Herausforderungen im Berechtigungsmanagement
Anwendungssuche in der Transaktion SAIS_SEARCH_APPL verwenden
Zahlen/Mahnen: Die Steuerung des Zahlungs- bzw. Mahnlaufs erfolgt ausschließlich auf der Basis von Informationen der Erfassungssicht (insbesondere Tabelle BSEG). Bei Debitoren- und Kreditorenbuchungen ist das Profit-Center im Standard nicht in den SAP-Erfassungsmasken enthalten und daher auch nicht in den entsprechenden BSEG-Belegzeilen verfügbar. Da Zahlen und Mahnen üblicherweise zentral gesteuerte Prozesse sind, dürfte dies in der Praxis kein Problem darstellen.
Berechtigungen für bestimmte Funktionen zu vergeben, die in SAP CRM über externe Services aufgerufen werden, erfordert einige Vorarbeiten. Anwender, die in SAP CRM arbeiten, verwenden den SAP CRM Web Client, um CRM-Funktionen aufzurufen. Damit dies reibungslos funktioniert, müssen Sie dem Anwender eine CRM-Business-Rolle zuweisen, die alle für den Nutzer notwendigen CRM-Funktionen zur Verfügung stellt. Wenn die Rolle nur für den Zugriff auf bestimmte externe Services, unabhängig vom Customizing, berechtigen soll (bzw. nur für die im Customizing angegebenen externen Services), wird es etwas kniffliger. Alle anklickbaren Elemente im SAP CRM Web Client, wie Bereichsstartseiten oder logische Links werden durch CRM-UI-Komponenten dargestellt. Diese UI-Komponenten sind, technisch gesehen, BSP-Anwendungen. Durch einen Klick auf eine solche Komponente erhält der Anwender Zugriff auf bestimmte CRM-Funktionen. Diese UI-Komponenten werden in den Rollen als externe Services dargestellt. Der Zugriff auf diese UI-Komponenten muss über PFCG-Rollen explizit erlaubt werden, ähnlich wie bei der Berechtigung für den Zugriff auf bestimmte Transaktionen.
Alten Stand lesen und mit den neuen Daten abgleichen
Bei den Berechtigungen auf Datenbankobjekte zeigen Ihnen die Details, welche Berechtigung der Benutzer beim Zugriff auf das Objekt hat. Im folgenden Beispiel enthält die Rolle MODELING die Berechtigung für die Nutzung des Objekts _SYS_BI mit der Einschränkung auf die Privilegien EXECUTE, SELECT, INSERT, UPDATE und DELETE. Zusätzlich ist es einem Benutzer – dem diese Rolle zugewiesen ist – nicht erlaubt, diese Privilegien an andere Benutzer weiterzureichen (Grantable to Others). Unsere Beispielrolle enthält außerdem Analytical Privileges und Package Privileges, auf die hier nicht näher eingegangen wird.
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
In Ausnahme- und Notfallsituationen sollen SAP-Benutzern schnell und zeitlich befristet erweiterte Berechtigungen zugewiesen werden.
Nehmen Sie einmal an, Sie sollen Zugriffe für bestimmte Benutzer oder Revisoren auf bestimmte Daten erlauben.