Berechtigungswerte beim Rollenupgrade vergleichen
Rollenpflege im Betrieb
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Die Berechtigungen werden in SAP-Systemen in Form von Rollen an die Benutzer vergeben. Das Ziel ist es, ein möglichst sicheres System zu schaffen sowie die Komplexität und Anzahl der Rollen so gering wie möglich zu halten. Nur so kann ein ausgewogenes Kosten-Nutzen-Verhältnis erreicht werden.
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Wechseln Sie nun in die Benutzerpflege, und Sie werden feststellen, dass diese PFCG-Rolle Ihrem Benutzer noch gar nicht zugeordnet ist. Dafür müssen Sie zunächst den Benutzerstammabgleich durchführen. Diesen können Sie manuell über die Transaktion PFUD ausführen oder als Job einplanen. Dafür ist der Hintergrundjob PFCG_TIME_DEPENDENCY bzw. der Report RHAUTUPD_NEW vorgesehen.
SAP_NEW stellt ein spezifisches Berechtigungsprofil dar, in dem die konkreten Berechtigungsänderungen zwischen zwei SAP-Releaseständen zusammengefasst sind. Zu unterscheiden ist dabei zwischen der Auslieferung des SAP_NEW-Profils durch SAP und der Generierung einer SAP_NEW-Rolle mit einem dazugehörigen Profil durch Sie als SAP-Kunden (siehe auch den SAPHinweis 1711620). Abhängig von der Vorgehensweise zur Berechtigungsnachpflege kann die Berechtigung SAP_NEW jedem Benutzer in einem Entwicklungs- und Qualitätssicherungssystem unmittelbar nach dem technischen Systemupgrade zugewiesen werden. Ziel ist es jedoch, in der Produktionsumgebung jedem Benutzer möglichst nur Berechtigungen zuzuweisen, die er für seine Geschäftsvorfälle benötigt. Im Umfeld von Upgrades müssen die hierzu korrekten Berechtigungen ermittelt und in entsprechende Berechtigungsrollen integriert werden.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Dieser Umstand gilt sowohl für aktive als auch für inaktiv gesetzte Standardberechtigungen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen.