Herausforderungen im Berechtigungsmanagement
Testen der Berechtigung
Zwischen SAP Berechtigungsberatern und ABAP Entwicklern besteht seit langer Zeit Uneinigkeit darüber, wie Berechtigungsobjektausprägungen im Coding umzusetzen sind. Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen. Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen. Außerdem wird dann das Literal ‚ ‘ berechtigt, da es in der Transaktion STAUTHTRACE angezeigt wird. Zum anderen gibt es Situationen, in denen die Entwicklung diese oberflächlichen Tests nutzt, um dem User Zeit und der Maschine Ressourcen zu ersparen. Stellt das Programm frühzeitig fest, dass der User nicht die nötigten Objekte im Benutzerpuffer hat, kann es vor dem ersten SELECT abbrechen und eine entsprechende Fehlermeldung ausgeben. Beide Positionen enthalten einen wahren Kern. Schauen wir uns die Auswirkungen verschiedener Programmierungen an einem vereinfachten Beispiel an. Die Rolle(n) besitzen dabei ausschließlich das Berechtigungsobjekt S_DEVELOP mit der Feldausprägung DEVCLASS „Z*“.
In jedem Filter können Sie definieren, für welche Mandanten und Benutzer Ereignisse aufgezeichnet werden sollen. Dabei können Sie die Ereignisse abhängig von deren Auditklasse oder Kategorisierung aufzeichnen lassen oder sie direkt über die Detaileinstellung selektieren. Für die Auswahlkriterien Mandant und Benutzer können Sie generische Werte verwenden, d. h., dass Sie alle Mandanten oder Benutzer selektieren können, die bestimmten Namenskriterien entsprechen (z. B. Mandant 10* oder Benutzer SOS_*). So können Sie z. B. die Protokollierung mehrerer Notfallbenutzer über einen Filter abdecken.
Liste der erforderlichen Organisationsebenen sowie deren Wert
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“. In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht. Dazu muss die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält! Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.
Die für das System verantwortlichen Personen sollten Rollenbeschreibungen am besten vorab mit Ihren Fachbereichen erarbeiten und außerhalb von SAP SuccessFactors dokumentieren (wie bspw. in Abb. 2). Bei Rückfragen können sie mit dieser Grundlage genau erklären, warum jemand eine bestimmte Berechtigung bekommen hat. Die Rollenbeschreibungen und der Bericht helfen dabei, DSGVO-konform zu arbeiten. Da sich der Bericht automatisch aktualisiert, haben Unternehmen keinen zusätzlichen Aufwand für das Dokumentieren der Änderungen – eine ungeliebte (und oft „vergessene“) Aufgabe weniger.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Bei einem Benutzertrace handelt es sich deshalb ebenfalls um einen Trace über einen längeren Zeitraum.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Voraussetzung für diese Art der Berechtigung ist, dass die Tabellen über Spalten mit solchen organisatorischen Werten, wie z. B. Werk, Land, Buchungskreis usw., verfügen.