Kundenspezifische Berechtigungen einsetzen
Dialogbenutzer
Eine vollumfängliche SAP-Sicherheitsüberprüfung ist hier jedoch noch nicht zu Ende. Zusätzlich untersucht der Auditor, ob die vier wichtigen Konzepte der SAP Security, namentlich das Dateneigentümer-, das Eigenentwicklungen-, das Berechtigungs- und das Notfalluserkonzept, den Anforderungen genügen. Jedes von ihnen sollte ein ausformuliertes Schriftstück darstellen, das zum einen alle Soll-Vorgaben zum jeweiligen Thema enthält und zum anderen mit dem vorgefundenen Ist-Zustand der Prüfung übereinstimmt.
Das Feld RESPAREA hat einen Pflegedialog, der die Eingabe von Verantwortungsbereichen erlaubt. Der Pflegedialog wird als Baustein aufgerufen und bietet je nach Berechtigungsobjekt unterschiedliche Registerkarten für die Eingabe. Wenn Sie nun das Feld RESPAREA zur Organisationsebene erklären, müssen Sie zuvor die Anzeige der Registerkarten für die Eingabe im Customizing festlegen. Dazu müssen Sie in der mandantenunabhängigen Tabelle KBEROBJ mithilfe der Transaktion SE16 einen Eintrag hinzufügen. In diesem Eintrag lassen Sie das erste Feld OBJECT leer. Das Feld CURRENTOBJ muss gepflegt werden, da es die Registerkarte definiert, die beim Aufruf der Pflege angezeigt wird, also die Default-Registerkarte. Ist dieses Feld leer, kann kein Startbild ermittelt werden, und es kommt zu Fehlern. Die folgenden Felder bestimmen die Inhalte der verschiedenen Registerkarten und sollten daher auch gepflegt werden, damit Sie RESPAREA als Organisationsebene nutzen können. Dies sind die Felder OBJECT1 bis OBJECT7 für die erste bis siebte Registerkarte. In diesen sieben Feldern definieren Sie, welche Werte Sie auf den Registerkarten eingeben können.
Fehleranalyse bei Berechtigungen (Teil 1)
Dokumente: Die Dokumente in der Auditstruktur beschreiben die Prüfungsschritte. Sie können sie analog zu Ihren Auditanforderungen anlegen. Dokumente erkennen Sie anhand des Symbols. Durch einen Doppelklick auf dieses Symbol öffnen Sie das Dokument.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Das heißt jedoch nicht, dass Sie nun alle Benutzer einzeln pflegen müssen! Es kommt häufig vor, dass Sie im SAP-System Massenänderungen an Benutzern durchführen möchten, z. B. wenn sich Rollenzuordnungen ändern, Sie eine Gruppe von Benutzern sperren wollen oder deren Gültigkeitsdaten anpassen müssen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Die folgenden Felder bestimmen die Inhalte der verschiedenen Registerkarten und sollten daher auch gepflegt werden, damit Sie RESPAREA als Organisationsebene nutzen können.