Verwendung von Vorschlagswerten und Vorgehen beim Upgrade
SAP S/4HANA® Launch Pack für Berechtigungen
Ein weiteres wesentliches Berechtigungsobjekt für die Hintergrundverarbeitung ist das Objekt S_BTCH_NAM, das einem Benutzer ermöglicht, die Steps eines Jobs unter einem anderen Benutzer laufen zu lassen (vgl. SM36 -> Step editieren). Hier kann im Benutzerfeld eines Steps ein anderer Name als der eigene eingetragen werden. Voraussetzung ist, dass der Jobeinplaner eine Berechtigung zum Objekt S_BTCH_NAM besitzt, die den Namen des Stepusers enthält, und dass der Stepbenutzer im gleichen Mandanten existiert wie der Jobeinplaner selbst. Ab 4.6C: Der Stepbenutzer muss vom Typ Dialog, Service, System oder Kommunikation sein.
Analog unterstützt SAP Identity Management ab Version 7.2 SP 3 die Anlage von HANA-Benutzern sowie die Zuweisung von Rollen. Auch über das Identity Management können Sie den Mehrwert der Business-Rollen für die Anlage eines Benutzers mit Rollenzuweisung im ABAP-System sowie in der HANA-Datenbank nutzen.
Transaktionale und Native oder analytische Kacheln in der FIORI Umgebung
Sollten Sie keine Referenzbenutzer einsetzen wollen, können Sie das Feld Referenzbenutzer für zusätzliche Rechte über eine Standardvariante zur Transaktion SU01 ausblenden. Die hierzu notwendigen Schritte werden im SAP-Hinweis 330067 beschrieben.
Das Rollenmenü der PFCG-Rolle besteht nun aus Ordnern, die alle logischen Links innerhalb einer Bereichsstartseite repräsentieren, und aus externen Services, die die logischen Links sowie die Bereichsstartseiten an sich repräsentieren. Das heißt, dass jeder im Rollenmenü aufgelistete externe Service für eine Bereichsstartseite bzw. einen logischen Link berechtigt. Wird ein solcher externer Service aus dem Rollenmenü entfernt und die PFCG-Rolle generiert, hat der Anwender dieser PFCG-Rolle keine Berechtigungen zum Ansehen dieses externen Services (siehe Abbildung nächste Seite). Sie werden doppelte, vielleicht sogar dreifache Einträge von externen Services finden. Diese sind hauptsächlich in den Ordnern der Homepage und unter GENERIC_OP_LINKS zu finden. Sie können sie ohne Bedenken löschen, da ein externer Service für eine Berechtigung nur einmal im Rollenmenü erscheinen muss. Zur besseren Übersicht ist es darüber hinaus sinnvoll, die externen Services bzw. Ordner so umzubenennen, wie diese auch im SAP CRM Web Client dargestellt sind.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Das Tool gibt Empfehlungen, wie der Quelltext geändert werden kann, um die Schwachstellen zu beseitigen.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Erst danach kann der neue Prozess sinnvoll in das Berechtigungskonzept eingefügt werden.