Vorschlagswerte für Batch-Jobs pflegen
Auswertungen von Berechtigungen und Benutzerstammsätzen
Erhöhte Anforderungen an die Compliance und die Ausgestaltung Interner Kontrollsysteme konfrontieren Unternehmen mit einer steigenden Anzahl an Regeln darüber, wie SAP- (und weitere IT-)Systeme technisch geschützt werden müssen. Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert. So ist dafür gesorgt, dass jeder Nutzer nur die Berechtigungen erhält, die er für seine Tätigkeit benötigt. Das unternehmerische Risiko lässt sich damit auf ein Mindestmaß reduzieren.
Sie wissen, dass ein Ändern Ihrer SU24-Daten ein Abmischen der betreffenden Rollen mit sich bringt. Bisher mussten sich die Berechtigungsadministratoren die Rollen, z. B. aus der Transaktion SUIM, heraussuchen, um diese dann zu bearbeiten. Oft wird das erneute Abmischen der entsprechenden Rollen auch vergessen. Um zu gewährleisten, dass Sie direkt bei der Pflege der Daten in der Transaktion SU24 für die betreffenden Rollen den Abmischmodus einstellen können, ist die Funktion hier mit den jeweiligen Support Packages, benannt im SAP-Hinweis 1896191, bereitgestellt worden. Über die Korrektur werden die Buttons Abmischmodus für PFCG: Ein/Aus bzw. Rollen zur Verfügung gestellt. Die Funktion weist den Rollen den Abmischmodus zu, was Schritt 2c aus der Transaktion SU25 entspricht (siehe Tipp 43, »Berechtigungen nach einem Upgrade anpassen«). Diese Funktion können Sie über den Wert Y für den Parameter SU2X_SET_FORCE_MIX in der Tabelle PRGN_CUST aktivieren. Den Status des Abmischmodus können Sie über den Button Abmischmodus für PFCG: Ein/Aus abfragen. Standardmäßig ist diese Funktion ausgeschaltet. Mithilfe des Buttons Rollen (Verwendung in Einzelrollen) werden alle Rollen, die die ausgewählte Anwendung beinhalten, ermittelt und direkt in der Transaktion SU24 angezeigt. Sie erhalten eine Liste über alle abzugleichenden Rollen in der Transaktion SUPC über die Option Auch abzugleichende Rollen und können die Rollen nun schrittweise aktualisieren.
SAP Data Analytics
Rollen können Anwendern direkt über die Benutzerverwaltung in der Transaktion SU01, über die Rollenpflege in der Transaktion PFCG oder über die Massenänderung von Benutzern in der Transaktion SU10 zugeordnet werden. Ändert der Mitarbeiter jedoch seine Tätigkeit im Unternehmen, müssen die alten Rollen entfernt und neue Rollen, entsprechend der neuen Tätigkeiten, zugewiesen werden. Da PFCG-Rollen so erstellt werden, dass sie Arbeitsplatzbeschreibungen darstellen, können Sie das Organisationsmanagement verwenden, um die Rollen anhand der Planstelle, Stelle usw. Anwendern zuzuordnen.
Für noch umfangreichere Operationen auf Jobs muss eine Berechtigung zum Objekt S_BTCH_ADM vorhanden sein, in der das Feld BTCADMIN (Kennung für den Batchadministrator) den Wert ‚Y‘ hat. Dies ermöglicht mandantenübergreifend alle Operationen auf beliebigen Jobs. S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht. Mit den in Hinweis 1702113 genannten Änderungen lässt sich über das Objekt S_BTCH_ADM die Berechtigungsvergabe genauer einschränken.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken.
In diesem Zusammenhang möchten wir Ihnen in diesem Tipp noch einige Hinweise mitgeben; hierzu gibt es einen ganz praktischen Anlass: Wir haben zu oft bei SAP-Kunden ein »kaputtes« Berechtigungswesen vorgefunden, verursacht durch die falsche Anwendung von Zusatzprogrammen.