Transaktionale und Native oder analytische Kacheln in der FIORI Umgebung
Welche Herausforderungen können nicht allein mithilfe von Berechtigungstools gelöst werden?
Sie sind auf eine Rolle gestoßen, die manuell gepflegte Organisationsebenen beinhaltet. Selbst wenn Sie den Fehler manuell in der Rolle beheben, indem Sie im Berechtigungsobjekt den manuell gepflegten Wert der Organisationsebenen manuell löschen, wird der jeweilige Wert aus der Organisationsebene nicht gezogen. Mit dem Report AGR_RESET_ORG_LEVELS können Sie diese Werte für die Rolle zurücksetzen. Die manuell gepflegten Organisationsdaten werden gelöscht, und nur die Werte, die über den Button Orgebenen gepflegt worden sind, werden gezogen.
Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.
Systemeinstellungen
Die themenbezogenen Auditstrukturen werden auf der Basis von Bereichsmenüs erstellt. Dabei werden zum einen SAP-Default-Auditstrukturen angeboten, und zum anderen haben Sie die Möglichkeit, kundeneigene Auditstrukturen als Bereichsmenüs anzulegen. Der Vorteil der Auditstrukturen als Bereichsmenüs ist, dass Sie bereits bestehende Bereichsmenüs nutzen oder einfach neue Bereichsmenüs anlegen können. Die Transaktion SE43 gibt Ihnen eine Übersicht über die vorhandenen Bereichsmenüs; sie dient ebenfalls der Pflege und dem Transport der Bereichsmenüs.
Ein wesentlicher Aspekt in der Risikobewertung eines Entwicklungssystems ist die Art der dort vorhandenen Daten. Normalerweise wird mindestens eine 3-System-Landschaft eingesetzt (Entwicklungs-, Test- und Produktivsystem). Dies dient u.a. dazu, dass (evtl. externe) Entwickler keinen Zugriff auf produktive bzw. produktionsnahe Daten haben. Da Entwickler mit den benötigten Entwicklerberechtigungen Zugriff auf alle Daten aller Mandanten des betroffenen Systems haben, sollten in einem Entwicklungssystem keine produktionsnahen Daten vorhanden sein. Auch eine Aufteilung in einen Entwicklungs- und einen Testmandanten (mit den sensiblen Daten) innerhalb des Systems schützt aus den oben genannten Gründen nicht vor unautorisierten Datenzugriffen. Nachfolgend wird davon ausgegangen, dass keine produktionsnahen Daten auf dem Entwicklungssystem existieren. Andernfalls müssen erweiterte Berechtigungsprüfungen in den Modulen durchgeführt und zuvor die Zugriffe auf produktionsnahe Daten gegenüber dem Produktivsystem durch die jeweiligen Dateneigentümer genehmigt werden. Da Entwickler wie beschrieben durch ihre Entwicklerrechte quasi über eine Vollberechtigung verfügen, kann der Entzug der nachfolgend aufgeführten Berechtigungen zwar die Hemmschwelle zur Ausführung unautorisierter Tätigkeiten erhöhen, letztendlich aber nicht verhindern.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Native oder analytische Kacheln: Diese Kachel funktionieren ausschließlich in der FIORI Oberfläche und sind an die neue Technologie angepasst.
Mit diesem Ansatz wird das Berechtigungsmanagement erheblich effizienter, da fachliche Änderungen keine globalen Auswirkungen auf die gesamte Berechtigungsstruktur haben.