Berechtigungen mit dem Pflegestatus Gepflegt
Berechtigungsfehler durch Debugging ermitteln
Es gibt mehrere Möglichkeiten, um sich die Implementierungen von Berechtigungsprüfungen anzuschauen: Entweder Sie springen direkt aus dem Systemtrace für Berechtigungen in die entsprechenden Stellen im Programmcode ab, oder Sie nehmen den Weg über die Definition der Berechtigungsobjekte. Um sich die Berechtigungsprüfungen aus dem Systemtrace für Berechtigungen anzuschauen, starten Sie den Trace über die Transaktion STAUTHTRACE und führen die Anwendungen aus, deren Prüfungen Sie sich ansehen möchten. Öffnen Sie nun die Auswertung des Trace. In der Spalte Programmname sehen Sie das Programm, das die Berechtigungsprüfung beinhaltet. Über einen Doppelklick gelangen Sie direkt zur Codestelle, an der die Berechtigungsprüfung implementiert ist.
Grundsätzlich ist innerhalb des kompletten Entwicklungs- bzw. Customizing- und Transport-Prozesses ein technisches 4-Augen Prinzip zu implementieren. Ohne zusätzliche Tools ist dies im SAP-Standard nur über entsprechend vergebene Berechtigungen innerhalb der Transportlandschaft zu erreichen. Abhängig von den eingesetzten Strategien sollen also evtl. nur bestimmte Transportschritte innerhalb des Entwicklungssystems an die Benutzer vergeben sein. Beim Einsatz des SAP-Solution-Managers („ChaRM“) für die Transportsteuerung sollen hier beispielsweise normalerweise nur die Berechtigungen zur Freigabe von Transport-Aufgaben vergeben werden. Die vollständige Abwicklung eines Transportes im Entwicklungssystems besteht aus vier Schritten: Anlegen und Freigeben eines Transportauftrags (der eigentliche Transportcontainer), Anlegen und Freigeben einer Transportaufgabe (die Berechtigung für einzelne Benutzer, Objekte an den jeweiligen Transportauftrag zu hängen).
Berechtigungsobjekte für die Tabellenbearbeitung verwenden
Es wird in einem solchen Fall in der SU53 der letzte Fehler angezeigt oder Anzeige ist leer. Man kommt dann nicht umhin, die Fehlermeldung der Transaktion zu analysieren. Noch einen Tipp zum Schluss: Weisen Sie den Benutzer an, mit den Screen-Shot machen, damit wird das ganze aktive Window in die Zwischenablage gestellt, und Sie können erkennen, um welche Transaktion, welches System und in welchem Kontext der Transaktion es sich handelt. Kleinere „SnagIt“s sind meist nicht zu gebrauchen und führen zu unnötigen Rückfragen.
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Das heißt, dass dieser Hinweis explizit über eine Kundenmeldung angefragt werden muss und erst daraufhin vom SAP-Support gegebenenfalls für Sie freigegeben wird.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Dabei legen Sie fest, dass während der Ausführung der Methode alle Positionen gelöscht werden, für die die Prüfung nicht erfolgreich war.