RSUSR003
Allgemeine Berechtigungen
Analog zur Pflege der Berechtigungsvorschlagswerte für SAP-Transaktionen mittels der Transaktionen SU22 und SU24 ist die Pflege von Vorschlagswerten für Webanwendungen ratsam. Damit einem Nutzer eine passende Berechtigung für einen betriebswirtschaftlichen Funktionsumfang in der Webanwendung zugewiesen werden kann, müssen die Softwareentwickler in der Transaktion SU22 alle für diese Anwendung benötigten Berechtigungsobjekte an die entsprechende Web-Dynpro-Anwendung anbinden, also nicht nur S_START. Quelle für die benötigten Berechtigungsobjekte ist in der Regel ein Developer- oder Berechtigungstrace.
In der SU53 erhalten Sie den Eintrag des Benutzers, der dort gepeichert ist, und dieser kann ggf. alt sein. Besser ist also den Benutzer selbst über das Menü den Berechtigungsfehler anzeigen zu lassen. Vielleicht erstellen Sie allen Ihren Benutzern eine kleine Doku, wie er sich den Fehler anzeigen läßt, und wo er ihn hinschicken kann, also ein „Kochrezept: How To…“. In dem Fehlerauszug der SU53 werden als erstes die dem Benutzer fehlende Berechtigung angezeigt. Dieses Objekt gilt es also zu analysieren. Im Weiteren der Fehlermeldung werden die dem Benutzer zugeordneten Berechtigungen angezeigt. Diese Informationen kann man dazu benutzen, den Benutzer mit seinem Rollenset einzuordnen, wohin er gehört etc. Letztlich haben wir in unserm Fall 1 nun die fehlende Berechtigung und müssen nun klären, ob der Benutzer diese Berechtigung erhalten soll oder nicht. Dazu muss die Fachabteilung kontaktiert werden, die ja zu entscheiden hat, ob der Benutzer die Berechtigung erhält! Es kann vorkommen, dass es sich bei dem vom Benutzer gemeldeten Problem gar nicht um ein Berechtigungsproblem handelt. Dann wird in dem SU53 – Bereich der letzte Berechtigungsfehler angezeigt, der gar nicht die Fehlerursache ist. Deshalb ist es immer gut, sich auch ein Bildschirmbild der eigentlichen Fehlermeldung schicken zu lassen. Es kommt gar nicht so selten vor, dass Entwickler aus ihren Programmen einen Berechtigungsfehler der Art „Keine Berechtigung für…“ ausgeben, dieser aber gar nicht mit einer standardmäßigen Berechtigungsprüfung geprüft haben, so dass der Fehler kein eigentlicher Berechtigungsfehler ist.
PROGRAMMSTART IM BATCH
Der Planstelle können noch weitere Objekte zugeordnet sein, denen Sie ebenfalls eine PFCG-Rolle zuordnen können. Sie können dem Anwender wie in unserem Organigramm drei verschiedene PFCG-Rollen zuordnen. Die PFCG-Rollen können Sie entweder der Organisationseinheit, der Planstelle oder der Stelle zuordnen. Den Benutzer ordnen Sie in dieser Hierarchie als Person der Planstelle zu. Der Benutzer ist der Person als Attribut zugeordnet und deshalb im Organisationsmodell nicht sichtbar. Über diese Hierarchie könnte eine HR-Struktur abgebildet werden. Da die PFCG-Rollen nicht direkt dem Benutzer, sondern den Objekten im Organisationsmanagement zugeordnet sind und der Benutzer nur aufgrund seiner Zuordnung zu diesen Objekten den PFCG-Rollen zugeordnet wird, sprechen wir von einer indirekten Zuordnung.
Arbeiten Sie auch in einer komplexen Systemlandschaft, in der die Rollen dezentral gepflegt werden? Dann kann es durch den Transport von Profilen aus unterschiedlichen Systemen in ein Zielsystem zu Inkonsistenzen kommen. Wir zeigen Ihnen, wie Sie das verhindern. Bei dezentraler Pflege der Berechtigungsrollen, d. h. einer Pflege der Rollen in unterschiedlichen Systemen bzw. Mandanten, besteht das Risiko, dass sich die Nummernkreise für die Generierung von Berechtigungsprofilen überlappen. Sie können dann zu unterschiedlichen Rollen in unterschiedlichen Mandanten Profile mit gleichem Namen generieren. Sobald Sie diese gleichnamigen Berechtigungsprofile in ein gemeinsames Zielsystem transportieren, wird das bisherige Profil durch das neu importierte Profil überschrieben, und es entstehen Inkonsistenzen. In der Konsequenz kann es passieren, dass Sie beispielsweise einer ERP-Berechtigungsrolle ein SCMBerechtigungsprofil zuweisen. Dies kann dazu führen, dass ein Benutzer, dem die ERP-Rolle zugewiesen ist, nicht die benötigten oder sogar zu viele Berechtigungen erhält. Außerdem haben Sie ein Problem, falls Sie über das Berechtigungsprofil das Quellsystem und den Mandanten ermitteln wollen, in dem dieses Profil generiert wurde. Dies ist nicht möglich, wenn das erste und dritte Zeichen der SAP-System-ID (SID), und der Nummernkreis für die Generierung des Berechtigungsprofils übereinstimmen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Die künftige Zuordnung solcher Transaktionen im SAP-Rollenkonzept sollte dann kritisch hinterfragt werden.
Hat er eine entsprechende Berechtigung, wird die Anzeige auf den erlaubten Bereich eingeschränkt.