Berechtigungsrollen (Transaktion PFCG)
SAP S/4HANA® Launch Pack für Berechtigungen
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden. Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Servicebenutzer werden für den anonymen Zugriff durch mehrere Personen verwendet, z. B. für Webservices. Auch dieser Benutzertyp ist dialogfähig, d. h., dass er sich über SAP GUI am SAP-System anmelden kann. Mit einem Servicebenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern greifen nicht. Mit der Einführung der Sicherheitsrichtlinien hat sich dieses Verhalten geändert. Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«). Das Passwort einen Servicebenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Inaktive Benutzer sperren
Die Zuweisung der Rollen beinhaltet keine Besonderheiten. Daher behandeln wir im Folgenden ausschließlich die Themen Zeitraumabgrenzung und Protokollierung. Die Zeitraumprüfung ist als zusätzlicher Filter implementiert, der nach den üblichen Berechtigungsprüfungen abläuft. Diese zusätzliche Filterlogik arbeitet folgendermaßen: Zunächst wird geprüft, ob der Benutzer in der Tabelle für Steuerprüfer eingetragen ist (Tabelle TPCUSERN, Konfiguration mit der Transaktion TPC2). Nur dann werden die weiteren Prüfschritte durchlaufen. Falls nicht, finden keine Zusatzprüfungen statt. Anschließend wird geprüft, ob das aufgerufene Programm in der Tabelle der zulässigen Programme enthalten ist (Tabelle TPCPROG, Konfiguration mit der Transaktion TPC4). Bei negativer Prüfung bricht das System mit einem Berechtigungsfehler ab. Die Zeitraumprüfung erfolgt gegen die gültigen Intervalle in der Tabelle TPCDATEN (Konfiguration mit der Transaktion TPC6). Die Zeitraumprüfung arbeitet dabei kontextabhängig: Neben den Belegen des Prüfungszeitraums werden auch ältere Belege mitangezeigt, wenn sie noch für den Prüfungszeitraum relevant sind, z. B. offene Posten, die zwar in früheren Jahren gebucht, aber erst im Prüfungszeitraum ausgeglichen wurden. Datensätze, die gemäß der beschriebenen Logik nicht in den gültigen Zeitraum fallen, werden herausgefiltert.
Die sichere Verwaltung von Zugriffsmöglichkeiten im SAP-System ist essenziell für jedes Unternehmen. Umso wichtiger ist es, die vergebenen Berechtigungen zu analysieren und zu verbessern. Dieser Schritt dient zur optimalen Vorbereitung für Ihren S/4 HANA-Umstieg. Managed Services unterstützt dabei die zentrale und effiziente Verwaltung, um einen optimalen Überblick zu gewährleisten. Um Ihre Prozesse nachhaltig zu verbessern, liefert eine Datenbank Informationen über mögliche Optimierungen bei den SAP Lizenzen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Diese Informationen werden Ihnen jedoch in der Spalte Ermittelter Abgleichstatus mitgegeben.