Generischer Zugriff auf Tabellen
Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen
Um Tabellenberechtigungen in der Transaktion PFCG zu definieren, reicht es nicht zwingend aus, wenn Sie im Rollenmenü die generischen Tabellenanzeigewerkzeuge, wie z. B. die Transaktionen SE16 oder SM30, angeben. Die Vorschlagswerte für diese Transaktionen sind sehr allgemein und sehen nur vor, die Berechtigungsobjekte S_TABU_DIS oder S_TABU_CLI zu verwenden. Explizite Werte müssen Sie in Abhängigkeit von den von Ihnen zur Berechtigung ausgewählten Tabellen eintragen. Möchten Sie den Zugriff auf die Tabellen explizit über das Berechtigungsobjekt S_TABU_NAM gewähren, können Sie für jeden Tabellenzugriff eine Parametertransaktion erstellen. Mithilfe einer Parametertransaktion kann man Tabellen z. B. über die Transaktion SE16 aufrufen, ohne den Tabellennamen im Selektionsbildschirm angeben zu müssen, da dieser übersprungen wird. Für die erstellte Parametertransaktion können Sie anschließend Vorschlagswerte pflegen.
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen. Sie pflegen sie einmalig in der Transaktion PFCG über den Button Orgebenen. Die Werte für jeden Eintrag dieses Feldes werden in den Berechtigungen der Rolle eingetragen. Dies bedeutet, dass Sie innerhalb einer Rolle immer nur die gleichen Werte für das Organisationsebenenfeld eintragen können. Ändern Sie die Werte der einzelnen Felder in den Berechtigungsobjekten unabhängig von der übergreifenden Pflege, erhalten Sie eine Warnmeldung, dass Sie dieses Feld nun nicht mehr über den Button Orgebenen verändern können und dass bei der Anpassung von abgeleiteten Rollen dieser individuelle Wert überschrieben wird. Daher raten wir Ihnen dringend davon ab, eine individuelle Pflege der Organisationsebenenfelder vorzunehmen. Wenn Sie sich an diesen Ratschlag halten, kann es, wie oben beschrieben, immer nur einen Wertebereich für ein Organisationsebenenfeld geben. So ist z. B. die Kombination aus der Anzeige aller Buchungskreise und der Änderung eines einzelnen Buchungskreises innerhalb einer Rolle nicht umzusetzen. Dies hat natürlich Auswirkungen, wenn Sie ein Feld in die Organisationsebene hochstufen möchten. Ein Feld, das bisher nicht als Organisationsebene fungierte, kann solche Einträge mit unterschiedlichen Werten innerhalb einer Rolle beinhalten. Diese Einträge müssen Sie bereinigen, bevor Sie ein Feld als Organisationsebene deklarieren. Zusätzlich wirkt sich die Definition eines Feldes als Organisationsebene auch auf die Berechtigungsvorschlagswerte des Profilgenerators aus.
Manueller Benutzerabgleich über die Transaktion PFUD
Beim Starten eines Reports mit der ABAP-Anweisung SUBMIT REPORT prüft das System das Berechtigungsobjekt S_PROGRAM, vorausgesetzt das Programm wurde einer Programmberechtigungsgruppe in Transaktion SE38 zugeordnet. Ist diese Zuordnung für Ihre Systemumgebung nicht ausreichend, können Sie mit dem Report RSCSAUTH Ihre eigene Gruppenzuordnung definieren. Sie müssen diese Zuordnung nach der Installation von Support Packages oder Upgrades prüfen und bei Bedarf eine Neuzuordnung der Reports vornehmen.
Als zweite Möglichkeit zur Automatisierung der Massenpflege von Rollenableitungen haben wir die Nutzung des Business Role Managements angesprochen. Auf dem Markt werden verschiedene Lösungen angeboten, die diese Funktionalität in gleicher bzw. ähnlicher Form anbieten. Manche dieser Lösungen nutzen das Ableitungskonzept nicht; dies hat den Vorteil, dass die Organisationsmatrix nicht nur auf Organisationsfelder beschränkt ist. Nachteilig ist bei dieser Variante aber die größere Abweichung von den Standardfunktionalitäten der PFCG-Rolle.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Konfiguration ist im SAP-Hinweis 837490 beschrieben.
Viele Neuerungen erleichtern Ihnen diese Arbeit und gestalten den ganzen Vorgang transparenter.