Manuelle Berechtigungen
SIVIS as a Service
Ein lästiges, Ihnen bestimmt bekanntes Szenario: Sie gehen demnächst mit einem neuen Geschäftsprozess live und müssen nun Ihre dafür erstellten Rollen in 97 Buchungskreise ableiten. Hier kann Ihnen eCATT das Leben erleichtern. Es ist mal wieder soweit: Wenn Sie in Ihrer Abteilung niemanden haben, der Gefallen daran findet, mehrere Stunden lang in der Transaktion PFCG den Kopierknopf zu drücken, das Ableitungskürzel zu ersetzen und dann in den neuen Rollen auf der Registerkarte Berechtigungen die Organisationsebenen (Orgebenen) anzupassen (immer wieder verbunden mit Speichervorgängen), bleibt der Job an Ihnen hängen. Weil es kaum etwas Langweiligeres gibt, schleichen sich spätestens nach einer Stunde die ersten Fehlerchen ein. Immer wenn Sie neue Rollen, z. B. für Ihr neues Premiumgeschäft, auf alle Ihre Unternehmensbereiche, Werke usw. ausrollen müssen, ist die Anlage der abgeleiteten Rollen mühselig – weil SAP keine gescheite Massenpflege anbietet. Der SAP-Standard bietet verschiedene Möglichkeiten, um Aktivitäten aufzuzeichnen und massenhaft abzuspielen. Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege. Daher sind sie auch komplexer in der Bedienung, um möglichst flexibel alle denkbaren Einsatzszenarien abdecken zu können. Auch eCATT bildet hier keine Ausnahme, weswegen viele Anwender nach wie vor vor dessen Verwendung zurückschrecken. Wir können Ihnen aber aus Erfahrung sagen: Nach dem zweiten oder dritten Mal geht Ihnen die Erstellung der Testskripts so schnell von der Hand, dass Sie sich fragen werden, warum Sie es nicht schon immer so gemacht haben.
Im Rahmen von Upgrades müssen auch die Berechtigungsrollen überarbeitet werden. In diesem Zusammenhang können Sie das Profil SAP_NEW zur Unterstützung verwenden. Während eines Upgrades werden Änderungen und Verbesserungen von Berechtigungsprüfungen im SAP NetWeaver AS ABAP ausgeliefert. Damit die Benutzer weiterhin wie gewohnt Ihre bisherigen Aktionen im SAP-System durchführen können, müssen Sie als Berechtigungsadministrator die Berechtigungsausprägungen im Rahmen des etablierten Berechtigungskonzepts überarbeiten bzw. ergänzen. Grundsätzlich nutzen Sie hierzu die Transaktion SU25. Für die Übergangszeit können Sie die Berechtigung SAP_NEW einsetzen, bis das Berechtigungskonzept auf dem aktuellen Stand für das neue Release ist. Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Manuell gepflegte Organisationsebenen in Rollen zurücksetzen
Es bestehen umfangreiche Revisionsanforderungen an die Passwortregeln. Erfahren Sie hier, wie Sie diese Anforderungen global definieren, welche Sonderzeichen vom SAP-Standard akzeptiert werden und wie Sie die Vorgaben für generierte Passwörter einstellen. Sie möchten nicht die SAP-Standardregeln für die Passworterstellung nutzen, sondern Ihre eigenen Anforderungen an die Passwörter Ihrer Benutzer stellen? Sie müssen interne oder externe Sicherheitsanforderungen, z. B. vonseiten der Revision, umsetzen? Sie möchten bestimmte Wörter nicht als Passwörter erlauben, bestimmte Sonderzeichen ausschließen oder die Formate der vom SAP-System generierten Passwörter ändern? Wir geben Ihnen im Folgenden eine Übersicht zu den möglichen Zeichen, zu den vorhandenen Profilparametern und den Customizing-Einstellungen für Passwörter.
Sie können das AIS Cockpit an Ihre Anforderungen anpassen. Hierzu nutzen Sie das Customizing, das Sie in der Transaktion SAIS ebenfalls unter dem Button Administration der Auditumgebung finden. Wählen Sie dort Audit Cockpit konfigurieren aus, und Sie können eine Standardauditstruktur, die maximale Zeilenlänge für Protokolleinträge und die Anzahl der Protokolleinträge pro Prüfschritt definieren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Voraussetzung ist, dass der Jobeinplaner eine Berechtigung zum Objekt S_BTCH_NAM besitzt, die den Namen des Stepusers enthält, und dass der Stepbenutzer im gleichen Mandanten existiert wie der Jobeinplaner selbst.
Wir stellen Ihnen hier verschiedene Szenarien für den Prozess des Zurücksetzens von Passwörtern vor.