Prüfung des SAP-Berechtigungskonzepts
Standardberechtigung
Zahlen/Mahnen: Die Steuerung des Zahlungs- bzw. Mahnlaufs erfolgt ausschließlich auf der Basis von Informationen der Erfassungssicht (insbesondere Tabelle BSEG). Bei Debitoren- und Kreditorenbuchungen ist das Profit-Center im Standard nicht in den SAP-Erfassungsmasken enthalten und daher auch nicht in den entsprechenden BSEG-Belegzeilen verfügbar. Da Zahlen und Mahnen üblicherweise zentral gesteuerte Prozesse sind, dürfte dies in der Praxis kein Problem darstellen.
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Security Automation bei SAP Security Checks
Diese sehr kritische Berechtigung kann genutzt werden, um elektronisch zu radieren, bzw. Programmabläufe inklusive der Berechtigungsabfragen auf vielfältige Weise zu manipulieren. Diese Berechtigung sollte nur sehr restriktiv vergeben werden, beispielsweise Entwickler benötigen die Berechtigung aber für ihre tägliche Arbeit.
Der hohe manuelle Pflegeaufwand von abgeleiteten Rollen bei organisatorischen Änderungen stört Sie? Nutzen Sie die in diesem Tipp vorgestellten Varianten für die Massenpflege von Rollenableitungen. Gerade in großen Unternehmen kommt es oft vor, dass z. B. für Buchhaltung, Vertrieb oder Einkauf ein weltweites, integriertes ERP-System genutzt wird. Die Zugriffe der verschiedenen Abteilungen müssen Sie dann jeweils einschränken, z. B. auf entsprechende Buchungskreise, Verkaufsorganisationen oder Einkauforganisationen. Im Berechtigungsumfeld können Sie in solchen Fällen mit Referenzrollen und Rollenableitungen arbeiten. Dies verringert Ihren administrativen Aufwand für die Pflege funktionaler Berechtigungen und reduziert den Pflegeaufwand für Rollenableitungen auf das Anpassender sogenannten Organisationsfelder. Die Pflege der Organisationsfelder kann dennoch eine enorme manuelle Arbeit für Sie bedeuten, da die Anzahl der Rollenableitungen sehr groß werden kann. Hat Ihr Unternehmen beispielsweise 100 Vertriebsorganisationen und 20 Vertriebsrollen, haben Sie bereits 2.000 Rollenableitungen. Wir stellen Ihnen hier mögliche Ansätze dazu vor, wie Sie diesen manuellen Aufwand verringern können.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Öffnen Sie die Tabelle PRGN_CUST entweder direkt oder über das Customizing in der Transaktion SPRO im jeweiligen Tochtersystem.
Grundsätzlich sollten Schnittstellen innerhalb einer Transportlandschaft bezüglich der Kritikalität der Systeme „bergauf“, also von einem „unsicheren“ auf ein „sicheres“ System (z.B. E-System auf Q- oder P-System) vermieden werden.