Aufgabe & Funktionsweise vom SAP Berechtigungskonzept
Bereits vorhandene Berechtigungen
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Aufgrund der geänderten Vorschlagswerte in der Transaktion SU24 müssen Sie nun Schritt 2c (zu überprüfende Rollen) ausführen, um alle von den geänderten Vorschlagswerten betroffenen Rollen zu aktualisieren. Die Rollenänderungen sind nur mandantenspezifisch! Sie erhalten eine Liste, die alle Rollen aufzeigt, die Sie abarbeiten müssen. Haben Sie mehr als einen Mandanten zur Pflege von Rollen, müssen Sie diesen Schritt auch in den anderen Mandanten ausführen.
Durch rollenbasierte Berechtigungen Ordnung schaffen
Mit dem Enhancement Package (EHP) 3 zu SAP ERP 6.0 hat SAP in der Business Function FIN_GL_CI_1 eine Erweiterung der Berechtigungsprüfungen zur Verfügung gestellt, mit der die Berechtigungsobjekte für Profit-Center bereits in FI geprüft werden können. Die Business Function FIN_GL_CI_1 müssen Sie zunächst im Switch Framework (Transaktion SFW5) einschalten. Danach können Sie die neue Funktionalität im Customizing über diesen Pfad aktivieren: Finanzwesen (neu) > Grundeinstellungen Finanzwesen (neu) > Berechtigungen > Berechtigungsprüfung für Profitcenter aktivieren.
Wenn Sie nun die Rollen soweit definiert haben, dass die wesentlichen Prozesse abgebildet sind, prüfen Sie technisch, welche Organisationsmerkmale diese enthalten (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.). Das technische Ergebnis vergleichen Sie dann mit dem Ergebnis aus der Betrachtung der Aufbauorganisation und der betriebswirtschaftlichen Rollenbeschreibung. Ein wahrscheinliches Ergebnis ist, dass Sie längst nicht alle technischen Organisationsmerkmale auch zur Differenzierung nutzen müssen. Ein mögliches Ergebnis ist, dass Sie Felder wie die Kostenstelle zur Organisationsebene erheben wollen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Es öffnet sich nun ein neues Fenster.