Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Anwendungsberechtigungen
Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen. Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja.
Der Zugriff des Anwenders auf dieses Programm wird über die Zuweisung einer Rolle, welche die erforderliche Transaktion inklusive der zu prüfenden Berechtigungsobjekte enthält, realisiert. Eine Rolle kann eine Vielzahl von Berechtigungsobjekten enthalten.
Berechtigungen für User-Interface-Clients
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
In den einzelnen Modulen werden unterschiedliche Organisationsfelder verwendet. Da es eine Vielzahl von Schnittstellen zwischen den Modulen gibt, müssen die Hauptorganisationsfelder der Module miteinander in Beziehung gesetzt werden. Es gibt jedoch auch Organisationsfelder, die ausschließlich für das jeweilige Modul relevant sind. Alle Objektfelder, die als Organisationseinheiten genutzt werden, sind in der Tabelle USORG aufgelistet. Diese Tabelle können Sie über die Transaktion SE16 aufrufen. Alternativ zeigt die Wertehilfe des Feldes VARBL im Selektionsbild der Tabelle AGR_1252 zu den jeweiligen Organisationsfeldern auch die entsprechende Bezeichnung mit an.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Für den Zugriff auf die Systemempfehlungen brauchen Sie im SAP Solution Manager eine Berechtigung für das Objekt SM_FUNCS (ACTVT = 03; SM_APPL = SYSTEM_ REC; SM_FUNC = , z. B. SECURITY).
Für alle kundeneigenen Funktionalitäten muss eine funktionale Spezifikation erstellt werden.