Was tun, wenn der Wirtschaftsprüfer kommt – Teil 1: Prozesse und Dokumentationen
Nach fehlenden Berechtigungen tracen
Sie haben gelesen, dass es mit Standardmitteln möglich ist, Massenaktivitäten, wie z. B. das massenhafte Ableiten von Rollen, vorzunehmen. Dies ist Ihnen alles zu kompliziert, und Sie sind noch auf der Suche nach ganz simplen Lösungen für die Rollenpflege? Bestimmt schauen Sie sich hierzu Tools von SAP-Partnern an, die Abhilfe versprechen. In diesem Zusammenhang möchten wir Ihnen in diesem Tipp noch einige Hinweise mitgeben; hierzu gibt es einen ganz praktischen Anlass: Wir haben zu oft bei SAP-Kunden ein »kaputtes« Berechtigungswesen vorgefunden, verursacht durch die falsche Anwendung von Zusatzprogrammen. Mitunter gab es Schiefstände in den Rolleninhalten und keine sauber gepflegten Vorschlagswerte, woraufhin sich die Berechtigungsadministratoren irgendwann überhaupt nicht mehr zurechtgefunden haben. Deshalb sollten Sie sehr gut prüfen, ob das Werkzeug, das Sie gerade näher ins Auge fassen, tatsächlich für Ihre Zwecke geeignet ist.
Diese Lösung steht nur über ein Support Package ab SAP NetWeaver AS ABAP 731 zur Verfügung und erfordert einen Kernel-Patch. Die Details zu den relevanten Support Packages finden Sie in SAP-Hinweis 1891583. Grundsätzlich kann dann die Anmeldung von Benutzern am Anwendungsserver durch die Einstellung des neuen Profilparameters login/server_logon_restriction eingeschränkt werden.
Änderungsbelegmanagement der Benutzer- und Berechtigungsverwaltung archivieren
Mit diesen Methoden helfen wir Ihnen nicht nur bei der Implementierung. Sie können die Lösungen danach auch eigenständig pflegen und verwalten oder Sie legen den Betrieb vertrauensvoll in unsere Hände: Wir nennen das Customer Success.
Wie bei einer SAP_NEW-Rolle besteht die Möglichkeit, eine SAP_APP-Rolle zu generieren. Wie beim Profil SAP_APP sind hier alle Berechtigungen, außer die Basis- und die HCM-relevanten Berechtigungen enthalten. Die Möglichkeit, diese Rolle mit dem Report REGENERATE_SAP_APP zu erstellen, besteht nach dem Einspielen des SAP-Hinweises 1703299. Dieser Report generiert eine Rolle, die uneingeschränkt für alle Anwendungen zu benutzen ist. Wir empfehlen Ihnen den Einsatz dieser Rolle jedoch nur für Entwicklungs- und Testsystem.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die Organisationseinheit wird im Kontext des Applikationskennzeichens ausgewertet.
Grundsätzlich sollte die Berechtigung SAP_NEW nicht im Produktivsystem vergeben werden.