Werte aus der Zwischenablage in die Berechtigungsfelder der Transaktion PFCG kopieren
BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Bei sorgfältiger Pflege von Vorschlagswerten in den jeweils relevanten Berechtigungsobjekten ergeben sich wiederkehrend Vorteile bei der Erstellung und Überarbeitung von Rollen für Webanwendungen. Außerdem wird die Rollennachbearbeitung in der Transaktion SU25 im Rahmen von SAPUpgrades unterstützt.
Ist einem Benutzer SAP_ALL zugewiesen, besitzt er alle Berechtigungen in einem ABAP-System. Somit sollte besondere Sorgfalt bei der dedizierten Vergabe dieser Berechtigung gelten. SAP_ALL kann automatisch generiert werden, wenn Sie Berechtigungsobjekte transportieren. Hierzu muss der Parameter SAP_ALL_GENERATION in der Tabelle PRGN_CUST gepflegt sein.
Transaktionale und Native oder analytische Kacheln in der FIORI Umgebung
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden. Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
Wird dann unter SAP S/4HANA die FIORI Oberfläche eingesetzt, müssen auch hier die zusätzlichen Komponenten berücksichtigt werden. Berechtigungen werden dem User nicht mehr über „Transaktions-Einträge“ im Menü einer Rolle zur Verfügung gestellt. Stattdessen kommen hier nun Kataloge und Gruppen zum Einsatz. Diese werden, ähnlich der „Transaktions-Einträge“ im Menü einer Rolle hinterlegt und dem User zugeordnet. Diese Kataloge müssen allerdings vorab im sog. „Launchpad Designer“ mit entsprechenden Kacheln befüllt werden. Hierbei ist darauf zu achten, dass immer alle relevanten Komponenten (Kachelkomponente und Zielzuordnungskomponente(n)) mit im Katalog hinterlegt werden. Der FIORI Katalog dient dazu einem User den technischen Zugriff auf eine Kachel zu ermöglichen. Eine korrespondiere FIORI Gruppe dient dazu, diese Kacheln dem User dann auch optisch zum Zugriff im Launchpad zur Verfügung zu stellen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Erfahrungsgemäß ist aber die Verwendung dieser Daten unter einer frühen Einbeziehung der Mitbestimmungsorgane und Festschreibung der Zweckgebundenheit unkritisch.
Manuelles Berechtigungsprofil - Um den Bearbeitungsaufwand bei Verwendung manueller Berechtigungsprofile zu minimieren, tragen Sie meist nicht einzelne Berechtigungen, sondern zu Berechtigungsprofilen zusammengefasste Berechtigungen in den Benutzerstammsatz ein.