Neuaufbau des Berechtigungskonzeptes
Kundeneigene Berechtigungen
SAPconnect verwendet den S/MIME-Standard (Secure/Multipurpose Internet Mail Extensions) für die Signierung beim Versand von E-Mails, bzw. um empfangene E-Mails zu verifizieren und zu entschlüsseln. S/MIME wird von den meisten E-Mail-Clients unterstützt und erfordert X.509-basierte Zertifikate.
Die Konfigurationsvalidierung nutzt die Konfigurationsdaten der CCDB für den Abgleich der Einstellungen. Dazu definieren Sie Ihre kundenspezifischen Sicherheitseinstellungen technisch in einem Zielsystem. Dieses enthält die Vorgaben für die Konfiguration der SAP-Systeme. Dabei ist es Ihnen auch möglich, ein Zielsystem, basierend auf den Einstellungen eines existierenden Systems, zu definieren und an Ihre Anforderungen anzupassen. Anschließend vergleichen Sie täglich die Einstellungen Ihrer SAP-Systeme mit diesem Zielsystem und erhalten so einen Überblick über die Abweichungen. Da es natürlich unterschiedliche Sicherheitsanforderungen an die Systeme in Ihrer Landschaft geben kann (z. B. Entwicklungs- und Produktivsysteme), können Sie verschiedene Zielsysteme mit den entsprechenden Einstellungen definieren. Den Abgleich mit einem Zielsystem starten Sie dann jeweils für die relevanten Systeme. Alternativ können Sie auch einen Vergleich mit einem tatsächlich vorhandenen System durchführen; dies ist z. B. im Rahmen eines Roll-outs eine sinnvolle Funktion.
Benutzergruppe als Pflichtfeld definierbar
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
Die konkreten Berechtigungsobjektausprägungen für SAP_NEW werden über die SAP-Komponente SAP_BASIS zur Verfügung gestellt. Deshalb ist ein SAP_NEW-Profil immer an ein konkretes Basisrelease gebunden. Verfahren Sie wie folgt: Mit der Transaktion SU02 entfernen Sie alle alten, einzelnen Profile aus dem zusammengesetzten Profil SAP_NEW, einschließlich des Profils, das zu dem Startrelease Ihres Upgrades gehört. Weisen Sie nun das reduzierte Berechtigungsprofil SAP_NEW allen Benutzern im Upgradevorbereitungssystem zu, sodass gewährleistet ist, dass alle Benutzer wie gewohnt arbeiten können. Dieser Schritt kann ausgelassen werden, wenn Sie eine andere Methode zur Identifizierung von fehlenden Berechtigungen verfolgen. Überprüfen Sie nun alle Berechtigungen in allen restlichen Profilen innerhalb des Sammelprofils SAP_NEW, die einen höheren Releasestand haben als das Upgradestartrelease der Softwarekomponente SAP_BASIS. Ordnen Sie alle benötigten Berechtigungen allen produktiv genutzten Rollen in Ihrem Berechtigungskonzept zu. Sie können dies für jedes Zwischenrelease einzeln durchführen. Im nächsten Schritt passen Sie die Berechtigungen in Ihren produktiv genutzten Rollen in der Transaktion PFCG an und entfernen anschließend die korrespondierenden Berechtigungen aus dem Profil SAP_NEW mithilfe der Transaktion SU02. Wiederholen Sie die Schritte 3 bis 4, bis das Berechtigungsprofil SAP_NEW leer ist. Arbeiten Sie während der Rollenanpassungsphase in einem Entwicklungssystem und transportieren Sie die getätigten Anpassungen Ihrer Berechtigungsrollen in Ihr Qualitätssicherungssystem. Nach erfolgreichem Abnahmetest transportieren Sie diese noch ins Produktivsystem. Nun können Sie das Profil SAP_NEW allen Benutzern entziehen. Anschließend können Sie mit der Rollennachbereitung im Rahmen des Releasewechsels in der Transaktion SU25 fortfahren (siehe auch Tipp 43, »Berechtigungen nach einem Upgrade anpassen«).
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Die Berechtigungsprüfungen – einschließlich der Zeitraumabgrenzung – sind in der logischen Datenbank implementiert und wirken für alle Reports, die auf einer logischen Datenbank basieren (z. B. basiert das Anlagengitter RAGITT00 auf SAPDBADA und der Bilanzreport RFBILA00 auf SAPDBSDF).