Security Automation bei HR Berechtigungen
SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Um eine Übersicht der im System gepflegten Organisationen und ihrer Struktur zu erhalten, empfehlen wir Ihnen, die Org.-Kopierer (im Lesemodus!) für die verschiedenen Organisationsfelder über die Transaktionen EC01 bis EC15 aufzurufen. Über das Customizing in der Transaktion SPRO lässt sich im Bereich Unternehmensstruktur sowohl die Definition der Organisationsfelder als auch deren jeweilige Zuordnung vornehmen und einsehen.
Die Anzeige der ausführbaren Transaktionen kann sich von den Transaktionen, für die der Benutzer Berechtigungen hat, unterscheiden, weil der Report RSUSR010 nur die tatsächlich ausführbaren Transaktionen anzeigt. Zu deren Ausführung ist nicht nur die Startberechtigung für die Transaktion über das Berechtigungsobjekt S_TCODE notwendig, sondern es müssen auch die folgenden Voraussetzungen vorliegen: Für bestimmte Transaktionen gibt es zusätzliche Berechtigungsprüfungen, die noch vor dem Start der Transaktion ausgeführt werden. Diese Berechtigungsobjekte sind dann zusätzlich in der Transaktion SE93 eingetragen (Tabelle TSTCA). Dies können z. B. Abfragen zu den Berechtigungsobjekten P_TCODE, Q_TCODE oder S_TABU_DIS sein. Der Transaktionscode muss Gültigkeit haben (d. h. in der Tabelle TSTC eingetragen sein) und darf nicht durch den Systemadministrator gesperrt sein (in der Transaktion SM01).
RS_ABAP_SOURCE_SCAN
Sie nutzen den Report RSUSR010, und Ihnen werden nicht alle dem Benutzer oder der Rolle zugeordneten Transaktionscodes angezeigt. Wie kann das sein? Mit den verschiedenen Reports des Benutzerinformationssystemss (SUIM) können Sie die Benutzer, Berechtigungen und Profile im SAP-System auswerten. Einer dieser Reports, der Report RSUSR010, zeigt Ihnen alle ausführbaren Transaktionen für einen Benutzer, eine Rolle, ein Profil oder eine Berechtigung an. Anwender des Reports sind häufig unsicher darüber, was dieser Report tatsächlich anzeigt, da die Ergebnisse nicht zwingend mit den berechtigten Transaktionen übereinstimmen. Daher stellen wir im Folgenden klar, welche Daten für diesen Report ausgewertet werden und wie es zu diesen Abweichungen kommen kann.
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Hierzu müssen Sie zunächst die Organisationsmatrix im Customizing (Transaktion SPRO) hinterlegen, d. h., dass Sie im Bereich Details der Organisationsebenenzuordnung für die unterschiedlichen Organisationsfelder die Werte oder Wertebereiche eintragen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Es ist nie zu spät, sein Berechtigungskonzept zu überdenken.