Nach fehlenden Berechtigungen tracen
Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren
Bei der Kopie der Werte in die Zwischenablage sollten Sie beachten, dass nur solche Werte in die Zwischenablage kopiert werden, die Sie zuvor markiert haben. Dabei werden die Werteintervalle, die in den Berechtigungsfeldwerten gepflegt sein können, durch einen Tabstopp separiert, in der Zwischenablage gespeichert.
Bevor Sie beginnen und kritische Berechtigungen definieren, sollten Sie Ihre Hauptgeschäftsprozesse bzw. -funktionen identifizieren, um anschließend die Prozesse, die in Konflikt zueinander stehen, in sinnvollen Kombinationen als sogenanntes Risiko abzubilden. Der Report RSUSR008_009_NEW kann kein GRC-System (GRC = Governance, Risk, and Compliance) mit der Komponente SAP Access Control ersetzen. Vielmehr sollte dieser Report als Indikator für den aktuellen Systemzustand verstanden und eingesetzt werden. Mit dem Report ermitteln Sie die Benutzer, die über die in der Tabelle USKRIA definierten kritischen Berechtigungskombinationen verfügen. Die Kennung, die auch als Risiko-ID bezeichnet werden kann, beschreibt eine Kombination von Berechtigungsobjekten mit Feldnamen und Feldwerten. Diese werden mit einem der beiden zur Verfügung stehenden Operanten AND oder OR miteinander verknüpft.
Berechtigungsprüfungen
Wenn Ihre Auswahl vollständig ist, verlassen Sie das Bild einfach mit dem grünen Zurückknopf. Sie gelangen nun auf den Detailauswahlbildschirm, in dem Sie die Selektionsfelder und die Ausgabefelder (die Registerkarten Listenfeldauswahl und Selektionsfelder) Ihrer Tabellenkombination auswählen können. Wir wählen die Berechtigungsobjekte und -werte als Selektion und den Rollennamen sowie den Benutzer als Ausgabefelder. Fertig! Jetzt kann die Query mit dem Button Ausführen gestartet werden. Dabei erstellt das System im Hintergrund ein Programm, das den Join aufbaut. Als Ergebnis wird Ihnen ein Selektionsbild angezeigt. Geben Sie dort »S_TCODE« als Objekt und »SCC4« als Feldwert an (wir haben bei diesem Objekt ja nur ein Feld). Wenn Sie dann auf Ausführen klicken, werden Ihnen alle Benutzer und die auslösenden Rollen ausgegeben.
Unsere Beispielrolle MODELING macht deutlich, dass es möglich ist, verschiedene Privilegtypen einer Rolle zuzuordnen. Das SAP HANA Studio zeigt Ihnen in der Administrationsoberfläche an, welcher Benutzer (der sogenannte Grantor) das jeweilige Privileg dieser Rolle zugeordnet (granted) hat. Durch Filtern und Sortieren können Sie die Darstellung der Rolleninhalte optimieren. Je nach Typ des Privilegs werden Ihnen durch Markieren eines Eintrags die entsprechenden Details angezeigt.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die Zugriffe können dadurch relativ zum Wurzelobjekt innerhalb der hierarchischen Struktur geregelt werden.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Abhängig von der Ausprägung des Feldes RFC_TYPE geben Sie dann im Feld RFC_NAME (Name des zu schützenden RFC-Objekts) den Namen des Funktionsbausteins oder der Funktionsgruppe an.