Den Berechtigungspuffer prüfen und auffrischen
Strukturelle Berechtigungen
Versucht nun ein Benutzer, einen Bericht auszuführen (z. B. mithilfe der Transaktion KE30) werden die Berechtigungen des Benutzers für dieses Berechtigungsobjekt geprüft. Daher müssen Sie Ihre Berechtigungsrollen entsprechend anpassen. Fehlt dem Benutzer die Berechtigung zum Zugriff auf das Objekt, wird seine Anforderung abgelehnt. Hat er eine entsprechende Berechtigung, wird die Anzeige auf den erlaubten Bereich eingeschränkt. Für alle Merkmale oder Wertfelder, die nicht als Felder des Berechtigungsobjekts definiert wurden, ist der Zugriff weiterhin erlaubt.
Damit werden nur die Anwendungen berücksichtigt, die in den Rollenmenüs der ausgewählten PFCG-Rollen gepflegt sind. Haben Sie den Haken bei Ausschließlich Anwendungen mit veränderten SU22-Daten berücksichtigen gesetzt, werden nur Anwendungen verwendet, bei denen die Vorschlagswerte durch einen Import, z. B. durch Support Packages oder Enhancement Packages, verändert wurden. Führen Sie den Schritt zur Übernahme der Daten aus der Transaktion SU22 aus, indem Sie Ihre Anwendungen selektieren. Sie erhalten nun eine Liste mit Anwendungen, die Sie abgleichen müssen. Markieren Sie jeweils die Zeilen, in denen die abzugleichenden Anwendungen stehen. Beim Abgleich helfen Ihnen die Buttons in der Menüleiste.
Rollenpflege im Betrieb
Haben Sie sich schon einmal gefragt, wer in Ihrem System über kritische Berechtigungen verfügt? Fehlten Ihnen bisher das Tool und die Herangehensweise, um diese Benutzer zu identifizieren? Die Benutzeranlage in einem SAP-System ist auch immer mit einer Berechtigungsvergabe verbunden. Über den Lebenszyklus eines Benutzers im SAPSystem werden immer mehr Berechtigungen angesammelt, wenn diese nicht wieder entzogen werden, sobald sie nicht mehr gebraucht werden. Diese Ansammlung hat zwangsläufig zur Folge, dass Benutzer mehr Aktionen durchführen können, als Ihnen als Berechtigungsadministrator lieb ist. Um dies zu vermeiden, wollen wir Ihnen ein geeignetes Werkzeug an die Hand geben.
Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
So kann für ein eigenes Berechtigungsobjekt mit dem Berechtigungsfeld ACTVT die Aktivität 01 Hinzufügen oder Ersetzen, 02 Ändern und 03 Anzeigen ausgewählt werden und würde dann als Auswahl im Berechtigungsfeld in der Rollenpflege zur Verfügung stellen.