SAP Lizenzoptimierung
Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
Bei den Berechtigungen auf Datenbankobjekte zeigen Ihnen die Details, welche Berechtigung der Benutzer beim Zugriff auf das Objekt hat. Im folgenden Beispiel enthält die Rolle MODELING die Berechtigung für die Nutzung des Objekts _SYS_BI mit der Einschränkung auf die Privilegien EXECUTE, SELECT, INSERT, UPDATE und DELETE. Zusätzlich ist es einem Benutzer – dem diese Rolle zugewiesen ist – nicht erlaubt, diese Privilegien an andere Benutzer weiterzureichen (Grantable to Others). Unsere Beispielrolle enthält außerdem Analytical Privileges und Package Privileges, auf die hier nicht näher eingegangen wird.
Beratungshäuser passen die Rollen und Berechtigungen im Nachgang an. Das bedeutet meist „das Beste daraus zu machen“ und Ad-Hoc-Anpassungen vorzunehmen – also nicht, die Ursache zu beheben und von Grund auf aufzuräumen. Unternehmen sollten sich daher fragen: Wie lässt sich das vermeiden? Welche Voraussetzungen muss ein DSGVO-konformes Berechtigungskonzept erfüllen? Wie können wir aussagekräftig bezüglich der Berechtigungen bestimmter Personen im System und dem Zweck der Berechtigungen bleiben?
Kritikalität
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
Um eine Übersicht der im System gepflegten Organisationen und ihrer Struktur zu erhalten, empfehlen wir Ihnen, die Org.-Kopierer (im Lesemodus!) für die verschiedenen Organisationsfelder über die Transaktionen EC01 bis EC15 aufzurufen. Über das Customizing in der Transaktion SPRO lässt sich im Bereich Unternehmensstruktur sowohl die Definition der Organisationsfelder als auch deren jeweilige Zuordnung vornehmen und einsehen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Legen Sie eine Nachricht an, die dem Benutzer bei fehlgeschlagenen Berechtigungsprüfungen angezeigt werden soll.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Haben Sie die Einzelrollen mit dem richtigen Rollenmenü einmal erstellt, können Sie diese einer Sammelrolle zuordnen.