SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Reports starten
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Bei einem Benutzertrace handelt es sich deshalb ebenfalls um einen Trace über einen längeren Zeitraum. Währung der Trace-Ausführung wird die Berechtigungsprüfung für jeden Benutzer genau einmal aufgezeichnet.
Standardberechtigung
Hinter dieser RFC-Verbindung verbirgt sich eine Trusted-RFC-Verbindung in das ERP-System der Systemlandschaft mit der Namenskonvention *_RFC. Wir empfehlen Ihnen, den Namen der RFC-Verbindung für jedes ERP-System der Systemlandschaft beizubehalten und nur die Verbindungsdaten in den RFC-Verbindungen zu ändern. So müssen Sie Ihre PFCG-Rollen nicht jeweils für die Entwicklungs-, Test- und Produktionsumgebungen anpassen. Beachten Sie, dass Sie beim Abmischen der Einzelrolle mit den Sammelrollen jeweils im Rollenmenü der Sammelrolle die RFC-Verbindung nachpflegen müssen!
Um den sicheren Betrieb von SAP-Systemen zu unterstützen, bietet SAP ein ganzes Portfolio an Services. Wir stellen Ihnen die vom SAP Active Global Support (AGS) angebotenen Security Services vor. Die Sicherheit eines SAP-Systems im Betrieb hängt von vielen Faktoren ab. Es gibt im SAP-Standard verschiedene Sicherheitsfunktionen, wie z. B. die Benutzerverwaltung, Authentifizierungs- und Verschlüsselungsfunktionen, Sicherheitsfunktionen für Webservices oder die verschiedenen Berechtigungskonzepte. Schwachstellen in der Standardsoftware werden ebenfalls regelmäßig in SAP-Hinweisen und Support Packages behoben. Sie sind verantwortlich für den sicheren Betrieb Ihrer SAP-Systemlandschaften; daher müssen Sie diese Funktionen und Korrekturen in Ihre Systeme einspielen. Die AGS Security Services unterstützen Sie dabei, indem Sie die Erfahrungen des AGS in konsolidierten Best Practices bündeln. Wir stellen diese Services vor und beschreiben, wie Sie mit ihrer Hilfe einen Überblick über die Sicherheit Ihres Betriebskonzepts erlangen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Dabei legen Sie fest, dass während der Ausführung der Methode alle Positionen gelöscht werden, für die die Prüfung nicht erfolgreich war.
Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.