Fallstricke beim Excel-basierten Berechtigungswesen umgehen
Berechtigungen für User-Interface-Clients
In Ihrem System gibt es inaktive Benutzer? Dies ist nicht nur ein Sicherheitsrisiko, da diese häufig noch ein Initialpasswort verwenden, sondern erzeugt auch unnötige Lizenzkosten. Es wird immer wieder Benutzer in Ihrem SAP-System geben, die inaktiv sind. Dies kann verschiedene Gründe haben. Beispielsweise kann es sich um Benutzer aus den Managementebenen handeln, die praktisch nicht benutzt werden, weil diese Führungskräfte nicht mit dem ERP-System arbeiten. Auch könnte es sein, dass Mitarbeiter ihren SAP-Benutzer aufgrund eines Positionswechsels nicht mehr nutzen oder dass Externe eine Zeit lang nicht am SAP-System arbeiten. Sie sollten auf alle Fälle dafür sorgen, dass diese inaktiven Benutzer entweder gesperrt oder ungültig werden. Bisher mussten Sie dazu mithilfe des Reports RSUSR200 alle inaktiven Benutzer selektieren und sie dann manuell in die Transaktion SU10 übertragen, um die Sperrung durchzuführen. Dies können Sie nun auch automatisiert durchführen.
Zusätzlich können Sie im SOS auch kundeneigene Berechtigungsprüfungen definieren und dabei auch Kombinationen von Berechtigungsobjekten und deren Werten festlegen. Sie können bis zu 1.000 kundeneigene Berechtigungsprüfungen im Check-ID-Namensraum 9000 bis 9999 anlegen. Auch für diese Berechtigungsprüfungen können Sie wieder Whitelists definieren, die entweder für einzelne oder alle kundeneigenen Berechtigungsprüfungen gelten. Die Konfiguration ist im SAP-Hinweis 837490 beschrieben.
Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
In erster Linie sind rechtliche Grundlagen zu nennen und auf gesetzeskritische Berechtigungen konkret hinzuweisen, die nicht (bzw. allenfalls an den Notfallbenutzer) vergeben werden dürfen. Ein Beispiel ist die Berechtigung “Debugging mit Replace“, zu der das Objekt S_DEVELOP mit den Werten ACTVT = 02 und OBJTYPE = DEBUG legitimiert und worüber sich Daten per Hauptspeicheränderung manipulieren lassen. Das verstieße jedoch gegen § 239 HGB, das sogenannte „Radierverbot“.
Per Standard sind hier die Transaktionen aus dem Rollenmenü als abgeleitete Berechigungswerte zu finden. Über die Werthilfe (F4) können teilweise die verfügbaren Funktionen Felder zu diesen Feld aufgerufen werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Eine Berechtigungssteuerung unter Berücksichtigung des Profit-Centers ist für Auswertungen wie die Debitoren- bzw. Kreditorensaldenlisten (Transaktionen FD10N bzw. FK10N) daher nicht möglich.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Die Einträge dev_ und gw_ erlauben das Anzeigen von Dateien aus Entwicklertrace und Gateway Log in der Transaktion ST11.