Wesentliche Berechtigungen und Parameter im SAP®-Umfeld
DIE „TOP SEVEN“
Beim Aufruf der FIORI Oberfläche stheen unterschiedliche Rollen (Fiori-Gruppen) mit sachlich zusammenhängenden FIORI Kacheln zusammen. Als Beispiel sind hier die Befhelsgruppe Stammdaten in der dann die FIORI Kachel "Kostenstelle verwalten" zu finden ist.
Welche Benutzer haben eine bestimmte Rolle (PFCG)? Um diese Frage zu beantworten steigst du mit der Transaktion PFCG ein – die Mutter aller Transaktionen im Umfeld der SAP-Rollen und -Berechtigungen. Wähle eine Rolle aus und klicke auf den Reiter “Benutzer”.
Passwörter mittels Self-Service zurücksetzen
Das Feld RESPAREA hat einen Pflegedialog, der die Eingabe von Verantwortungsbereichen erlaubt. Der Pflegedialog wird als Baustein aufgerufen und bietet je nach Berechtigungsobjekt unterschiedliche Registerkarten für die Eingabe. Wenn Sie nun das Feld RESPAREA zur Organisationsebene erklären, müssen Sie zuvor die Anzeige der Registerkarten für die Eingabe im Customizing festlegen. Dazu müssen Sie in der mandantenunabhängigen Tabelle KBEROBJ mithilfe der Transaktion SE16 einen Eintrag hinzufügen. In diesem Eintrag lassen Sie das erste Feld OBJECT leer. Das Feld CURRENTOBJ muss gepflegt werden, da es die Registerkarte definiert, die beim Aufruf der Pflege angezeigt wird, also die Default-Registerkarte. Ist dieses Feld leer, kann kein Startbild ermittelt werden, und es kommt zu Fehlern. Die folgenden Felder bestimmen die Inhalte der verschiedenen Registerkarten und sollten daher auch gepflegt werden, damit Sie RESPAREA als Organisationsebene nutzen können. Dies sind die Felder OBJECT1 bis OBJECT7 für die erste bis siebte Registerkarte. In diesen sieben Feldern definieren Sie, welche Werte Sie auf den Registerkarten eingeben können.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Trotzdem bietet er gute Anhaltspunkte für die initiale Bereinigung von Sicherheitslücken.
Welcher SAP-Benutzer darf eigentlich worauf zugreifen? Und worin unterscheiden sich zwei ähnliche Rollen? Antworten auf diese und andere Fragen gibt es hier.