SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Modul
Geben Sie in der Transaktion SU01 eine noch nicht vorhandene Benutzer-ID ein, und klicken Sie auf den Button Anlegen ((F8)). Das BAdI BADI_IDENTITY_SU01_CREATE wird mit der neuen Benutzer-ID aufgerufen. Die Implementierung im BAdI wird ausgeführt. Hier können Sie z. B. zusätzliche Attribute zum neuen Benutzer aus einer externen Datenquelle lesen. Die innerhalb des BAdIs ermittelten Daten werden in die Felder der Transaktion SU01 geschrieben. Dort wird Ihnen der neue Benutzerstammsatz mit den vorbelegten Feldern angezeigt. Sie können den Benutzerstammsatz bearbeiten und z. B. Rollen zuordnen oder die vorbelegten Felder ändern.
Wir raten Ihnen von der Nutzung des selbst gesetzten Passworts bei einem Self-Service ab, da ein generiertes Passwort sicherer ist. Die Generierung des Passworts erfolgt in Abhängigkeit von den Passwortregeln; dabei werden zuerst die Vorgaben in der dem Benutzer zugewiesenen Sicherheitsrichtlinie ausgewertet. Falls dem Benutzer keine Sicherheitsrichtlinie zugewiesen wurde, berücksichtigt das System die Passwortregeln in den Profilparametern und in der Customizing-Tabelle PRNG_CUST. Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird. Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird. Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.
Rollentyp
Zum Aufbau einer effizienten und konsistenten Struktur im Bereich des SAP-Berechtigungswesens sind funktionsbezogene Rollen- und Berechtigungszuweisungen das A und O. Zudem muss das bestehende Berechtigungskonzept stetig auf Änderungen und sicherheitsrelevante Fehler durch ein proaktives Monitoring analysiert werden. Damit beugen Sie negativen und höchst sicherheitskritischen Auswirkungen auf Ihre gesamte Systemlandschaft vor. Um Ihnen diese Aufgabe zu erleichtern, stellt Ihnen das Unternehmen Xiting ein umfassendes Analysewerkzeug, den Xiting Role Profiler, zur Verfügung. Darüber hinaus können Sie schon vorab eine Grundanalyse fahren, die auch Hauptaugenmerk dieses Blogs sein wird. Ziel ist es, Ihnen SAP Standardmethoden aufzuzeigen, mit denen Sie bereits selbstständig Ihre Berechtigungs- und Rollenverwaltung optimieren können.
Wie ist es möglich, von einer Transaktion in eine andere zu springen, ohne dass die Berechtigung für die Zieltransaktion geprüft wird? Mit der Anweisung CALL TRANSACTION! In diesem Tipp erläutern wir Ihnen, wie Sie Berechtigungen für Absprünge von einer Transaktion in eine andere über den ABAP-Befehl CALL TRANSACTION vergeben bzw. aktiv bestimmen können, welche Prüfungen durchgeführt werden sollen. Bei der Anweisung CALL TRANSACTION wird die Berechtigung des Benutzers zur Ausführung der aufgerufenen Transaktion nicht automatisch überprüft. Falls keine Überprüfung im aufgerufenen Programm stattfindet, muss diese im aufrufenden Programm durch zusätzliche Funktionsbausteine für die Berechtigungsprüfung eingebaut werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Das bedeutet meist „das Beste daraus zu machen“ und Ad-Hoc-Anpassungen vorzunehmen – also nicht, die Ursache zu beheben und von Grund auf aufzuräumen.
Denn in den Favoriten werden nicht nur immer wieder gebrauchte Transaktionen abgelegt, sondern auch Transaktionen, die die Anwender nur gelegentlich verwenden.