Fehlendes Knowhow
Anzahl der möglichen Profile über Referenzbenutzer erweitern
Die meisten kundeneigenen Programme sind Ergänzungen zu den Standardfunktionalitäten oder Abwandlungen derselben. Daher können Sie sich bei der Erstellung Ihrer eigenen Programme an den Berechtigungsprüfungen der Standardprogramme orientieren bzw. die dort genutzten Berechtigungsprüfungen wiederverwenden.
Die Zuweisung der Rollen beinhaltet keine Besonderheiten. Daher behandeln wir im Folgenden ausschließlich die Themen Zeitraumabgrenzung und Protokollierung. Die Zeitraumprüfung ist als zusätzlicher Filter implementiert, der nach den üblichen Berechtigungsprüfungen abläuft. Diese zusätzliche Filterlogik arbeitet folgendermaßen: Zunächst wird geprüft, ob der Benutzer in der Tabelle für Steuerprüfer eingetragen ist (Tabelle TPCUSERN, Konfiguration mit der Transaktion TPC2). Nur dann werden die weiteren Prüfschritte durchlaufen. Falls nicht, finden keine Zusatzprüfungen statt. Anschließend wird geprüft, ob das aufgerufene Programm in der Tabelle der zulässigen Programme enthalten ist (Tabelle TPCPROG, Konfiguration mit der Transaktion TPC4). Bei negativer Prüfung bricht das System mit einem Berechtigungsfehler ab. Die Zeitraumprüfung erfolgt gegen die gültigen Intervalle in der Tabelle TPCDATEN (Konfiguration mit der Transaktion TPC6). Die Zeitraumprüfung arbeitet dabei kontextabhängig: Neben den Belegen des Prüfungszeitraums werden auch ältere Belege mitangezeigt, wenn sie noch für den Prüfungszeitraum relevant sind, z. B. offene Posten, die zwar in früheren Jahren gebucht, aber erst im Prüfungszeitraum ausgeglichen wurden. Datensätze, die gemäß der beschriebenen Logik nicht in den gültigen Zeitraum fallen, werden herausgefiltert.
Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen
Eine solche Organisationsmatrix können Sie als Excel-Datei oder in ABAP anlegen; dies hängt davon ab, wie Sie die Daten einlesen möchten. Beim Einsatz einer gängigen Standardlösung (z. B. SAP Access Control) wird hierzu in der Regel ein entsprechender Pflege-View angeboten. Wir beschreiben zunächst, wie Sie die automatisierte Massenpflege in Form einer kundeneigenen Entwicklung bereitstellen können.
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Das System ermittelt die Menge (M1) aller Organisationsobjekte, die diesen Organisationseinheiten zugeordnet sind.
Dies können z. B. Abfragen zu den Berechtigungsobjekten P_TCODE, Q_TCODE oder S_TABU_DIS sein.