprechenden Rollen (Single role oder Composite role) über den Benutzerstammsatz zu, sodass der Benutzer die entsprechenden Transaktionen für seine Aufgaben verwenden kann.
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden. Berechtigungen werden dem User nicht mehr über „Transaktions-Einträge“ im Menü einer Rolle zur Verfügung gestellt. Stattdessen kommen hier nun Kataloge und Gruppen zum Einsatz. Diese werden, ähnlich der „Transaktions-Einträge“ im Menü einer Rolle hinterlegt und dem User zugeordnet. Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden. Hierbei ist darauf zu achten, dass immer alle relevanten Komponenten (Kachelkomponente und Zielzuordnungskomponente(n)) mit im Katalog hinterlegt werden. Der FIORI Katalog dient dazu einem User den technischen Zugriff auf eine Kachel zu ermöglichen. Eine korrespondiere FIORI Gruppe dient dazu, diese Kacheln dem User dann auch optisch zum Zugriff im Launchpad zur Verfügung zu stellen.
Kundeneigene Anforderungen
Über das Konzept teilt der SAP-Administrator den Anwender/innen ihre dedizierten Berechtigungen zu. Hinter diesen verbirgt sich ein Prüfmechanismus, der auf so genannten Berechtigungsobjekten aufsetzt, durch welche die Objekte bzw. Transaktionen geschützt sind. Ein Berechtigungsobjekt kann bis zu zehn Berechtigungsfelder umfassen. Dadurch sind komplexe, an mehrere Bedingungen gebundene Berechtigungsprüfungen möglich.
Bestimmte Berechtigungen, die erst beim Ausführen eines Job-Steps von Bedeutung sind, werden zum Zeitpunkt der Einplanung für den angegebenen Step-Benutzer geprüft. So wird überprüft, ob der gewählte Benutzer dazu berechtigt ist, das angegebene ABAP-Programm oder das externe Kommando auszuführen. Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt. Bei externen Kommandos findet eine Prüfung auf das Objekt S_LOG_COM statt.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Versionen sind die Änderungsbelege innerhalb der Entwicklungsumgebung, beispielsweise für Änderungen an ABAP-Quelltexten oder den technischen Eigenschaften von Tabellen.
Die Generierung eines Passworts können Sie über den Importparameter GENERATE_PWD des BAPIs BAPI_USER_CHANGE veranlassen.