Bereits enthaltene Berechtigungsobjekte
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
Nach dem Abschluss der Programmumsetzung und Dokumentation schließt sich immer ein funktionaler Test an. Dabei sollte ein entsprechender Berechtigungstest nicht vergessen werden. Der Berechtigungstest muss sowohl einen positiven als auch einen negativen Berechtigungstest einschließen.
Besonders in Systemlandschaften, die schon lange in Betrieb sind, finden sich historisch gewachsene Berechtigungsstrukturen. Statt kleiner, modularer, stellenbezogener Rollen werden bestehende Rollen immer weiter ausgebaut und an verschiedene Mitarbeiter unterschiedlicher Stellen vergeben. Dies führt zwar kurzfristig zu weniger Verwaltungsaufwand, lässt aber die Komplexität der Rolle im Laufe der Zeit massiv ansteigen. Dadurch geht die Effizienz bei der Berechtigungsentwicklung immer mehr verloren.
Eine Berechtigung für externe Services von SAP CRM vergeben
Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung: TCD ( PFCG , PFCG_1 ). Klicken Sie doppelt auf die Schnittstelle PFCG_1. Rechts erscheint ein neuer Ausschnitt mit den Aufzeichnungsdetails. Nun müssen Sie ein wenig nach Ihren Eingaben suchen. Verwenden Sie z. B. den auf dem PFCG-Einstiegsbild eingegebenen Rollennamen (Feldname 'AGR_NAME_NEU'). Jetzt kommt ein wichtiger Schritt: Ersetzen Sie die von Ihnen während der Aufzeichnung eingegebenen Werte durch einen Platzhalter, einen sogenannten Inputparameter. Gehen Sie dazu in die Zeile VALIN, und tippen Sie anstelle des eingegebenen Rollennamens einen beliebigen Parameternamen ein, z. B. ROLLENNAME. Klicken Sie auf die Eingabetaste, werden Sie gefragt, um welche Art von Parameter es sich handelt. Geben Sie Import an, und bestätigen Sie mit Ja.
Man muß aber beachten, dass das System alle Berechtigungsfehler des Benutzers in den Speicherbereich der SU53 schreibt. D.h. falls es zu einem sog. Doppelschlag kommt, also mehrere Berechtigungsfehler auftreten, immer nur der letzte Fehler in diesem Bereich steht. Ich bevorzuge es, dem Benutzer zu veranlassen, die Transaktion bis zu der Fehlermeldung „Keine Berechtigung…“ laufen zu lassen, dann über das Menü den Fehler sich anzeigen zulassen, und mir ein Bildschirmbild der ersten Seite der Ausgabe zu schicken. Damit vermeide ich es, dass der Benutzer bei Aufruf der Transaktion SU53 ggf. nochmals einen Berechtigungsfehler erzeugt, der den ursprünglichen überdeckt. Man kann als Benutzeradministrator oder Rollenadministrator auch selbst die SU53 aufrufen und sich über Menü den Fehlereintrag eines andern Benutzers anzeigen lassen. Dies klappt aber nicht unbedingt immer.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Mit der Berechtigungsvorschlagswertpflege gehen Sie außerdem auf Nummer sicher, dass das neue Berechtigungsobjekt bei einer Rollenanlage nicht vergessen wird, da es nun beim Aufruf der Anwendung über das Rollenmenü automatisch in die PFCG-Rolle geladen wird.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Ändern Sie außerdem das Passwort, ordnen Sie den Benutzer der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.