Berechtigungsrollen (Transaktion PFCG)
Bereits enthaltene Standardberechtigungen
Es ist sehr wichtig, dass kritische Berechtigungen generell einem Überwachungsprozess unterliegen, um gewährleisten zu können, dass diese in einem Produktivsystem sehr eingeschränkt bzw. gar nicht vergeben sind. Gerade gesetzeskritische Berechtigungen, wie z.B. Löschen aller Änderungsbelege, ABAP-Programme debuggen mit Replace, Löschen von Versionshistorien dürfen auf keinen Fall in einem Produktivsystem vergeben sein, da mit diesen Berechtigungen unter anderem gegen das Radierverbot verstoßen werden kann. Es ist daher sicherzustellen, dass diese Berechtigungen an keinen Benutzer, auch nicht an SAP®-Basisadministratoren, vergeben wurden.
Mit dem SAP-Hinweis 1720401 wird die Transaktion SU10 (Massenpflege von Benutzern) um die bislang fehlende Möglichkeit erweitert, Benutzer nach Anmeldedatum und Passwortänderungen zu selektieren. Mit dem Hinweis wird der Report RSUSR200 um diese Funktionen ergänzt. Dieser Report kann mithilfe der Transaktion SU10 und der entsprechenden Berechtigung auch direkt ausgeführt werden. Nach dem Einspielen des Hinweises wird die Transaktion SU10 um den Button Anmeldedaten erweitert.
Berechtigungsobjekte
Mit einem Klick auf den Button Anmeldedaten starten Sie den Report RSUSR200, und Sie gelangen in die Selektionsmaske. Mit diesem Report können Sie Benutzer nach Anmeldedaten selektieren. Außerdem können Sie ermitteln, ob ein Benutzer sein Initialkennwort geändert hat. Sie können mit dem Button (Variante holen) oder anhand der Tastenkombination (ª) + (F5) eine vordefinierte Variante aus dem Variantenkatalog auswählen.
Sie können auf die Berücksichtigung obsoleter Profildaten verzichten, indem Sie zusätzlich die Korrektur aus dem SAP-Hinweis 1819126 einspielen und anschließend den Customizing-Schalter REC_OBSOLETE_AUTHS in der Tabelle PRGN_CUST auf den Wert NO setzen. Diese Korrektur ist auch deshalb wichtig, weil sie Laufzeitprobleme bei der Freigabe von Rollentransporten, resultierend aus der Korrektur in SAP-Hinweis 1614407, behebt. Grundsätzlich sollten Sie die Freigabe von Massentransporten immer im Hintergrund ausführen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Alle externen Services mit ihren Vorschlagswerten können Sie in der Transaktion SU24 anschauen bzw. pflegen.
Viele Unternehmen haben zusätzlich die Anforderung, die Ereignisse des Security Audit Logs auch in anderen Anwendungen darzustellen.