Kundeneigene Anforderungen
Hintergrundverarbeitung
Zum Schluss sieht die Prüflogik eine Prüfung auf der Zeilenebene innerhalb einer Tabelle vor, falls Sie den Zugriff auf die Tabelleninhalte in Abhängigkeit von einer organisatorischen Zuordnung einschränken möchten. Soll ein Anwender z. B. nur die Daten einer Tabelle einsehen können, die das Land betreffen, in dem sich sein Arbeitsstandort befindet, müssen Sie dies entsprechend konfigurieren. Hierzu definieren und aktivieren Sie organisationsrelevante Felder als Organisationskriterium (siehe Tipp 62, »Berechtigungen zur Tabellenbearbeitung organisatorisch einschränken«). Um einen Überblick darüber zu behalten, welche Benutzer auf welche Tabellen zugreifen können, führen Sie den Report SUSR_TABLES_WITH_AUTH aus. Dieser Report gibt darüber Auskunft, welcher Benutzer oder welche Einzelrolle über die Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM verfügen. In der Ergebnisliste sind alle berechtigten Tabellen sowie deren Berechtigungen bzw. Berechtigungswerte aufgeführt.
Gemeinsam mit Ihnen erarbeiten wir für Ihre Systeme und Prozesse passende Berechtigungen. In Workshops mit Ihren Fachabteilungen erstellen wir Konzepte, um den Mitarbeitern die benötigten Rechte zu vergeben. Das Ziel ist dabei, sogenannte Arbeitsplatzrollen zu definieren, welche die Jobprofile auf Stellenebene darstellen.
Berechtigungen für den Dateizugriff steuern
Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden. Auf die Besonderheiten im Umgang damit bin ich kürzlich erst im Artikel "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode" eingegangen möchte hier aber für einen Berechtigungsüberblick lieber auf die Rollen und Zuordnung von Berechtigungsobjektfeldwerten in derRollenpflege mit der PFCG eingehen.
Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinationen als sogenanntes Risiko abzubilden. Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Komponente SAP Access Control ersetzen. Vielmehr sollte dieser Report als Indikator für den aktuellen Systemzustand verstanden und eingesetzt werden. Mit dem Report ermitteln Sie die Benutzer, die über die in der Tabelle USKRIA definierten kritischen Berechtigungskombinationen verfügen. Die Kennung, die auch als Risiko-ID bezeichnet werden kann, beschreibt eine Kombination von Berechtigungsobjekten mit Feldnamen und Feldwerten. Diese werden mit einem der beiden zur Verfügung stehenden Operanten AND oder OR miteinander verknüpft.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Außerdem müssen Sie den Importparameter PASSWORDX setzen, um eine Änderung am Passwort anzuzeigen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt.