Auswertungen von Berechtigungen und Benutzerstammsätzen
Schützen Sie nachhaltig Ihre Datenschätze mit dem richtigen Berechtigungsmanagement
Wenn Sie möchten, dass Ihre Eigenentwicklungen, genau wie der Standard, Ihren Sicherheitsanforderungen entsprechen, müssen Sie den kundeneigenen Tabellen Tabellenberechtigungsgruppen zuordnen. Kundeneigene Tabellen, oder auch SAP-Standardtabellen, die Sie besonders schützen möchten, gehören in separate, gegebenenfalls kundeneigene Tabellenberechtigungsgruppen. Sollen für die Systemadministration oder bestimmte Anwendungen umfangreiche Berechtigungen erteilt werden, erfolgt dies mit dem Berechtigungsobjekt S_TABU_DIS für die Tabellenberechtigungsgruppe. Da vielen Standardtabellen keine Tabellenberechtigungsgruppe zugeordnet ist und diese damit automatisch in der Tabellenberechtigungsgruppe &NC& landen, sollten Sie den Zugriff auf diese Tabellenberechtigungsgruppe einschränken. Bestimmte Tabellen wie T000 (Mandanten) befinden sich z. B. in einer großen Tabellenberechtigungsgruppe (SS: RS: Steuerung SAP); daher kann man den Zugriff über eine eigene Tabellenberechtigungsgruppe besser einschränken. Auch kundeneigene Tabellen sollten Sie immer einer Tabellenberechtigungsgruppe zuordnen, da ihnen ansonsten ebenfalls die Tabellenberechtigungsgruppe &NC& zugeordnet wird. Im Folgenden erklären wir Ihnen daher, wie Sie Tabellenberechtigungsgruppen anlegen und Tabellen zuordnen können.
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
Das SAP Berechtigungskonzept sichert ab, dass auf Transaktionen, Programme und Services in SAP-Systemen kein unberechtigter Zugriff stattfinden kann. Um im SAP-System betriebswirtschaftliche Objekte aufzurufen oder Transaktionen durchzuführen, benötigt ein Anwender deshalb entsprechende Berechtigungen. Beim Aufruf prüft die über eine Transaktion gestartete Applikation, ob die Berechtigung vorliegt und der Nutzer die ausgewählte Operation durchführen darf.
Nach dem Klick auf diesen Button sehen Sie den aktuellen ZBV-Status im gleichnamigen Bereich und können das ausgewählte System über den Button Ausführen aus der ZBV herauslösen. Für dieses Tochtersystem ist die ZBV nun nicht mehr aktiv. Um Inkonsistenzen in den Benutzerstammsätzen zu vermeiden, müssen Sie die Benutzer nach der Aktivierung der ZBV im Tochtersystem abgleichen. Dies können Sie in der Transaktion SCUG durchführen und dort Benutzerdaten aus dem Tochtersystem in das Zentralsystem übernehmen. Informationen zu den technischen Voraussetzungen finden Sie im SAP-Hinweis 962457. Um die ZBV komplett auszuschalten, nutzen Sie den Report RSDELCUA bzw. den Button Löschen in der Transaktion SCUA. Über diese Funktion haben Sie die Möglichkeit, entweder nur bestimmte Tochtersysteme aus der ZBV oder die komplette ZBV zu löschen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen.
Zur Übernahme dieser Werte wählen Sie in der Auswahlliste Vorschlagsstatus die Option Y Ja aus und markieren im rechten Bereich des Fensters die gewünschten Werte.