Change- und Release-Management
Operations
Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen. Wie funktioniert das SAP Berechtigungsvererbung? Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalss Änderungen am Masterobjekt direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfacherere Wartung ermöglicht und die Fehlerquote drastisch minimiert. Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen. Vererbung für SAP Berechtigungen anlegen Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen. Schritt 1: Masterrolle anlegen Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button "Einzelrolle" legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle "findepartment_r".
Rein technisch gesehen enthält jede generierte Berechtigungsrolle ein Profil, aus welchem ein User die tatsächlichen Berechtigungsobjekte und Berechtigungsausprägungen erhält. Wenn dieses Profil veraltet oder aber gar nicht erst zugewiesen ist, besitzt der User auch nicht alle in der Berechtigungsrolle enthaltenen Berechtigungsobjekte. Besonders häufig entsteht das Problem übrigens nach Rollentransporten: Wenn eine Berechtigungsrolle im Entwicklungssystem verändert und anschließend in das Produktivsystem transportiert wird, wird nicht automatisch das aktuelle Profil an die User mit der jeweiligen Rolle vergeben. Hier muss also ein Benutzerabgleich durchgeführt werden.
SQL-Monitor bei der SAP-HANA-Migration
Es existieren somit zahlreiche Schnittstellen zwischen diesen Betätigungsfeldern. Dadurch verschwimmen die Grenzen teilweise.
Wenn zwei Benutzer in einem Zeitraum jeweils 100 Transaktionsschritte Last ausgeführt haben, sind beide gleich aktiv gewesen. Das bedeutet aber noch nicht, dass sie beide die gleiche Last auf dem System erzeugt haben. Wenn z. B. der erste Benutzer Finanzbelege eingegeben hat und 100 Transaktionsschritte mit einer mittleren Antwortzeit von 500ms ausgeführt hat, hat er das System 50 Sekunden lang belastet. Ein zweiter Benutzer hat z. B. Controlling-Berichte erstellt und für seine Arbeit 100 Transaktionsschritte mit einer mittleren Antwortzeit von 5 Sekunden benötigt, also das System 500 Sekunden lang in Anspruch genommen. Offensichtlich hat der zweite Benutzer bei gleicher Aktivität eine zehnfach größere Last erzeugt. Wie man an diesem Beispiel erkennt, ist also das Produkt aus der Anzahl der Transaktionsschritte und der mittleren Antwortzeit ein Maß für die erzeugte Last. (Will man exakt sein, muss man von der Antwortzeit die Dispatcher-Wartezeit und die Roll-Wartezeit abziehen, denn während der Auftrag in der Dispatcher-Queue bzw. auf die Ausführung eines RFCs wartet, verursacht er keine Last auf dem System.) Die Belastung, die die unterschiedlichen Task-Typen auf der Datenbank erzeugen, lässt sich analog anhand der gesamten Datenbankzeit (Transaktionsschritte mal mittlere Datenbankzeit) vergleichen. Ebenso erfolgt der Vergleich der CPU-Belastung auf dem Applikationsserver. Die Verteilung der Zeiten (Datenbankzeit, CPU-Zeit etc.) spiegelt also die Lastverteilung auf dem System besser wider als die bloße Anzahl der Transaktionsschritte.
Für Administratoren steht im Bereich der SAP Basis ein nützliches Produkt - "Shortcut for SAP Systems" - zur Verfügung.
Hinweise Wenn Probleme beim Herunterladen von Support Packages aus dem SAPNet - R/3 Frontend auftreten, dann lesen Sie den Hinweis 34376.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Für den effizientesten Betrieb eines SAP-Systems arbeitet ein externes SAP Basis Support Team oft mit einem kleinen Inhouse-Team im Unternehmen des Kunden zusammen.