Berechtigungen
Rollenverwaltung
Das Interface IF_IDENTITY der Klasse CL_IDENTITY stellt verschiedene Methoden für die Pflege der Felder des Benutzerstammsatzes zur Verfügung. Als Vorlage für die Implementierung des BAdIs können Sie das Implementierungsbeispiel CL_EXM_IM_IDENTITY_SU01_CREATE nutzen, in dem die Felder Nachname, Raumnummer, Telefon, E-Mail-Adresse, Benutzergruppe, Abrechnungsnummer und Kostenstelle der Transaktion SU01 automatisch vorbelegt werden. In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt. An dieser Stelle müssen Sie die Implementierung, abhängig von Ihren Anforderungen, ergänzen. Dabei gibt es verschiedene mögliche Datenquellen für die Benutzerstammdaten, die Sie aus dem BAdI aufrufen können.
Egal welcher Grund es ist, schnell heißt es, dass ein neues Berechtigungskonzept her muss. Das ist aber nicht immer der Fall. Und falls doch, ist die Frage, welches Berechtigungskonzept im SAP HCM das richtige ist. Ja, ganz genau, welches Konzept, denn im SAP HCM Bereich gibt es drei Möglichkeiten, ein Berechtigungskonzept umzusetzen.
S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren
Ihre Systemlandschaft entspricht keiner typischen Dreisystemlandschaft? Erfahren Sie, was Sie in diesem Fall bei Upgradenacharbeiten für die Vorschlagswerte von Rollen beachten sollten. Ihre Systemlandschaft kann sich von den typischen Dreisystemlandschaften z. B. dadurch unterscheiden, dass Sie mehrere Entwicklungssysteme bzw. Entwicklungsmandanten haben. Über Transporte werden dann alle Entwicklungen und Customizing-Einträge in einem Konsolidierungssystem zusammengefügt. Führen Sie Ihre Upgradenacharbeiten in der Transaktion SU25 durch, und transportieren Sie mit Schritt 3 Ihre Vorschlagswerte, d. h. Ihre SU24-Daten. Führen Sie diesen Schritt hingegen in allen Entwicklungssystemen aus, laufen alle Transporte in Ihrem Konsolidierungssystem zusammen, und nur der letzte Import der Tabellen wird verwendet. Gleiche Einträge werden außerdem als zu löschende Einträge erkannt. Ähnlich verhält es sich mit Ihren PFCG-Rollen. Pflegen Sie diese in mehreren Entwicklungssystemen bzw. –mandanten, und möchten Sie nun die Rollen mit ihren generierten Profilen transportieren, besteht die Gefahr, dass die Nummern für die Profile gleichlauten, da sich die Profilnamen aus dem ersten und dritten Zeichen der System-ID des Systems und einer sechsstelligen Nummer zusammensetzen. Stammen nun auch noch die Profile aus demselben System (auch wenn der Mandant ein anderer ist), kann es aufgrund der gleichen Profilnamen zu Importfehlern kommen. Außerdem kann die Herkunft des Profils im Nachhinein nicht mehr nachvollzogen werden. Daher brauchen Sie eine Möglichkeit, um die Daten für die Berechtigungsvorschlagswerte und die PFCG-Rollen in Y-Landschaften transparent und konsistent zu transportieren.
Wenn Sie den Profilparameter dynamisch setzen, werden keine Benutzer vom Anwendungsserver abgemeldet. Wartungsarbeiten können Sie damit rechtzeitig vorbereiten. Der Wert 2 im Profilparameter unterbindet nicht die Anmeldung mit dem Notfallbenutzer SAP*, sofern dieser nicht als Benutzerstammsatz angelegt ist und der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt ist. Außerdem können Sie den Wert des Parameters auf der Betriebssystemebene wieder ändern. Details zum Benutzer SAP* finden Sie in Tipp 91, »Mit den Standardbenutzern und deren Initialpasswörtern umgehen«.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Dies können Sie jedoch herausfinden: Öffnen Sie über die Transaktion SA38 das Programm PFCG_ORGFIELD_DELETE.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Dies gilt vor allen Dingen für die Berechtigung zum „Debugging mit Replace“ (siehe „Gesetzes kritische Berechtigungen“).