Risiko: historisch gewachsenen Berechtigungen
Benutzerinformationssystem (SUIM)
Wenn Sie Berechtigungen und Profile manuell pflegen möchten, müssen Sie alle SAP-Berechtigungskomponenten im Detail kennen. Beim Einsatz des Profilgenerators hingegen benötigen Sie solche Detailkenntnisse nicht. Dadurch verringert sich der Einführungsaufwand für das SAP-System beträchtlich.
Ein manueller Abgleich von Rollentexten in einer SAP-Systemlandschaft mit ZBV ist sehr lästig. Sie können den Abgleich auch automatisieren. Sicher kennen Sie das: Beim Anlegen oder Pflegen von Benutzern in der Zentralen Benutzerverwaltung (ZBV) müssen Sie den Textabgleich jedes Mal vor der Zuweisung von PFCG-Rollen manuell starten, damit Ihnen die aktuellsten PFCG-Rollendefinitionen zur Verfügung stehen. Verwalten Sie eine große Systemlandschaft mit vielen Systemen in Ihrer ZBV – darunter Entwicklungs-, Test- und Produktivsysteme – kann der Textabgleich mitunter eine Weile dauern.
Allgemeine Betrachtungen
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Single Sign-on (SSO): Diese Lösung ist sinnvoll, wenn Sie SSO bisher noch nicht für Ihre SAPSysteme im Einsatz haben oder nicht alle SAP-Systeme in die SSO-Lösung eingebunden sind. In solchen Fällen müssen Sie die Webanwendung in einem System implementieren, das die Anmeldungen per SSO unterstützt, z. B. die Zentrale Benutzerverwaltung (ZBV), das SAP Identity Management (ID Management) oder ein Active Directory (AD).
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Sie gelangen nun zur Detailansicht des Profilparameters mit sämtlichen Eigenschaften und der Verlinkung zu einer Dokumentation.
Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.