SAP S/4HANA® Launch Pack für Berechtigungen
Den Berechtigungspuffer prüfen und auffrischen
Wenn Sie nun die Zeile mit der von Ihnen erstellten Parametertransaktion markieren und auf den Button Vorschlagswerte klicken, wird automatisch das Berechtigungsobjekt S_TABU_NAM mit den korrekten Vorschlagswerten, also dem Tabellennamen in der Transaktion SU24 angelegt. Prüfen Sie diese Vorschlagswerte, indem Sie auf Ja in der Spalte S_TABU_NAM klicken. Sie landen nun in einem View aus der Transaktion SU24 und können in den Tabellen Berechtigungsobjekte und Berechtigungsvorschlagswerte (für alle Berechtigungsobjekte) prüfen, welche Änderungen am Objekt S_TABU_NAM automatisch vorgenommen worden sind. Nutzen Sie den SAP-Hinweis 1500054 für weitere Informationen und eine Implementierungsanleitung. Der SAP-Hinweis liefert darüber hinaus den Analysereport SUSR_TABLES_WITH_AUTH, der Tabellenberechtigungen für Anwender oder Einzelrollen angibt. Dieser Report prüft auf Benutzer- oder Einzelrollenebene, für welche Tabellen aufgrund der Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Berechtigungen vorhanden sind. Der Report prüft nicht, ob der Anwender über die ebenfalls notwendigen Transaktionsstartberechtigungen, wie z. B. S_TCODE, verfügt. Prüfen Sie z. B., welche Tabellenberechtigungen ein bestimmter Benutzer aufgrund des Berechtigungsobjekts S_TABU_DIS hat, erhalten Sie die Informationen zu den Tabellennamen, zur dazugehörigen Tabellenberechtigungsgruppe und zu den berechtigten Aktivitäten. Die Berechtigungen zum Zugriff auf Tabellen direkt zu vergeben, ist flexibel und sinnvoll, ist nur dann nicht empfehlenswert, wenn der Mechanismus ausgehebelt wird, indem der Anwender über generische Pflegetools generellen Tabellenzugriff erhält.
Rollen spiegeln den Zugriff auf Daten in Abhängigkeit der berechtigten organisatorischen Werte wieder. Diese Informationen sollten Teil der Namenskonvention sein, da sich diese Rollen dann nur in ihrer organisatorischen, nicht aber in ihrer funktionalen Ausprägung unterscheiden.
Über die Wichtigkeit des Berechtigungskonzept bei der Umstellung auf SAP S/4HANA
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“. In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht. Dazu muss die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält! Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.
Zwei gleiche Berechtigungen, die die erste Bedingung für den Pflegestatus erfüllen, werden ebenfalls zusammengefasst, sobald sich alle Werte der beiden Berechtigungen in genau einem Feld unterscheiden oder wenn eine Berechtigung mit all ihren Feldern in der anderen Berechtigung enthalten ist. Gibt es jedoch in einer Berechtigung offene Berechtigungsfelder, werden diese nicht zusammengefasst, außer wenn alle Berechtigungsfelder in den Berechtigungswerten identisch sind.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Durch das Einspielen des Hinweises wird der Textabgleich bei allen Änderungen an PFCG-Rollen in das Zentralsystem automatisch durchgeführt.
Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.