Berechtigungsprüfungen
Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
Stellen Sie zunächst Ihre Aufbauorganisation dar. Bilden Sie (gegebenenfalls zunächst nur auf der generischen Ebene von Applikationen wie MM oder CO) über die Aufbauorganisation hinweg die betriebswirtschaftlichen Prozesse ab. Ermitteln Sie auf dieser Grundlage, welche organisatorischen Merkmale (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) welche Teile der Aufbauorganisation repräsentieren. Definieren Sie (gegebenenfalls zunächst nur im Rechnungswesen detailliert, ansonsten auf der Ebene von Applikationen), welche Funktionen zwingend getrennt bleiben müssen. Sofern Sie ein laufendes System haben, werten Sie die Verwendung der letzten 13 Monate aus (siehe Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«). Setzen Sie ein neues System auf, und sorgen Sie am besten dafür, dass die Prozesse immer bis hin zur Ebene der Transaktionen dokumentiert sind. In solch einem Fall ist es auch am besten, unmittelbar bei der Prozessbeschreibung die betriebswirtschaftlichen Risiken zu erheben.
Bei Zugriffen von Prüferbenutzern (aus der Tabelle TPCUSERN) werden im Anwendungs-Log die Selektionsparameter der aufgerufenen Transaktion protokolliert und können mit dem Report CA_TAXLOG ausgewertet werden. Im Beispiel wurde hier die Einzelpostenliste für das Kreditorenkonto 100000 aufgerufen.
Sicherheit innerhalb des Entwicklungssystems
Transaktion SE63 ermöglicht Ihnen die Übersetzung verschiedenster Textbausteine im SAP-System. Die für die Berechtigungsrollen relevanten Texte finden Sie über den Menüpfad Übersetzung > ABAP-Objekte > Kurztexte. Im daraufhin erscheinenden Pop-up-Fenster Objekttypauswahl wählen Sie den Knoten S3 ABAP-Texte aus und hier den Unterpunkt ACGR Rollen. Im Folgebildschirm können Sie nun die Rolle auswählen. Dabei müssen Sie beachten, dass als Präfix der Mandant vom System erwartet wird, und die Im darauffolgenden Schritt können Sie den Textbaustein in der Zielsprache pflegen. Dabei entspricht die Variable AGR_TEXTS 00002 der Beschreibung der Rolle und die Variable AGR_HIERT_TEXT 00001 der Beschreibung der darin enthaltenen Transaktionen. Nachdem Sie den Eintrag gespeichert haben, ist die Beschreibung der Rolle auch in der Zielsprache, in unserem Beispiel in der Anmeldesprache Englisch gepflegt und nach der Anmeldung sichtbar. Quellsprache im entsprechenden Feld korrekt auswählen.
Um Änderungen in der Tabellenprotokollierung vorzunehmen, sind die gleichen Berechtigungen wie zur Einzelanpassung über die Transaktion SE13 erforderlich, Sie benötigen also die entsprechenden Berechtigungen für alle zu ändernden Tabellen. Die Änderungen werden immer in einen Transportauftrag geschrieben. Mit dem Report RDDPRCHK können Sie die Tabellenprotokollierung zwar für mehrere Tabellen einschalten; allerdings ist es nicht möglich, die Protokollierung auch bei mehreren Tabellen wieder zu deaktivieren. Dies geht weiterhin nur über die Transaktion SE13.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Dies kann allerdings sehr aufwendig sein, denn bisher hat hier eine Funktion gefehlt, die diese Werte in die PFCG-Rolle übernimmt.
Wir empfehlen Ihnen, alle Sicherheitshinweise der Priorität very high (1) und high (2) direkt zu implementieren.