Hintergrundverarbeitung
Dialogbenutzer
Versionen sind die Änderungsbelege innerhalb der Entwicklungsumgebung, beispielsweise für Änderungen an ABAP-Quelltexten oder den technischen Eigenschaften von Tabellen. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Eine Ausnahme von dieser Regel gibt es allerdings: Auch wenn andere Authentifizierungsverfahren genutzt werden, prüft das System, ob der Benutzer dazu in der Lage ist, sich mit einem Passwort anzumelden. Wenn dies der Fall ist und das Passwort gerade geändert werden muss, wird diese Änderung vom Benutzer abgefragt. Diese Abfrage können Sie aber auch mithilfe des Profilparameters login/password_change_for_SSO ausschalten.
Berechtigungstraces anwendungsserverübergreifend auswerten
Excel-basierte Werkzeuge kennen typischerweise die releasespezifischen Vorschlagswerte nicht (sie arbeiten oft ganz ohne die systeminterne Vorschlagswertemechanik, weil sie die Transaktion PFCG ja gar nicht verwenden). Damit ist ein Upgrade von Rollen mit SAP-Standardwerkzeugen, wie der Transaktion SU25, ebenfalls nicht möglich. Auch damit vergrößert sich die Abhängigkeit vom externen Werkzeug, und das Berechtigungswesen entfernt sich weiter vom SAP-Standard und den von SAP empfohlenen Best Practices bei der Rollenpflege.
Nach erfolgreicher Implementierung Ihrer Berechtigungsprüfung muss das neue Berechtigungsobjekt für Ihre Anwendung in der Transaktion SU24 gepflegt werden. Wird Ihre Lösung in andere Systemlandschaften verteilt, erfolgt die Pflege der Berechtigungsvorschläge in der Transaktion SU22. Mit der Berechtigungsvorschlagswertpflege gehen Sie außerdem auf Nummer sicher, dass das neue Berechtigungsobjekt bei einer Rollenanlage nicht vergessen wird, da es nun beim Aufruf der Anwendung über das Rollenmenü automatisch in die PFCG-Rolle geladen wird. Im letzten Schritt kann der Berechtigungsadministrator die PFCG-Rolle erstellen bzw. muss die bestehenden PFCG-Rollen neu abmischen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Ergänzend müssen Sie gegebenenfalls die Berechtigungen der Benutzer in den RFC-Verbindungen zu den Tochtersystemen der ZBV um die Berechtigung zum Objekt S_RFC mit den Funktionsgruppen SUNI und SLIM_REMOTE_USERTYPES erweitern.
Befanden sich vor dem Abmischvorgang bereits Berechtigungen im Pflegestatus Standard (dies gilt sowohl für Aktiv als auch für Inaktiv) oder Inaktiv Standard, vergleicht das zugrunde liegende Programm die Werte und den dazugehörigen Pflegestatus aller Berechtigungsfelder und prüft so, in wieweit neue Vorschlagswerte in der Transaktion SU24 vorhanden sind und ob somit neue Berechtigungsfelder ergänzt werden müssen.