Fehleranalyse bei Berechtigungen (Teil 1)
Berechtigungsverwaltung in kundeneigenen Programmen koordinieren
Sollen Ihre Benutzer ihre eigenen Hintergrundjobs freigeben dürfen, benötigen Sie dafür die Berechtigung JOBACTION = RELE zum Objekt S_BTCH_JOB. In diesem Fall dürfen sie alle Jobs zu einem gewünschten Zeitpunkt starten lassen. In vielen Fällen dienen Hintergrundjobs dem fachlichen oder technischen Betrieb der Anwendungen; daher empfehlen wir, diese Hintergrundjobs unter einem technischen Benutzer vom Typ System einzuplanen (sehen Sie auch Tipp 6, »Die Auswirkungen der Benutzertypen auf die Passwortregeln beachten«). Der Vorteil dabei ist, dass die Berechtigungen genauer gesteuert werden können und Sie nicht das Risiko eingehen, dass ein Job nicht mehr läuft, sollte der Benutzer, unter dem er eingeplant war, einmal Ihr Unternehmen verlassen. Die Zuordnung zu einem Systembenutzer können Sie realisieren, indem Sie dem Benutzer, der den Job einplant, eine Berechtigung für das Objekt S_BTCH_NAM erteilen. Im Feld BTCUNAME wird der Name des Step- Benutzers eingetragen, d. h. des Benutzers, unter dem der Job laufen soll, z. B. MUSTERMANN.
Servicebenutzer werden für den anonymen Zugriff durch mehrere Personen verwendet, z. B. für Webservices. Auch dieser Benutzertyp ist dialogfähig, d. h., dass er sich über SAP GUI am SAP-System anmelden kann. Mit einem Servicebenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern greifen nicht. Mit der Einführung der Sicherheitsrichtlinien hat sich dieses Verhalten geändert. Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«). Das Passwort einen Servicebenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Welche Herausforderungen können nicht allein mithilfe von Berechtigungstools gelöst werden?
Vorab muss klargestellt werden, wobei es sich überhaupt um einen anerkannten „Notfall“ handelt und welche Szenarien die Aktivierung des hoch privilegierten Benutzers noch nicht rechtfertigen. Zudem darf er erst nach begründetem Antrag und nur im 4-Augen-Prinzip genehmigt und freigeschaltet werden. Nach Gebrauch ist er sofort wieder administrativ zu sperren.
Im Rahmen der Lösung SAP Access Control dient die Komponente Business Role Management der zentralen Rollenverwaltung. Sie bietet neben weiteren nützlichen Funktionen die Automatisierung der Massenpflege von Rollenableitungen. Hierzu müssen Sie zunächst die Organisationsmatrix im Customizing (Transaktion SPRO) hinterlegen, d. h., dass Sie im Bereich Details der Organisationsebenenzuordnung für die unterschiedlichen Organisationsfelder die Werte oder Wertebereiche eintragen. Zu diesem Zeitpunkt spezifizieren Sie allerdings noch nicht, welche Referenzrollen für diese Organisationswerte abgeleitet werden sollen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Hier sehen Sie in der Spalte Server Name, auf welchem Anwendungsserver der Benutzer angemeldet ist, bei dem das Berechtigungsproblem aufgetreten ist.
Da in SAP CRM aber die Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern über den Geschäftspartner, müssen Sie Anpassungen an den Auswertungswegen vornehmen,bevor Sie die Rollen indirekt vergeben können.