SAP-Berechtigungen: Empfehlungen zur Einrichtung, Überwachung und Kontrolle
Änderungsbelege der Zentralen Benutzerverwaltung verwenden
Zum Schluss sieht die Prüflogik eine Prüfung auf der Zeilenebene innerhalb einer Tabelle vor, falls Sie den Zugriff auf die Tabelleninhalte in Abhängigkeit von einer organisatorischen Zuordnung einschränken möchten. Soll ein Anwender z. B. nur die Daten einer Tabelle einsehen können, die das Land betreffen, in dem sich sein Arbeitsstandort befindet, müssen Sie dies entsprechend konfigurieren. Hierzu definieren und aktivieren Sie organisationsrelevante Felder als Organisationskriterium (siehe Tipp 62, »Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken«). Um einen Überblick darüber zu behalten, welche Benutzer auf welche Tabellen zugreifen können, führen Sie den Report SUSR_TABLES_WITH_AUTH aus. Dieser Report gibt darüber Auskunft, welcher Benutzer oder welche Einzelrolle über die Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM verfügen. In der Ergebnisliste sind alle berechtigten Tabellen sowie deren Berechtigungen bzw. Berechtigungswerte aufgeführt.
Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.
SAP_NEW richtig verwenden
Standardberechtigungen, die für eine funktional vollständig zu beschreibende Rolle benötigt werden, sollten entsprechend gepflegt werden. Es ist empfehlenswert, nicht benötigte Berechtigungen oder auch ganze Berechtigungszweige zu deaktivieren und nicht zu löschen. Berechtigungen, die auf den Aktivstatus Inaktiv gesetzt wurden, werden zum einen bei einem erneuten Abmischen nicht erneut als neue Berechtigungen in den Berechtigungsbaum aufgenommen, und zum anderen werden diese Berechtigungen bei der Profilgenerierung nicht mitberücksichtigt und somit auch nicht im zugrunde liegende Profil einer Rolle zugewiesen.
Anschließend legen Sie eine Unterroutine mit demselben Namen wie die User-Exit-Definition an und programmieren dort Ihre kundenspezifischen Prüfungen (z. B. auf bestimmte Datenkonstellationen oder Berechtigungen). Binden Sie die Exit-Definition (UGALI) über die Transaktion GGB0 ein. Dabei müssen Sie diese Transaktion erneut aufrufen, damit der ausprogrammierte Exit gelesen wird und Sie ihn selektieren können.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Nur mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet.
Insbesondere die Nomenklatur eigens erstellter Rollen ist hierbei sauber zu definieren.