Pflegestatus von Berechtigungen in Rollen und deren Auswirkung beachten
Vergabe von Rollen
SNC sichert die Kommunikation mit bzw. zwischen ABAP-Systemen ab, es gibt aber auch viele webbasierte Anwendungen in SAP-Systemlandschaften. Diese kommunizieren über das Hypertext Transfer Protocol (HTTP). Auch bei der Kommunikation mittels HTTP werden die Daten unverschlüsselt übertragen; daher sollten Sie diese Kommunikation auf Hypertext Transfer Protocol Secure (HTTPS) umstellen. HTTPS nutzt das Verschlüsselungsprotokoll Transport Layer Security (TLS) zur sicheren Datenübertragung im Internet. Die Verwendung von HTTPS sollten Sie daher für alle Webzugriffe von Anwendern einrichten. Für die Kommunikation zwischen SAP-Systemen, sollten Sie HTTPS verwenden, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte. Sie sollten HTTPS entweder auf einzelnen Komponenten der Infrastruktur einrichten (z. B. Proxys), oder die ABAP-Systeme sollten direkt HTTPS bzw. TSL unterstützen. Details zur Konfiguration finden Sie im SAPHinweis 510007.
Auch können Sie kundeneigene Organisationsebenen wieder entfernen und sie damit zu einem einfachen Berechtigungsfeld umwandeln. Hierzu dient der Report PFCG_ORGFIELD_DELETE. Er entfernt das Berechtigungsfeld aus der Tabelle USORG und ändert die Berechtigungsvorschlagswerte zu diesem Feld. Abschließend geht er wieder alle Rollen durch, die eine Ausprägung zu dem Feld enthalten. Hierbei stellt er aber nicht die alte Belegung des Feldes wieder her, da zusammengefasste Werte bei der Erhebung des Feldes in die Organisationsebene nicht mehr separiert werden. Stattdessen werden die zusammengefassten Werte in jedem Feld separat eingetragen. Der Report PFCG_ORGFIELD_DELETE stellt außerdem eine Wertehilfe zur Verfügung, die nur die kundeneigenen Organisationsebenen anzeigt. Diese Wertehilfe können Sie auch für die Ermittlung aller kundeneigenen Organisationsebenen nutzen.
Testen der Berechtigung
Mithilfe dieses Reports können Sie sich nicht nur einen Überblick über die Einstellungen zur Tabellenprotokollierung in den Tabellen verschaffen, sondern Sie können auch mehrere Tabellen für die Protokollierung auswählen. Über den Button Protokollflag können Sie den Haken für die Tabellenprotokollierung für alle zuvor markierten Tabellen setzen. Den aktuellen Status der Tabellenprotokollierung für die Tabellen finden Sie in der Spalte Protokoll. Das Icon bedeutet, dass die Tabellenprotokollierung für die selektierte Tabelle ausgeschaltet ist.
Für das Pflegen von offenen Berechtigungsfeldern in Rollen benötigen Sie Informationen aus dem Systemtrace für Berechtigungen. Aber alles händisch übertragen? Nicht mit dieser neuen Funktion! Wenn Sie bisher PFCG-Rollen erstellt haben, mussten Sie alle offenen Berechtigungsfelder manuell pflegen. Die Information, welche Werte eingetragen werden können, können Sie aus dem Systemtrace für Berechtigungen lesen und manuell in der PFCG-Rolle pflegen. Dies kann allerdings sehr aufwendig sein, denn bisher hat hier eine Funktion gefehlt, die diese Werte in die PFCG-Rolle übernimmt.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Durch den Einsatz von Referenzbenutzern entstehen allerdings auch Risiken.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Das Menü kann nun final sortiert werden.