Die Vergabe von kritischen Berechtigungen und Handhabung von kritischen Benutzern
Was sind SAP Berechtigungen?
Grundsätzlich sollten Sie beachten, dass in der Benutzer- und Berechtigungsverwaltung nicht alle relevanten Änderungsbelege eines Systems vorhanden sind. In der Regel erfolgt die Berechtigungsadministration im Entwicklungssystem; daher entstehen die relevanten Änderungsbelege der Berechtigungsverwaltung in den Entwicklungssystemen. Im Gegensatz dazu finden Sie die relevanten Änderungsbelege der Benutzerverwaltung in den Produktivsystemen; daher sollten Sie beachten, dass beim Import von Rollen und Profilen in den Produktivsystemen keine Änderungsbelege geschrieben werden. Es entstehen nur Transportprotokolle, die festhalten, dass Änderungen an den Objekten vorgenommen wurden. Ihre Änderungsbelege der Berechtigungsverwaltung auf den Entwicklungssystemen sind aus diesem Grund revisionsrelevant und sollten entsprechend abgesichert werden.
Spielen Sie den SAP-Hinweis 1171185 in Ihr ZBV-System ein. Mit diesem Hinweis wird der Report RSUSR_SYSINFO_LICENSE ausgeliefert, der die Nutzertypen aus den an die ZBV angeschlossenen Systemen abruft und anzeigt. Zusätzlich muss allerdings der SAP-Hinweis 1307693, der neue Funktionalitäten der Lizenzvermessung enthält, auf den an die ZBV angeschlossenen Tochtersystemen installiert sein. Ergänzend müssen Sie gegebenenfalls die Berechtigungen der Benutzer in den RFC-Verbindungen zu den Tochtersystemen der ZBV um die Berechtigung zum Objekt S_RFC mit den Funktionsgruppen SUNI und SLIM_REMOTE_USERTYPES erweitern. Sollte der SAPHinweis 1307693 auf einem Tochtersystem nicht installiert oder die Berechtigungen des RFC-Benutzers nicht entsprechend angepasst worden sein, gibt der Report RSUSR_SYSINFO_LICENSE im Anwendungs-Log (Transaktion SLG1) eine entsprechende Warnung aus.
Verbesserungen der Rollentransportfunktion nutzen
Um das Zeitstempelverfahren optimal zu nutzen, sollten Sie die Zeitstempeltabellen bereits vor dem Upgrade im Altsystem füllen. Implementieren Sie dafür SAP-Hinweis 1599128. Mit dieser Korrektur wird der Report SU25_INITIALIZE_TSTMP ausgeliefert, der es ermöglicht, die aktuellen Zeitstempel Ihrer Daten aus der Transaktion SU22 in die jeweiligen Zeitstempeltabellen USOBT_TSTMP und USOBX_TSTMP zu schreiben. Nach dem Upgrade haben Sie für Ihre SU22-Daten ein Referenzdatum, das Sie zum Vergleich mit den für das neue Release ausgelieferten SAP-Vorschlagsdaten heranziehen können. Durch das Setzen der Zeitstempel im Altrelease reduziert sich der Aufwand zum Ausführen von Schritt 2a, da nur die Anwendungen abgeglichen werden, deren SU22-Daten verändert wurden. Haben Sie die Zeitstempeltabellen im Altrelease nicht gefüllt, sind die Tabellen in Ihrem neuen Release leer. In diesem Fall wird in Schritt 2a der Inhalt der SAP-Vorschlagswerte, unabhängig von einem Zeitstempel, mit den Kundenvorschlagswerten abgeglichen.
Welche Anwendungen verfügen über ähnliche oder gleiche Funktionen? Verwenden Sie die Anwendungssuche, um dies herauszufinden. Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben. Ein Revisor darf sich in der Regel Inhalte definierter Tabellen anschauen; um dem betreffenden Revisor allerdings nicht die Berechtigung für die Anwendung der generischen Tabellenwerkzeuge, wie z. B. der Transaktionen SE16, SM30 usw., zu erteilen, müssen Sie prüfen, ob die relevanten Tabellen eventuell über andere Transaktionen bereitgestellt werden. Die eigentliche Funktion der alternativen Anwendung soll dabei aber nicht genutzt werden.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Aber alles händisch übertragen? Nicht mit dieser neuen Funktion! Wenn Sie bisher PFCG-Rollen erstellt haben, mussten Sie alle offenen Berechtigungsfelder manuell pflegen.
Das heißt, dass, abhängig von Ihrem Basisrelease, entweder die neuen Hash-Algorithmen bei der Speicherung der Passwörter nicht verwendet werden, oder es werden zusätzliche veraltete Hash-Werte der Passwörter gespeichert.