Neue Kehrtwende bei SAP?
Welche Berechtigungsdaten hat eine Rolle (PFCG)?
Der Funktionsbaustein BAPI_USER_CHANGE ermöglicht die Benutzerpflege in SAP, indem er die Bearbeitung von Benutzerdaten bereitstellt. Dazu muss auch hier der jeweilige Benutzername angegeben werden. Außerdem werden die Exportparameter befüllt, welche geändert werden sollen. Dabei wird z.B. beim Parameter “PASSWORD” das neue Passwort übergeben. Damit die Änderung vollzogen wird, muss zusätzlich der dazugehörige Parameter “PASSWORDX” befüllt werden. Im unten gezeigten Beispiel wird für den Benutzer “MEIER” das neue Initialkennwort “newpassword” gesetzt.
Beim Einsatz von Apps ändert sich auch die Art der Berechtigung. Transaktionen werden anhand ihres Kürzels (z. B. FK01, ME21N, SU01) berechtigt. Die Fachbereiche kennen ihre Transaktionen, daher sind z. B. Rollenanträge diesbezüglich relativ einfach zu gestalten.
SAP Employee Self-Service (ESS) User
Spätestens mit dem Siegeszug von Cloud-Anwendungen reicht es nicht mehr aus, digitale Identitäten in einem einzelnen System zu verwalten. Berechtigungen und Rollen auf dem on-premise betriebenen ERP-System werden beispielsweise ergänzt mit Zugängen zu einem Cloud-CRM-System, angebundenen Projektmanagement-Systemen wie Jira oder Mail-Services wie Gmail. Weiterhin sind Personalmanagement-Systemw wie SAP SuccessFactors zu integrieren, die oft der Ursprung aller Informationen zu einer digitalen Identität sind.
Bei diesem Best Cases-Projekt begleiteten wir beim Kunden die Umstellung der technischen SAP-Benutzer in der Hypercare-Phase. Aufkommende Fehler in der Batch-Verarbeitung oder RFC-Schnittstellen wurden in den ersten Tagen der Umstellung engmaschig kontrolliert und schnell behoben, dies erfolgte mit einem smarten Fallback-Verfahren.
Tools wie "Shortcut for SAP Systems" ergänzen fehlende Funktionen im Bereich der SAP Benutzerverwaltung.
Die SAP-Lizenzvermessung ist primär eine quantitative Auswertung, die den Ist-Zustand mit dem Soll-Zustand aus der Lizenzvereinbarung vergleicht.
Um sicherzustellen, dass kein SAP HANA Datenbank Benutzer der das System-Privileg USER ADMIN hat, den zuvor deaktivierten SYSTEM Benutzer für einen anderen Zweck als oben dargestellt aktiviert, empfiehlt es sich eine AUDIT Policy auf das SQL Statement ALTER USER zu definieren.