Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Berechtigungskonzept – Rezertifizierungsprozess
Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja. Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung. Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen. Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.
Dazu haben Sie die Möglichkeit, mit dem Berechtigungsobjekt P_ABAP die üblichen Berechtigungsprüfungen zu übersteuern. Dies gilt für alle Berichte, die auf die logische Datenbank PNPCE (bzw. PNP) zugreifen. Bei einer Berechtigung für P_ABAP finden die üblichen Prüfungen auf Berechtigungsobjekte, wie z. B. P_ORGIN oder P_ORGINCON, nicht mehr statt oder werden vereinfacht. Dies trifft auch für strukturelle Berechtigungen zu. Ob die Berechtigungsprüfungen vereinfacht oder komplett ausgeschaltet werden, wird über das Feld COARS des Objekts gesteuert. Wollen Sie alle Prüfungen ausschalten, setzen Sie den Wert COARS = 2. Bei diesem Wert gibt es keine Einschränkung für die angezeigten Daten im berechtigten Bericht. Wenn Sie für das Reporting erweiterte Berechtigungen erlauben möchten, diese aber nicht uneingeschränkt sein sollen, müssen Sie den Wert COARS = 1 wählen. In diesem Fall prägen Sie zusätzlich das Berechtigungsobjekt P_ORGIN (bzw. P_ORGINCON, P_ORGXX und P_ORGXXCON) aus. Allerdings müssen Sie darauf achten, nicht alle Felder der Objekte auszuprägen, da ansonsten auch der direkte Zugriff möglich ist. Prägen Sie daher immer zwei Versionen des Berechtigungsobjekts P_ORGIN aus, einmal mit den funktionalen Berechtigungen (Berechtigungslevel, Infotypen und Subtypen) und einmal mit den organisatorischen Abgrenzungen (Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis und Organisationsschlüssel). Zusätzlich brauchen Sie dann natürlich noch eine Ausprägung von P_ABAP für die relevanten Berichte mit dem Wert COARS = 1.
Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung: TCD ( PFCG , PFCG_1 ). Klicken Sie doppelt auf die Schnittstelle PFCG_1. Rechts erscheint ein neuer Ausschnitt mit den Aufzeichnungsdetails. Nun müssen Sie ein wenig nach Ihren Eingaben suchen. Verwenden Sie z. B. den auf dem PFCG-Einstiegsbild eingegebenen Rollennamen (Feldname 'AGR_NAME_NEU'). Jetzt kommt ein wichtiger Schritt: Ersetzen Sie die von Ihnen während der Aufzeichnung eingegebenen Werte durch einen Platzhalter, einen sogenannten Inputparameter. Gehen Sie dazu in die Zeile VALIN, und tippen Sie anstelle des eingegebenen Rollennamens einen beliebigen Parameternamen ein, z. B. ROLLENNAME. Klicken Sie auf die Eingabetaste, werden Sie gefragt, um welche Art von Parameter es sich handelt. Geben Sie Import an, und bestätigen Sie mit Ja.
Falls Ihrem Benutzer das Privileg ROLE ADMIN zugeordnet ist (entweder direkt oder über eine Rolle), können Sie eigene Rollen erstellen und diese Benutzern zuweisen. Dabei können Sie auf vorhandene Privilegien und Rollen zurückgreifen. Die Privilegien selbst werden von Entwicklern mit entsprechenden Berechtigungen zur Erstellung von Anwendungen einschließlich der darin benötigten Privilegien bereitgestellt. Häufig besitzen Sie als Berechtigungsadministrator nicht das Privileg zur Erstellung von Privilegien. Dies ist auch sinnvoll, da nur der Anwendungsentwickler entscheiden kann, welche Eigenschaften die Privilegien für die Nutzung der Objekte in der Anwendung haben sollen. Auch entscheidet der Anwendungsentwickler, ob er mit seiner Anwendung neben Privilegien auch fachlich passende Rollen bereitstellt.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Sie haben Ihre Rollen in Form von Rollenmatrizen und Ihre Organisationsebenen (Orgebenen) in Form von Organisationssets (Orgsets) definiert? Das alles haben Sie in Excel-Dokumenten gespeichert und wünschen sich nun eine Möglichkeit, um diese Informationen einfach per Knopfdruck in PFCG-Rollen zu gießen, ohne langwierig Rollenmenüs erstellen oder anschließend große Mengen von Rollen ableiten zu müssen, je nachdem wie viele Organisationssets Sie definiert haben?
Dieser kann in weiterer Folge diese Information an seine Prüferkollegen weitergeben.