Wissen, warum welcher Nutzer welche SAP-Berechtigung hat
Pflegestatus
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen. Sie pflegen sie einmalig in der Transaktion PFCG über den Button Orgebenen. Die Werte für jeden Eintrag dieses Feldes werden in den Berechtigungen der Rolle eingetragen. Dies bedeutet, dass Sie innerhalb einer Rolle immer nur die gleichen Werte für das Organisationsebenenfeld eintragen können. Ändern Sie die Werte der einzelnen Felder in den Berechtigungsobjekten unabhängig von der übergreifenden Pflege, erhalten Sie eine Warnmeldung, dass Sie dieses Feld nun nicht mehr über den Button Orgebenen verändern können und dass bei der Anpassung von abgeleiteten Rollen dieser individuelle Wert überschrieben wird. Daher raten wir Ihnen dringend davon ab, eine individuelle Pflege der Organisationsebenenfelder vorzunehmen. Wenn Sie sich an diesen Ratschlag halten, kann es, wie oben beschrieben, immer nur einen Wertebereich für ein Organisationsebenenfeld geben. So ist z. B. die Kombination aus der Anzeige aller Buchungskreise und der Änderung eines einzelnen Buchungskreises innerhalb einer Rolle nicht umzusetzen. Dies hat natürlich Auswirkungen, wenn Sie ein Feld in die Organisationsebene hochstufen möchten. Ein Feld, das bisher nicht als Organisationsebene fungierte, kann solche Einträge mit unterschiedlichen Werten innerhalb einer Rolle beinhalten. Diese Einträge müssen Sie bereinigen, bevor Sie ein Feld als Organisationsebene deklarieren. Zusätzlich wirkt sich die Definition eines Feldes als Organisationsebene auch auf die Berechtigungsvorschlagswerte des Profilgenerators aus.
Im Bereich Weitere Knotendetails können Sie weitere Einstellungen vornehmen. Mit der Aktivierung der Einstellung Default Page wird z. B. die ausgewählte Transaktion (in unserem Beispiel MM03) beim Abruf des übergeordneten Ordners (in unserem Beispiel des Ordners Materialstamm) zuerst aufgerufen. Die Einstellung Unsichtbar bedeutet, dass die Transaktion nicht im Menü sichtbar ist, aber über einen Button aufgerufen werden kann.
Abfrage der Daten aus dem Active Directory
Die Änderungen, die durch das Einspielen des Hinweises bzw. durch ein Upgrade auf die genannten Support Packages entstehen, betreffen nicht nur das Profil SAP_ALL. Es bleibt zwar grundsätzlich weiterhin möglich, die Gesamtberechtigung für die Felder RFC_SYSID, RFC_CLIENT und RFC_USER zu vergeben; dies kann jedoch nur noch manuell in der Transaktion PFCG über die Dialogpflege der Felder erfolgen. In diesem Fall öffnet sich ein weiteres Dialogfenster, in dem auf das Sicherheitsrisiko hingewiesen wird. Dieses Fenster müssen Sie bestätigen. Aus dieser Umstellung des Verhaltens des Profils SAP_ALL folgt, dass sämtliche automatischen Methoden für die Übernahme der Gesamtberechtigung in den Feldern des Berechtigungsobjekts S_RFCACL nicht mehr zur Verfügung stehen.
Weitere Projekteinstellungen sollten Sie auf den Registerkarten Umfang, Projektsichten, Projektmitarbeiter, Statuswerte, Stichwörter Dokumentationsarten, Transportaufträge und Crossreferenz definieren. Nachdem alle Eingaben getätigt worden sind, müssen Sie das Projekt sichern. Vergessen Sie dabei nicht, das Projekt zu generieren. Mithilfe der Transaktion SPRO können Sie das neu angelegte Customizing-Projekt bearbeiten. Beim ersten Aufruf wird das neu angelegte Projekt noch nicht angezeigt. Klicken Sie zur Anzeige auf den Button Aufnehmen in den Arbeitsvorrat ( ), wählen Sie Ihr Projekt aus, und bestätigen Sie schließlich Ihre Auswahl. Nachdem Sie das Projekt erfolgreich erstellt, generiert oder bearbeitet haben, führen Sie zum Anlegen einer passenden Customizing-Rolle für das Projekt die Transaktion PFCG aus. Wählen Sie einen Namen für die Rolle, und klicken Sie anschließend auf Einzelrolle anlegen. Nun öffnen Sie die Registerkarte Menü und folgen dem Pfad: Hilfsmittel > Customizing Berechtigungen > Hinzufügen > Einfügen von Customizing Aktivitäten. Wählen Sie dann zwischen IMG Projekt und Sicht eines IMG Projektes. Alle Transaktionscodes werden aus dem IMG-Projekt in das Menü der Rolle aufgenommen. Beachten Sie dabei, dass es sich um eine sehr große Anzahl an Transaktionen handeln kann und der Vorgang daher länger andauern kann. Die Ausprägung der Berechtigungsobjekte pflegen Sie anschließend wie gewohnt über die Registerkarte Berechtigungen. Sichern und generieren Sie die Rolle.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Folgende Aktionen unterliegen Berechtigungsprüfungen, die noch vor dem Start eines Programms oder der Tabellenpflege stattfinden und von SAP-Anwendungen nicht umgangen werden können: Start von Transaktionen (Berechtigungsobjekt S_TCODE) - Start von Web-Dynpro-Anwendungen (Berechtigungsobjekt S_START) - Start von Reports (Berechtigungsobjekt S_PROGRAM).
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Cybersecurity ist ein weites Feld.