Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Auswertung der Berechtigungsprüfung SU53
Es ist für einen konsolidierten Jahresabschluss wichtig, dass in verschiedenen Buchungskreisen derselbe Nummernkreis im Bereich der Sachkontenstämme vorliegt. Dies wird durch die Werkzeuge im Modul FI sichergestellt. Außerdem können die Stammsätze angepasst werden, sodass auch länderübergreifend mit den verschiedenen Währungen der Buchungskreise gearbeitet werden kann.
Möchten Sie die Bewegungsdaten des produktiven Systems in ein Entwicklungssystem übernehmen, sollten Sie zuvor Benutzerstammsätze und die Berechtigungsvorschlagswerte exportieren und die kompletten Änderungsbelege archivieren. Nach dem Import können Sie dann analog zur Mandantenkopie die importieren Änderungsbelege löschen und die originalen Änderungsbelege des Entwicklungssystems wieder zurückladen und indexieren. Für die hier beschriebenen Aktivitäten sind administrative Berechtigungen für die Änderungsbelege (S_SCD0 und S_ARCHIVE) und gegebenenfalls für die Tabellenprotokolle (S_TABU_DIS oder S_TABU_NAM und S_ARCHIVE) notwendig. Diese Berechtigungen sind als kritisch einzustufen, und Sie sollten Sie entsprechend nur an einen kleinen Benutzerkreis vergeben.
Berechtigungen in SAP BW, HANA und BW/4HANA
Im Rahmen der Nutzung einer HANA-Datenbank sollten Sie sowohl die Ausführung von HANA-Datenbankfunktionen als auch den lesenden oder ändernden Zugriff auf die in der Datenbank gespeicherten Daten durch passende Berechtigungstechniken schützen. Wesentlich für die Berechtigungstechnik sind Datenbankobjekte wie Tabellen und Views – die den Zugriff auf die gespeicherten Daten ermöglichen – sowie ausführbare Prozeduren und Benutzer. Die einem Benutzer zugeordneten konkreten HANAspezifischen Berechtigungen werden im HANA-Kontext als Privilegien (Privileges) bezeichnet.
In der Transaktion SU24 können händisch keine externen Services hinzugefügt werden. Dazu müssen Sie einen Berechtigungstrace einschalten, der dies übernimmt. Den Berechtigungstrace können Sie über den dynamischen Profilparameter auth/authorization_trace aktivieren. Diesen Parameter können Sie über die Transaktion RZ11 (Pflege von Profilparametern) einschalten, indem Sie den Wert Y als neuen Wert eintragen und die Einstellung Auf allen Servern umschalten wählen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
In SAPHinweis 1257133 wird die Vorgehensweise zur Erstellung eines solchen Konzepts beschrieben.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Ob die Berechtigungsprüfungen vereinfacht oder komplett ausgeschaltet werden, wird über das Feld COARS des Objekts gesteuert.