WARUM ACCESS CONTROL
Neuaufbau des Berechtigungskonzeptes
Mit den Releases SAP NetWeaver 7.03 und 7.30 wurden für Web-Dynpro- ABAP-Anwendungen (sowie für weitere Web-Dynpro-ABAP-Funktionen, siehe SAP-Hinweis 1413011) die Prüfung der Berechtigung zum Start derartiger Anwendungen eingeführt. Das Berechtigungsobjekt, das diese Startberechtigung steuert ist S_START. Dieses Berechtigungsobjekt wird analog zum Berechtigungsobjekt S_TCODE eingesetzt.
Werte des Berechtigungstrace ins Rollenmenü übernehmen: Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFCBausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten. Anschließend werden Ihnen im rechten Teil des Fensters alle mitprotokollierten Anwendungen angezeigt. Markieren Sie die Anwendungen, die Sie ins Rollenmenü übernehmen möchten und klicken Sie auf Übernehmen. Sie können nun entscheiden, wie die Anwendungen im Rollenmenü erscheinen. Die Anwendung kann über das Auswahlfeld Hinzufügen zur Rolle entweder als Berechtigungsvorschlag oder als Menüeintrag hinzugefügt werden. Sie können als Liste oder als Bereichsmenü angezeigt werden (Einfügen als Liste) oder dem SAP-Menübaum entsprechend, in dem die Anwendung im SAP-Menü hinterlegt ist (Einfügen als SAP Menü).
BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Die Berechtigungsprüfung auf der Ebene des Funktionsbausteins können Sie nutzen, indem Sie im Berechtigungsobjekt S_RFC im Feld RFC_TYPE (Typ des zu schützenden RFC-Objekts) den Wert FUNC (Funktionsbaustein) eintragen. Wollen Sie weiterhin Funktionsgruppen berechtigen, geben Sie hier den Wert FUGR an. Abhängig von der Ausprägung des Feldes RFC_TYPE geben Sie dann im Feld RFC_NAME (Name des zu schützenden RFC-Objekts) den Namen des Funktionsbausteins oder der Funktionsgruppe an. Diese Erweiterung der Prüfung wird durch die Korrektur im SAP-Hinweis 931251 ausgeliefert.
Ein sorgloser Umgang mit den Berechtigungen bei sensiblen Mitarbeiterdaten kann ganz schön in die Hose gehen. Verhindern Sie einen unkontrollierten und weitreichenden Reporting-Zugriff auf Ihre HCM-Daten, indem Sie das Berechtigungsobjekt P_ABAP richtig nutzen. In vielen Unternehmen ist der korrekte Einsatz von P_ABAP nicht bekannt. Daher kommt es häufig zu falschen Ausprägungen, die im schlimmsten Fall unkontrollierten Reporting-Zugriff auf alle Daten der logischen Datenbank PNPCE (bzw. PNP) erlauben. Auf diesem Weg können Sie also Ihre vorher mühsam in einem Berechtigungskonzept definierten Zugriffsbeschränkungen wieder aushebeln. Daher gilt es, den Einsatz von P_ABAP im Einzelfall zu prüfen und die vorhandenen Einschränkungsmöglichkeiten zu nutzen. Im Folgenden beschreiben wir die Logik, die hinter diesem Berechtigungsobjekt steckt, und welche Ausprägungen Sie unbedingt vermeiden sollten.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Außerdem ist es wichtig, dass Sie im entsprechenden Feld die Sprache angeben, in der die PFCG-Rolle gepflegt wird.
Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft.