Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
Statistikdaten anderer Benutzer
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
Mit dem SAP-Hinweis 1707841 wird eine Erweiterung für den Systemtrace in der Transaktion STAUTHTRACE ausgeliefert, die es ermöglicht, den Berechtigungstrace auf allen oder auf bestimmten Anwendungsservern zu verwenden. Zur Auswahl der Anwendungsserver, auf dem der Trace gestartet werden soll, klicken Sie auf den Button Systemweiter Trace. Markieren Sie nun die Anwendungsserver in der Liste, auf denen der Systemtrace ausgeführt werden soll, und starten Sie den Trace mit einem Klick auf Trace einschalten. In der Auswertung des Berechtigungstrace ist nun eine zusätzliche Spalte Server Name zu sehen, in der Ihnen der Name des Anwendungsservers angezeigt wird, auf dem die jeweiligen Berechtigungsprüfungen protokolliert wurden.
Kundenspezifische Berechtigungen einsetzen
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Vor allem in komplexen und mehrstufigen Systemlandschaften kann es dazu kommen, dass Rollen einem Benutzer doppelt zugewiesen sind. Zudem können Rollen auch durch die Ausprägung eines Gültigkeitszeitraums abgelaufen sein. Um Ihr Rollenkonzept und Ihre Benutzerverwaltung wartbar und sauber zu halten ist es empfehlenswert, diese obsoleten Rollen zu löschen. Dies können Sie per Klick durch den Report PRGN_COMPRESS_TIMES ausführen. Dieses Programm ist auch über die PFCG unter dem Systemreiter „Hilfsmittel“ und Rubrik „Massenabgleich“ abrufbar.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Wie geht man da vor? Kommen wir zunächst mal zum Fall 1 Dieser Fall, dass also jemand keine Berechtigung für etwas hat, unterstützt das System vortrefflich! Das Codewort ist SU53! Falls eine Transaktion auf einen Berechtigungsfehler trifft, dann wird dieser Fehler in einen Speicherbereich geschrieben, den man sich anzeigen lassen kann.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Gerade in diesem Prozess ist es entscheidend, dass ein sauberes Vier-Augen-Prinzip eingerichtet ist, welches sicherstellt, dass der Entwickler nicht gleichzeitig derjenige ist, der letzten Endes den Transport in die Produktivumgebung durchführt.