Umsetzung der Berechtigung
Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Durch das Einspielen des SAP-Hinweises 1723881 lösen Sie das dritte der genannten Probleme, weil die Aufzeichnung derselben Rolle auf verschiedenen Transportaufträgen verboten wird. Um diese Änderung des Systemverhaltens zu aktivieren, müssen Sie den Customizing-Schalter CLIENT_SET_FOR_ROLES in der Tabelle PRGN_CUST auf den Wert YES setzen. Damit wird gleichzeitig die Berücksichtigung der Einstellung in der Transaktion SCC4 für die Änderung und Aufzeichnung mandantenspezifischer Customizing- Objekte (»Mandantenänderbarkeit«) für die Rollenpflege eingeschaltet.
Bitte beachten Sie in diesem Fall, dass Sie die Tabellenberechtigungsgruppe SS gegebenenfalls durch andere Tabellenberechtigungsgruppen ersetzen müssen. Dies ist erforderlich, wenn Sie bei der Pflege der Tabellenberechtigungsgruppen z. B. für die Tabelle T000 eine andere Tabellenberechtigungsgruppe eingetragen haben.
Berechtigungstools – Vorteile und Grenzen
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
Ob ein Benutzer berechtigt ist, wird aus Performancegründen vom SAP-Kernel im Berechtigungspuffer geprüft. Es werden jedoch nur Profile und keine Rollen in den Berechtigungspuffer geladen. Durch den Aufruf der Transaktion SU56 gelangen Sie zur Analyse des Berechtigungspuffers, wobei Ihnen zunächst der Berechtigungspuffer Ihres eigenen Benutzers angezeigt wird. Über den Menüpfad Berechtigungswerte "Anderer Benutzer/Berechtigungsobjekt" (Taste (F5)) erscheint ein Pop-up-Fenster zum Wechseln des Benutzers oder des Berechtigungsobjekts. Hier können Sie im entsprechenden Feld den Benutzer auswählen, den Sie analysieren möchten. Über den Menüpfad Berechtigungswerte > Benutzerpuffer zurücksetzen können Sie den Berechtigungspuffer des angezeigten Benutzers neu laden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert.