Rollentyp
SAP Code Vulnerability Analyzer verwenden
Verschiedene Tätigkeiten, wie etwa die inhaltliche Änderung oder die Zuordnung von Rollen werden über Änderungsbelege nachvollziehbar gemacht. Diese Berechtigung sollte nur an einen Notfallbenutzer vergeben werden.
Um einen Berechtigungssupport für Anwender anbieten zu können, sind Sie oft auf deren Auskünfte angewiesen. Es gibt jedoch auch die Möglichkeit, fehlende Berechtigungen für alle Anwender zentral einzusehen. Hat ein Anwender ein Berechtigungsproblem, wird in der Regel ein Ticket beim Support aufgemacht. Berechtigungsfehler sind für Supportmitarbeiter jedoch nur schwer nachzuvollziehen, da diese über andere Berechtigungen verfügen und häufig detaillierte Informationen zur Applikation, in der der Berechtigungsfehler aufgetreten ist, fehlen. In der Praxis helfen sich Supportmitarbeiter daher oft damit, den Anwender zu bitten, einen Screenshot ausder Transaktion SU53 zu schicken. Denn diese Transaktion zeigt die letzte fehlgeschlagene Berechtigungsprüfung an. In vielen Fällen sind die Informationen, die dort angezeigt werden, für den Berechtigungsadministrator jedoch gar nicht hilfreich. Sicher haben Sie es auch schon einmal erlebt, dass ein Screenshot aus der Transaktion SU53 eine fehlende Berechtigung für typische Basisberechtigungsobjekte anzeigt, wie z. B. S_ADMI_FCD, S_CTS_ADMI oder S_TRANSLAT, von denen Sie aber wissen, dass ihre Prüfung mit dem eigentlichen Berechtigungsproblem in der Anwendung gar nichts zu tun hat. Sie brauchen also die Möglichkeit, sich selbst ein Bild machen zu können.
Verwendung von Vorschlagswerten und Vorgehen beim Upgrade
Einer Tabelle oder einem Pflege-View können Sie über die Transaktion SE11 oder über die Transaktion SE54 eine Tabellenberechtigungsgruppe zuweisen. Diese Zuordnung ist als Customizing-Einstellung definiert und bleibt damit auch nach einem Releasewechsel bestehen. Die Zuordnung einer Tabelle zu einer Tabellenberechtigungsgruppe nehmen Sie über die Transaktion SE11 vor, indem Sie Ihre Tabelle im Startbild auswählen und den Button Anzeigen betätigen.
Ein typisches Einsatzgebiet ergibt sich bei der Anforderung eines neuen SAP-Benutzers. Der Dateneigentümer prüft nun, ob der Beantragende und die zu berechtigende Person überhaupt jeweils dafür befugt sind, welche Daten betroffen wären, ob evtl. bereits ein SAP-User besteht, dem neue Rollen zugeteilt und alte entzogen werden können, ob der Datenzugriff zeitlich begrenzt werden kann etc..
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Im letzten Schritt kann der Berechtigungsadministrator die PFCG-Rolle erstellen bzw. muss die bestehenden PFCG-Rollen neu abmischen.
Ermitteln Sie auf dieser Grundlage, welche organisatorischen Merkmale (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) welche Teile der Aufbauorganisation repräsentieren.