Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Massenpflege von abgeleiteten Rollen vornehmen
Die Berechtigungsprüfung für das Objekt S_PATH erfolgt, wie beschrieben, nur für Dateien, die einem Pfad mit Berechtigungsgruppe in der Tabelle SPTH entsprechen. In unserem Beispiel müssten Sie daher für den Zugriff auf Dateien mit dem Pfad /tmp/myfiles* eine Berechtigung für das Objekt S_PATH mit dem Wert FILE im Feld FS_BRGRU erteilen. Beachten Sie dabei, dass das Berechtigungsobjekt nur zwei Zugriffsarten unterscheidet. In diesen beiden Werten werden die Zugriffsarten des Berechtigungsobjekt S_DATASET zusammengefasst. Der Wert Ändern entspricht den Werten Löschen, Schreiben und Schreiben mit Filter; der Wert Anzeigen entspricht den Werten Lesen und Lesen mit Filter.
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen nur Zugriff auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss. Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
Anmeldung am Anwendungsserver einschränken
Sie sollten daher eine kryptografische Authentifizierung und eine Verschlüsselung der Kommunikation erzwingen, indem Sie Secure Network Communication (SNC) einrichten. SNC bietet einen starken kryptografischen Authentifizierungsmechanismus, verschlüsselt die Datenübertragung und wahrt die Integrität der übertragenen Daten. Seit einiger Zeit ist SNC ohne einen SSOMechanismus (SSO = Single Sign-on) für SAP GUI und die RFC-Kommunikation aller SAP-NetWeaver-Kunden frei verfügbar. Sie sollten SNC immer zwischen SAP GUI und Anwendungsserver implementieren, da diese Kommunikation auch über offene Netze laufen kann. Für die RFC-Kommunikation brauchen Sie eine SNC-Implementierung, wenn Sie meinen, dass die Datenübertragung abgehört werden könnte.
Der Aufruf Ihrer Implementierung des BAdIs erfolgt als letzter Schritt des Speichervorgangs von Benutzerdaten. Dies gilt für alle Transaktionen oder Funktionsbausteine, die Änderungen an den Benutzerdaten vornehmen. Daher wird das BAdI auch bei der Pflege durch das BAPI BAPI_USER_CHANGE aufgerufen. Dieses BAPI nutzen Sie, wenn Sie einen Self-Service für das Zurücksetzen von Passwörtern implementieren, wie wir es in Tipp 52, »Passwörter mittels Self-Service zurücksetzen«, beschreiben. So ermöglichen Sie den verschlüsselten E-Mail-Versand von Initialpasswörtern im Rahmen eines Self-Services.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
In der Vorbereitung sollte daher die Dokumentation auf Vollständigkeit und Aktualität überprüft werden und in einem weiteren Schritt, ob der darin definierte Prozess das Jahr über auch eingehalten wurde.
Dieser Zähler wird bei jeder erfolgreichen Anmeldung mit einem Passwort wieder zurückgesetzt.