Transaktion PFUD regelmäßig einplanen
Systemsicherheit
Die Lösung der ersten beiden genannten Probleme erhalten Sie durch das Einspielen der Korrektur aus dem SAP-Hinweis 1614407. Die Profildaten werden nicht mehr zum Zeitpunkt der Rollenaufzeichnung, sondern erst bei der Freigabe des Transportauftrags der Stückliste hinzugefügt. Auf diese Weise ist die Übereinstimmung zwischen den Berechtigungsdaten der Rolle und den dazugehörigen Profildaten gewährleistet. Der freigegebene Transportauftrag enthält ebenfalls die komplette Änderungshistorie der Profile und Berechtigungen, sodass auch die Löschung obsoleter Daten in den Zielsystemen möglich ist.
Arbeiten Sie auch in einer komplexen Systemlandschaft, in der die Rollen dezentral gepflegt werden? Dann kann es durch den Transport von Profilen aus unterschiedlichen Systemen in ein Zielsystem zu Inkonsistenzen kommen. Wir zeigen Ihnen, wie Sie das verhindern. Bei dezentraler Pflege der Berechtigungsrollen, d. h. einer Pflege der Rollen in unterschiedlichen Systemen bzw. Mandanten, besteht das Risiko, dass sich die Nummernkreise für die Generierung von Berechtigungsprofilen überlappen. Sie können dann zu unterschiedlichen Rollen in unterschiedlichen Mandanten Profile mit gleichem Namen generieren. Sobald Sie diese gleichnamigen Berechtigungsprofile in ein gemeinsames Zielsystem transportieren, wird das bisherige Profil durch das neu importierte Profil überschrieben, und es entstehen Inkonsistenzen. In der Konsequenz kann es passieren, dass Sie beispielsweise einer ERP-Berechtigungsrolle ein SCMBerechtigungsprofil zuweisen. Dies kann dazu führen, dass ein Benutzer, dem die ERP-Rolle zugewiesen ist, nicht die benötigten oder sogar zu viele Berechtigungen erhält. Außerdem haben Sie ein Problem, falls Sie über das Berechtigungsprofil das Quellsystem und den Mandanten ermitteln wollen, in dem dieses Profil generiert wurde. Dies ist nicht möglich, wenn das erste und dritte Zeichen der SAP-System-ID (SID), und der Nummernkreis für die Generierung des Berechtigungsprofils übereinstimmen.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Bestimmte SAP-Berechtigungen, darunter solche zur Tabellenpflege (S_TABU_*) bedürfen aus Gründen des Datenschutzes besonderer Aufmerksamkeit. Hierbei spricht man von so genannten Kritischen Berechtigungen. Im Zuge der Berechtigungsplanung sollte ein Unternehmen festlegen, welche Berechtigungen als kritisch anzusehen sind, welche Rollen welche kritischen Berechtigungen bzw. Werte für kritische Berechtigungsfelder erhalten dürfen etc. Das Bundesamt für Sicherheit in der Informationstechnik hat detaillierte Hinweise zur Definition kritischer Berechtigungen zusammengestellt.
Vorschlagswerte werden in der Transaktion SU24 gepflegt und über die Transaktion SU22 ausgeliefert. Lesen Sie hier mehr zu den Unterschieden zwischen diesen beiden Transaktionen. Das Pflegen von Vorschlagswerten über die Transaktion SU24 ist sinnvoll, wenn kundeneigene Anforderungen wiedergespiegelt werden sollen bzw. die von SAP ausgelieferten Werte nicht mit den Kundenanforderungen übereinstimmen (siehe Tipp 37, »Bei der Pflege von Vorschlagswerten sinnvoll vorgehen«). Diese Vorschlagswerte bilden die Grundlage für die Berechtigungsdaten zur Rollenpflege in der Transaktion PFCG. Wie Sie wissen, befinden sich die von SAP ausgelieferten Vorschlagswerte in der Transaktion SU22. Diese werden bei Neuinstallationen oder Upgrades sowie in Support Packages oder SAP-Hinweisen ausgeliefert. Wo liegt nun der Unterschied zwischen den Transaktionen, und wie werden diese richtig verwendet?
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Dieser Report erstellt auf der Basis der Anwendungsnamen eine detaillierte Transportstückliste.