Sicherheitsrichtlinien für Benutzer definieren
Den Vorschlagswerten externe Services aus SAP CRM hinzufügen
Wir möchten Ihnen nun die notwendigen Einstellungen in der versendenden Anwendung beschreiben und verwenden dazu das Beispiel des verschlüsselten Versands von Initialpasswörtern. Um diese Anforderung umzusetzen, können Sie das BAdI BADI_IDENTITY_UPDATE nutzen. Dieses BAdI steht Ihnen ebenfalls nur per Support Package ab SAP NetWeaver AS ABAP 7.31 zur Verfügung. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1750161. Für eine Implementierung des BAdIs verwenden Sie die Transaktion SE18; dort können Sie auch die Beispielklasse CL_EXM_IM_IDENTITY_UPDATE einsehen. Für das BAdI BADI_ IDENTITY_UPDATE müssen Sie zum Interface IF_BADI_IDENTITY_UPDATE die Methode SAVE implementieren.
In IT Systemen, auf die verschiedene Nutzer Zugriff haben, weichen die Berechtigungen in der Regel voneinander ab. Wie ein Berechtigungskonzept für SAP Systeme und das neue SAP S/4HANA for Group Reporting aussehen kann.
Analyse- und Reportingtool für SAP SuccessFactors sorgt für Ordnung und Überblick
Kein Benutzer kann mehr ohne die Zuordnung einer gültigen Benutzergruppe angelegt, gepflegt oder gelöscht werden. Wird bei der Anlage eines Benutzers keine Benutzergruppe zugeordnet, wird dem Benutzer automatisch die Standardbenutzergruppe zugewiesen. Bevor Sie den Schalter USER_GRP_REQUIRED setzen, muss zuvor jedem vorhandenen Benutzer eine Benutzergruppe zugeordnet worden sein, und die Administratoren müssen über die Berechtigungen für die Standardbenutzergruppe verfügen. Bei der Anlage eines neuen Benutzers wird die Standardbenutzergruppe als Vorbelegung herangezogen; diese Benutzergruppe kann durch die Einstellung einer anderen Benutzergruppe im Benutzerparameter S_USER_GRP_DEFAULT für jeden Benutzeradministrator überschrieben werden. Der Customizing-Schalter erfordert eine gültige Benutzergruppe, denn diese wird als Standardbenutzergruppe verwendet. Sollte keine gültige Benutzergruppe im Customizing-Schalter eingetragen worden sein, ist die Benutzergruppe trotzdem ein Pflichtfeld. Dies führt dann gegebenenfalls zu Fehlern bei der automatisierten Anlage von Benutzern.
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Diese Funktion kann auch für kundeneigene Entwicklungen verwendet werden.
Umso wichtiger sind Berechtigungskonzepte, Berechtigungstools sowie die automatisierte Absicherung des SAP-Systems.