Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Änderungsbelege der Zentralen Benutzerverwaltung verwenden
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Ein Hinweis zur zugrunde liegenden Tabelle USKRIA: Diese Tabelle ist mandantenunabhängig. Aus diesem Grund können Sie diese Tabelle in Systemen, die gegen ein mandantenübergreifendes Customizing gesperrt sind, nicht pflegen. In diesem Fall sollten Sie einen Transportauftrag im Entwicklungssystem anlegen und die Tabelle ins Produktivsystem transportieren.
Berechtigungsvorschlagswerte
Berechtigungstrace - Transaktion: STUSOBTRACE - Mit der Transaktion STUSOBTRACE wertet man den Berechtigungstrace im SAP-System aus. Hierbei handelt es sich um einen Trace, der über einen längeren Zeitraum in mehreren Mandanten und benutzerunabhängig die Berechtigungsdaten sammelt und in einer Datenbank (Tabelle USOB_AUTHVALTRC) ablegt.
Möchten Sie nun PFCG-Rollen indirekt Nutzern über das Organisationsmanagement zuordnen, müssen Sie dafür Auswertungswege verwenden. Auswertungswege definieren eine Kette von Beziehungen zwischen Objekten innerhalb einer Hierarchie. Sie definieren so z. B., dass eine Organisationseinheit oder eine Planstelle einer anderen Organisationseinheit zugordnet werden kann. Diese Beziehung wird bis hin zur Benutzer-ID festgelegt. Ist im Organisationsmanagement allerdings auch der Geschäftspartner gepflegt worden, gibt es für diesen Fall keinen Standardauswertungsweg, und der der Rolle zugeordnete Benutzer wird nicht gefunden. Da in SAP CRM aber die Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern über den Geschäftspartner, müssen Sie Anpassungen an den Auswertungswegen vornehmen,bevor Sie die Rollen indirekt vergeben können.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wenn Sie Jobs anderer Benutzer abbrechen, freigeben oder in den Status geplant zurücksetzen wollen, brauchen Sie eine Berechtigung für das Objekt S_BTCH_ADM mit dem Wert Y.
Analog unterstützt SAP Identity Management ab Version 7.2 SP 3 die Anlage von HANA-Benutzern sowie die Zuweisung von Rollen.