Ziel eines Berechtigungskonzepts
Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
Vereinfachen Sie Ihr Berechtigungskonzept nicht, bevor Sie alle Anforderungen kennen, sondern fragen Sie sich erst, was es zu erreichen gilt. Analysieren Sie also zunächst die Prozesse (wenn möglich auch technisch), und schaffen Sie erst dann ein Konzept. Viele Berechtigungskonzepte, die wir bei Kunden vorfanden, waren nicht dazu geeignet, den Anforderungen gerecht zu werden. Teilweise handelte es sich um »gewachsene« Berechtigungskonzepte (d. h., dass immer wieder Anforderungen hinzukamen) oder um gekaufte Berechtigungskonzepte. Vielen dieser Konzepte war gemeinsam, dass sie nicht einfach, sondern zu stark vereinfacht worden waren. Ein schönes Beispiel sind Berechtigungskonzepte, die alle Organisationsebenen in Werterollen oder Organisationsrollen zusammenfassen. Es gibt wenige Beispiele, wie z. B. den Rollenmanager der Branchenlösung SAP for Defense and Security, in denen das Ergebnis eines Werterollenkonzepts für den Benutzer noch sinnvoll und angemessen ist. Die Annahme, dass man »mal eben« alle Berechtigungsobjekte separiert, die eine Organisationsebene enthalten, ist zwar einfach, aber eben nicht sinnvoll. Die Vereinfachung, dass nur ein Benutzer ohne Berechtigungen definitiv keine rechtswidrigen Berechtigungen haben kann, haben wir in der Praxis nicht vorgefunden. Allerdings gab es immer wieder den Fall, dass Benutzer viel zu viele Berechtigungen besaßen und das System damit nicht mehr rechtskonform war.
Wenn Sie keine Berechtigung besitzen z.B. für eine Transaktion und eine Meldung kommt das Ihnen die Berechtigung fehlt, können Sie mit der Transaktion SU53 die fehlende Berechtigung analysieren. Diese Transaktion zeigt die letzte fehlgeschlagene Berechtigungsprüfung, inklusive der Berechtigungsobjekte und Berechtigungsfelder.
Konzept für Eigenentwicklungen
Transaktion SE63 ermöglicht Ihnen die Übersetzung verschiedenster Textbausteine im SAP-System. Die für die Berechtigungsrollen relevanten Texte finden Sie über den Menüpfad: Übersetzung > ABAP-Objekte > Kurztexte Im daraufhin erscheinenden Pop-up-Fenster Objekttypauswahl wählen Sie den Knoten S3 ABAP-Texte aus und hier den Unterpunkt ACGR Rollen.
Das Ziel ist, dass SAP SuccessFactors-Anwender den Überblick über Rollen und Berechtigungen im System behalten. Analyse- und Reportingtools helfen dabei. Bei ABS Team nutzen wir eine eigene Kombination aus einer SAP SuccessFactors-Lösung und einer externen Dokumentation dafür. Wie die erste Grafik zeigt, baut unser Ansatz auf einem Delta-Konzept auf: alle SAP-Berechtigungen und Prozesse funktionieren unabhängig voneinander.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Bisher gab es keine Möglichkeiten, um für diese Benutzer andere Passwortregeln oder Anforderungen an die Passwortänderungen zu definieren.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie müssen das Berechtigungsobjekt S_TABU_NAM in Ihr bestehendes Berechtigungskonzept integrieren? In diesem Tipp zeigen wir Ihnen, welche Schritte dazu notwendig sind – von der Pflege der Vorschlagswerte bis hin zum Überblick über berechtigte Tabellen.