Aktuelle Situation prüfen
System-Trace-Funktion ST01
Unabhängig davon, ob Sie den Vereinfachungsgrad COARS = 1 oder 2 wählen, sollten Sie unter keinen Umständen im Feld REPID den Wert * oder SAPDBPNP (Programmname der logischen Datenbank PNP) eintragen. Mit diesen Werten erlauben Sie den Zugriff auf die logischen Datenbanken SAPDBPNP und SAPDBPAP und damit den Zugriff auf alle enthaltenen Stammdaten.
Das Rollenmenü der PFCG-Rolle besteht nun aus Ordnern, die alle logischen Links innerhalb einer Bereichsstartseite repräsentieren, und aus externen Services, die die logischen Links sowie die Bereichsstartseiten an sich repräsentieren. Das heißt, dass jeder im Rollenmenü aufgelistete externe Service für eine Bereichsstartseite bzw. einen logischen Link berechtigt. Wird ein solcher externer Service aus dem Rollenmenü entfernt und die PFCG-Rolle generiert, hat der Anwender dieser PFCG-Rolle keine Berechtigungen zum Ansehen dieses externen Services (siehe Abbildung nächste Seite). Sie werden doppelte, vielleicht sogar dreifache Einträge von externen Services finden. Diese sind hauptsächlich in den Ordnern der Homepage und unter GENERIC_OP_LINKS zu finden. Sie können sie ohne Bedenken löschen, da ein externer Service für eine Berechtigung nur einmal im Rollenmenü erscheinen muss. Zur besseren Übersicht ist es darüber hinaus sinnvoll, die externen Services bzw. Ordner so umzubenennen, wie diese auch im SAP CRM Web Client dargestellt sind.
Berechtigungsverwaltung in kundeneigenen Programmen koordinieren
Berechtigungsprofile werden im Standard (seit Release 4.6C) mit den Rollen transportiert. Wünschen Sie dies nicht, müssen Sie den Datenexport im Quellsystem durch den Steuereintrag PROFILE_TRANSPORT = NO unterbinden. Anschließend müssen die Profile vor dem Abgleich der Benutzerstämme im Zielsystem durch eine Massengenerierung erzeugt werden. Dies kann mittels Transaktion SUPC erfolgen.
Viele Werkzeuge, die anbieten, Pflegeoperationen der Transaktion PFCG zu vereinfachen, arbeiten Excel-basiert. Dabei werden die kompletten Rollendaten in Excel vorgehalten und dort bearbeitet. Anschließend wird die Excel-Datei mit einem speziellen Programm hochgeladen und generiert Rollen bzw. Rollenänderungen. Dies sieht zwar alles sehr bequem aus (und ist es vermutlich zunächst auch), hat aber langfristig seine Tücken.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Mit der ABAP-Anweisung AUTHORITY-CHECK im Quelltext des Programms prüfen Anwendungen, ob der Benutzer über die entsprechenden Berechtigungen verfügt und ob diese Berechtigungen angemessen definiert sind, d.h. ob der Benutzeradministrator die vom Programmierer für die Felder erforderlichen Werte vergeben hat.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Dabei gibt es zwei Positionen: Zum einen wird von Consultants geraten, niemals auf das Signalwort DUMMY, die Konstante space oder das Literal ‘ ‘ zu testen.