Den Zeichenvorrat für die Benutzer-ID einschränken
Berechtigungen für den SAP NetWeaver Business Client steuern
Berechtigungen werden in einem Unternehmen üblicherweise nicht für Individuen, sondern für Rollen vergeben. Eine Rolle beschreibt Arbeitsplätze oder Positionen innerhalb der Organisation. Eine oder mehrere Personen können eine Rolle innehaben und verfügen damit über die der Rolle zugeordneten Zugangsberechtigungen. Das Berechtigungsprofil (die Anzahl an Berechtigungen) einer Rolle beinhaltet alle Berechtigungsobjekte, die zur Ausführung der Transaktionen erforderlich sind. Mittels eines Profilgenerators (Transaktion PFCG) lässt sich die Erstellung des Berechtigungsprofils in SAP automatisieren.
Grundsätzlich können alle Berechtigungsfelder in die Organisationsebene hochgestuft werden; es gibt allerdings technische Ausnahmen und Felder, bei denen dies nicht sinnvoll ist. Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL. Außerdem können Sie das Feld ACTVT nicht zur Organisationsebene erheben. Sinnvoll sind nur die Felder, die innerhalb einer Rolle mit einem Wertebereich belegt werden können. Dies muss natürlich übergreifend für das Berechtigungskonzept betrachtet werden. So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet. Mit dem Report PFCG_ORGFIELD_CREATE können Sie ein Berechtigungsfeld als Organisationsebene definieren. Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Die Vergabe von kritischen Berechtigungen und Handhabung von kritischen Benutzern
Weiterhin sind die Statistikdaten anderer Benutzer (Benutzeraktivitäten, wie z.B. ausgeführte Reports und Transaktionen) als sensibel einzuordnen, da über diese Daten evtl. Rückschlüsse auf das Arbeitsverhalten gezogen werden können. Diese Daten lassen sich beispielsweise über die Transaktion ST03N anzeigen. Die Zugriffsberechtigungen auf die beiden oben genannten Datenarten sind nur sehr restriktiv zu vergeben.
Der nächste Schritt ist nun die Pflege der Berechtigungswerte. Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen. Wenn Sie aus dem Rollenmenü auf die Registerkarte Berechtigungen wechseln, werden Startberechtigungen für alle im Rollenmenü enthaltenen Anwendungen generiert und Standardberechtigungen aus den Berechtigungsvorschlägen angezeigt. Sie können diese Vorschlagswerte nun mit den Tracedaten ergänzen, indem Sie in der Button-Leiste auf den Button Trace klicken.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Demgegenüber sollten Sie Transaktionen mit einem hohen Nutzungsgrad und einem großen Benutzerkreis (z. B. mit mehr als zehn Benutzern) sinnvollerweise in einem SAP-Rollenkonzept berücksichtigen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Anschließend legen Sie einen Text für das Berechtigungsobjekt fest und selektieren maximal zehn Berechtigungsfelder für das Objekt über den Button Felder.