Wann wurden welche Änderungen an einer Rolle vorgenommen (PFCG)?
SAP License Compliance und Kostensenkung durch kontinuierliche Optimierung
Die Erfahrung in zahlreich durchgeführten Beratungsprojekten zeigt einen Trend: Technische SAP-Benutzer sind oftmals unzureichend geschützt. Ein hohes Risiko entsteht beispielsweise beim Missbrauch von RFC-Schnittstellen. Die ideale Berechtigung besteht aus einem Minimum an Objekten und Ausprägungen, die in einem konstanten Prozess zur Prüfung kommen. Allerdings gibt es in der Praxis auch dynamische Anwendungsfälle, bei denen nicht immer klar ist, welche weiteren Rollen in Zukunft benötigt werden.
Der Funktionsbaustein BAPI_USER_CHANGE ermöglicht die Benutzerpflege in SAP, indem er die Bearbeitung von Benutzerdaten bereitstellt. Dazu muss auch hier der jeweilige Benutzername angegeben werden. Außerdem werden die Exportparameter befüllt, welche geändert werden sollen. Dabei wird z.B. beim Parameter “PASSWORD” das neue Passwort übergeben. Damit die Änderung vollzogen wird, muss zusätzlich der dazugehörige Parameter “PASSWORDX” befüllt werden. Im unten gezeigten Beispiel wird für den Benutzer “MEIER” das neue Initialkennwort “newpassword” gesetzt.
Wie mache ich einen Berechtigungstrace auf einen Benutzer (STAUTHTRACE)?
Um in SAP Berechtigungen zu vergeben, generiert man Rollen basierend auf Transaktionen, Objekten oder Tätigkeitsmöglichkeiten (Anlegen, Ändern und Anzeigen). Diese Rollen sind nur schwer definierbar, deswegen kann eine Lizenzvergabe nach Berechtigung nicht funktionieren.
Die Unterzeichnung löst aus, dass ein entsprechender User im User Directory (LDAP, ZBV oder anderes) angelegt wird und ihm Rollen und Berechtigungen gemäß seiner Funktion im Unternehmen zugewiesen werden. Die Rollen und Berechtigungen werden dann zum Eintrittsdatum in die Systeme transportiert (Provisioning). Bei diesem Schritt werden auch Berechtigungen für spezielle Projekträume in Systemen wie Sharepoint, Jira, Confluence, SAP Jam oder anderen Kollaborationsplattformen erteilt.
Mit "Shortcut for SAP Systems" steht ein Tool zur Verfügung, das einige Aufgaben im Bereich der SAP Benutzerverwaltung erheblich erleichtert.
Der SAP Developer User ist berechtigt, die Entwicklungswerkzeuge zur Modifizierung und Erweiterung der SAP Software zu nutzen.
Der Typ System muss hingegen bei allen anderen RFC Verbindungen verwendet werden - z. B. für den per RFC angebundenen Fax Server.