Grundlagen SAP Berechtigungen inklusive Fiori - Online Training
Ziel eines Berechtigungskonzepts
Damit Sie künftig Ihre kundeneigenen Tabellen besser wiederfinden können, prüfen Sie in Ihrer Entwicklungsrichtlinie, ob die Speicherung dort ausreichend beschrieben ist. Wenn die Entwicklungsrichtlinien nicht vollständig sind, sollten Sie diese ergänzen. Beispielinhalte für eine Entwicklungsrichtlinie finden Sie auf der Webseite der DSAG unter Leitfäden. Suchen Sie nun unter https://www.dsag.de/go/leitfaeden nach »Best Practice Leitfaden Development«.
Die erste Anforderung nach zusätzlichen Prüfungen bei der Durchführung von Belegbuchungen können Sie mithilfe der Belegvalidierung umsetzen. In diesem Beispiel gehen wir davon aus, dass der Beleg über eine Schnittstelle gebucht wird und Sie Berechtigungen für kundeneigene Berechtigungsobjekte und/oder bestimmte Datenkonstellationen prüfen möchten. Für die Belegvalidierung gibt es unterschiedliche Zeitpunkte. Der komplette Beleg kann immer validiert werden, stehen Ihnen nur die Informationen aus Belegkopf (Zeitpunkt 1) oder Belegposition (Zeitpunkt 2) zur Verfügung, kann dies abhängig vom Szenario auch ausreichend sein. In solchen Fällen müssen Sie die Validierung unter den entsprechenden Zeitpunkten anlegen. Bevor Sie einen User-Exit in einer Validierung ausprägen können, sind einige Vorbereitungen zu treffen.
Berechtigungskonzept
Mit der Transaktion SU53 kann man sofort für einen einzelnen SAP-Benutzer die fehlenden Berechtigungen anzeigen lassen. Das ist dann von Vorteil, wenn einzelne Hintergrundverarbeitungen oder Tätigkeiten nicht korrekt ausgeführt werden und die Vermutung nahe liegt, dass die Ursache an fehlenden Berechtigungen liegt. So kann man die Fehlerursache schneller eingrenzen.
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Für einen automatischen Abgleich des Sicherheitsstands Ihrer Systeme sollten Sie diese Berechnung ebenfalls als Hintergrundjob einplanen.
Wir empfehlen Ihnen, vor der Ausführung der Transaktion SU25 den Korrekturreport SU24_AUTO_REPAIR auszuführen (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«).