Rollenpflege im Betrieb
Ein kompliziertes Rollenkonstrukt
Ohne die generische Tabellenprotokollierung sind bestimmte Änderungen im System nicht nachvollziehbar. Erfahren Sie, wie sie die Tabellenprotokollierung im System für eine große Menge von Tabellen einschalten können. Im SAP-System werden Änderungsbelege für die meisten Änderungen geschrieben – allerdings nicht für alle. Speziell Änderungen an Tabellen, in denen das Customizing vorgenommen wird, werden nicht in den Änderungsbelegen festgehalten. Dies kann dazu führen, dass Änderungen nicht nachvollziehbar sind. Vermeiden Sie dies, indem Sie grundsätzlich die Tabellenprotokollierung aktivieren und dann die Protokollierung für bestimmte zusätzliche Tabellen einstellen. Sie sollten die Tabellenprotokollierung immer für alle Mandanten aktivieren. Während eines Releaseupgrades kann es aber erforderlich sein, die Tabellenprotokollierung temporär zu deaktivieren.
Als SAP SuccessFactors-Implementierungspartner werden wir öfter mit komplexen Berechtigungskonstellationen konfrontiert. Sicher: Wenn ein Beratungshaus nicht als erstes einen Prozess implementiert und der „Rahmen“ dadurch fehlt, müssen die bestehenden SAP-Berechtigungen nachträglich analysiert und das zugrunde liegende Konzept verstanden werden. Erst danach kann der neue Prozess sinnvoll in das Berechtigungskonzept eingefügt werden.
Berechtigungsfehler durch Debugging ermitteln
Wir raten Ihnen von der Nutzung des selbst gesetzten Passworts bei einem Self-Service ab, da ein generiertes Passwort sicherer ist. Die Generierung des Passworts erfolgt in Abhängigkeit von den Passwortregeln; dabei werden zuerst die Vorgaben in der dem Benutzer zugewiesenen Sicherheitsrichtlinie ausgewertet. Falls dem Benutzer keine Sicherheitsrichtlinie zugewiesen wurde, berücksichtigt das System die Passwortregeln in den Profilparametern und in der Customizing-Tabelle PRNG_CUST. Damit die zugeordnete Sicherheitsrichtlinien berücksichtigt werden, müssen Sie gegebenenfalls die Korrektur einspielen, die mit dem SAP-Hinweis 1890833 ausgeliefert wird. Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird. Sie müssen den Benutzer im Falle einer Sperre durch Falschanmeldungen noch mithilfe des BAPIs BAPI_USER_UNLOCK entsperren.
Berechtigungstools sind immer nur so gut, wie derjenige, der sie bedient. Bisher ermöglicht kein Tool, mit nur einem einzigen Klick fertige Berechtigungskonzepte zu erstellen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Gehen Sie dazu in die Zeile VALIN, und tippen Sie anstelle des eingegebenen Rollennamens einen beliebigen Parameternamen ein, z. B. ROLLENNAME.