Bereits enthaltene Berechtigungsobjekte
SAP_NEW nicht zuweisen
Sie möchten für Anwendungen, die SAP HANA verwenden, ein Berechtigungskonzept aufbauen? Erfahren Sie, was Sie dabei bezüglich der technischen Grundlagen und Tools beachten sollten. Wie es in Tipp 22, »Lösungen für die Benutzerverwaltung in SAP HANA anwenden«, beschrieben wird, gibt es unterschiedliche Anwendungsszenarien, bei denen die Berechtigungsvergabe auf der HANA-Datenbank erforderlich ist.
Das Setzen der Kennzeichen für die Vertraulichkeit oder die Verschlüsselung in der Methode SEND_EMAIL_FOR_USER wirkt sich auf die Anzeige der E-Mail in der Business Communication Services Administration aus (Transaktion SCOT). Ist die E-Mail als vertraulich gekennzeichnet, kann sie nur durch den Absender oder den Ersteller der E-Mail eingesehen werden. Der Absender und der Ersteller müssen nicht zwingend identisch sein, z. B. wenn Sie als Absender das System eingetragen haben. Der Ersteller der E-Mail ist derjenige, der die Anwendung ausgeführt hat, in deren Kontext die E-Mail erstellt wurde. Durch das Kennzeichen zur Verschlüsselung wird automatisch auch die Vertraulichkeit der E-Mail gesetzt. Die E-Mail wird also nicht verschlüsselt im System abgelegt, sondern durch das Vertraulichkeitskennzeichen gegen unbefugte Einsicht geschützt. Der Zugriff durch den Absender oder Ersteller ist aber weiterhin möglich. Außerdem sollten Sie beachten, dass der Betreff der E-Mail nicht verschlüsselt ist.
Den Zeitstempel in der Transaktion SU25 verwenden
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Bei der Anzeige oder dem Buchen von Belegen im SAP-Finanzwesen reichen Ihnen die Standardberechtigungsprüfungen nicht aus? Nutzen Sie die Belegvalidierung, BTEs oder BAdIs für zusätzliche Berechtigungsprüfungen. Das Buchen von Belegen und häufig auch deren Anzeige wird durch Standardberechtigungsprüfungen geschützt; diese erfüllen aber gegebenenfalls nicht Ihre Anforderungen.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Diese Rollen haben unterschiedliche Gültigkeitszeiträume.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Wenn Sie Ihre SAP-Systemlandschaft über die Zentrale Benutzerverwaltung (ZBV) verwalten, müssen Sie den SAP-Hinweis 1663177 sowohl in das ZBV-System als in alle angeschlossenen Tochtersysteme einspielen.