Benutzer-und Berechtigungsverwaltung
Kompensierende Maßnahmen für Funktionstrennungskonflikte
Abhängig von Ihrem SAP-NetWeaver-Releasestand müssen Sie den SAP-Hinweis 1731549 oder ein entsprechendes Support Package einspielen. Danach ist es nicht mehr möglich, neue Benutzer anzulegen, deren Namen nur aus Varianten von Leerzeichen oder nicht sichtbaren Sonderzeichen bestehen. Änderungen an bestehenden Benutzern sind aber weiterhin möglich. Über den ebenfalls in SAP-Hinweis 1731549 enthaltenen Customizing-Schalter BNAME_RESTRICT können Sie selbst steuern, ob Sie alternative Leerzeichen an bestimmten Stellen der Benutzer-ID erlauben möchten.
Nach der Erstellung eines Berechtigungskonzepts beginnt die Umsetzung im System. Auf dem Markt gibt es Lösungen, die auf der Basis von Microsoft Excel PFCG-Rollen im Handumdrehen anlegen. Sie sollten allerdings einiges beachten. Sie haben Ihre Rollen in Form von Rollenmatrizen und Ihre Organisationsebenen (Orgebenen) in Form von Organisationssets (Orgsets) definiert? Das alles haben Sie in Excel-Dokumenten gespeichert und wünschen sich nun eine Möglichkeit, um diese Informationen einfach per Knopfdruck in PFCG-Rollen zu gießen, ohne langwierig Rollenmenüs erstellen oder anschließend große Mengen von Rollen ableiten zu müssen, je nachdem wie viele Organisationssets Sie definiert haben?
Ein kompliziertes Rollenkonstrukt
Beim Durchlauf der Rollen wird nach sich unterscheidenden Wertebereichen für das betreffende Feld innerhalb einer Rolle gesucht. Es findet eine automatische Bereinigung statt, indem beide Wertebereiche zusammen in alle Felder geschrieben werden. Daher sollten Sie solche Einträge bereits vorher bereinigen und gegebenenfalls zwei unterschiedliche Rollen erstellen. Der Report PFCG_ORGFIELD_CREATE bietet einen Testlauf an, mit dem Sie alle betroffenen Rollen identifizieren können. Die Spalte Status gibt einen Überblick über den Stand der Berechtigungswerte. Ist der Status gelb, gibt es unterschiedliche Wertebereiche für das Feld innerhalb der Rolle; die Rolle muss also bereinigt werden.
Ein temporäres Abschalten der Zentralen Benutzerverwaltung wird in der Regel nicht empfohlen. In bestimmten Fällen kann es jedoch notwendig sein. Wir zeigen Ihnen, welche Vor- und Nacharbeiten erforderlich sind, um Dateninkonsistenzen zu vermeiden. In komplexen SAP-Landschaften, in denen die Zentrale Benutzerverwaltung (ZBV) eingesetzt wird, können Fälle eintreten, in denen Sie ein Tochtersystem temporär aus der ZBV entfernen möchten, ohne dieses System löschen oder die ganze ZBV abschalten zu müssen, wenn z. B. kurzfristig Benutzer in einem Tochtersystem angelegt werden sollen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Bei Programmen, die einer Berechtigungsgruppe zugeordnet sind, wird eine Prüfung auf das Objekt S_PROGRAM ausgeführt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Gerade in diesem Zusammenhang ist es jedoch nicht immer einfach, alle wesentlichen Punkte mit den SAP®-Standardbordmitteln zu überprüfen.