SAP Fiori Benutzerverwaltung sicher gestalten: On-Premises vs. Cloud
Wie mache ich einen Berechtigungstrace auf einen Benutzer (STAUTHTRACE)?
Je nach erworbenem SAP-Produkt gibt es unterschiedliche Vorgehensweisen. Für ERP-Anwendungen, die beim Kunden installiert sind und den größten Anteil an SAP-Anwendungen im Unternehmen ausmachen, wird die Vermessung jährlich durchgeführt. Diese ist vom Kunden selbst durchzuführen, wofür er die von SAP zur Verfügung gestellten Tools nutzen muss. Für die Datenerfassung wird Transaction USMM verwendet, für die anschließende Datenkonsolidierung und das Reporting der Ergebnisse an SAP wird die License Administration Workbench (SLAW) verwendet.
Damit eine Anwendung mit dem PI kommunizieren kann, verbindet sie sich entweder mit der Adapter Engine (J2EE Stack), oder direkt mit der Integration Engine (ABAP-Stack). Bei der Standard-Installation von PI ist es notwendig dem Benutzer die Rolle SAP_XI_APPL_SERV_USER im ABAP Stack zuzuweisen. Für die Verwendung der Advanced Adapter Engine Extended (AEX) bzw. die J2EE Stand-Alone-Installation siehe User Management for AEX.
Eine zu grobe Sammlung
Die Verwaltung von Benutzern in SAP Fiori beschreibt grundlegend zwei Dinge, die aufeinander aufbauen: Jeder Anwender muss einen zugewiesenen Benutzer haben, mit dem er sich sicher am SAP Fiori Launchpad anmelden kann. Dieser Nutzer muss der realen Person, die damit arbeitet, eindeutig zugeordnet werden können.
Auch im Umfeld der Benutzer und Berechtigungen gibt es häufig verwendete SAP-Standardtabellen bzw. die Tabellen, auf denen die beiden Themenbereiche (technisch) aufgebaut sind. Die im Folgenden aufgeführten Tabellen sind beispielsweise elementare Grundlage für alle Auswertungen der Transaktion SUIM (Benutzerinformationssystem). Für uns Berechtigungsadministratoren sind diese Standardtabellen praktisch, um schnell und massenhaft Informationen über die bestehenden SAP Berechtigungen aus den verschiedenen Tabellen zu ziehen. So lassen sich einzelne Tabellen mit der Transaktion SE16 (sofern berechtigt!) oder mehrere Tabellen gleichzeitig mithilfe der Transaktion SQVI auswerten.
Etliche Aufgaben im Bereich der SAP Benutzerverwaltung können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Der SAP Developer User hat zusätzlich die gleichen Rechte wie ein SAP Employee User, hat diese also sozusagen im Bauch.
Weil aber die tatsächlichen Rechte eines Nutzers aus der Kombination all seiner Berechtigungen entstehen, ist eine SAP-Rollenspezifische Betrachtung hier nicht ausreichend.