Berechtigungsprüfungen
Ausprägungen SAP Berechtigungskonzept
Berechtigungen dienen dazu, die Organisationsstruktur, die Geschäftsprozesse und die Funktionstrennung abzubilden. Daher steuern sie im SAP-System die Zugriffsmöglichkeiten der Benutzer. Die Sicherheit der Geschäftsdaten hängt direkt von den vergebenen Berechtigungen ab. Aus diesem Grund muss die Vergabe von Berechtigungen gut geplant und durchgeführt werden, um die gewünschte Sicherheit zu erreichen.
Weiterhin sind die Statistikdaten anderer Benutzer (Benutzeraktivitäten, wie z.B. ausgeführte Reports und Transaktionen) als sensibel einzuordnen, da über diese Daten evtl. Rückschlüsse auf das Arbeitsverhalten gezogen werden können. Diese Daten lassen sich beispielsweise über die Transaktion ST03N anzeigen. Die Zugriffsberechtigungen auf die beiden oben genannten Datenarten sind nur sehr restriktiv zu vergeben.
WARUM ACCESS CONTROL
Auch können Sie kundeneigene Organisationsebenen wieder entfernen und sie damit zu einem einfachen Berechtigungsfeld umwandeln. Hierzu dient der Report PFCG_ORGFIELD_DELETE. Er entfernt das Berechtigungsfeld aus der Tabelle USORG und ändert die Berechtigungsvorschlagswerte zu diesem Feld. Abschließend geht er wieder alle Rollen durch, die eine Ausprägung zu dem Feld enthalten. Hierbei stellt er aber nicht die alte Belegung des Feldes wieder her, da zusammengefasste Werte bei der Erhebung des Feldes in die Organisationsebene nicht mehr separiert werden. Stattdessen werden die zusammengefassten Werte in jedem Feld separat eingetragen. Der Report PFCG_ORGFIELD_DELETE stellt außerdem eine Wertehilfe zur Verfügung, die nur die kundeneigenen Organisationsebenen anzeigt. Diese Wertehilfe können Sie auch für die Ermittlung aller kundeneigenen Organisationsebenen nutzen.
Durch die Korrektur im SAP-Hinweis 1692243 können Sie den Report nun auch in einer ZBV-Umgebung (Zentrale Benutzerverwaltung) nutzen; er ist also nicht mehr nur auf einzelne Mandanten beschränkt. Ist die Rollenzuordnung der ZBV in der Transaktion SCUM auf global eingestellt, ist es ausreichend, wenn die Korrektur im zentralen Mandanten eingespielt wird. Dann ist es jedoch auch nur möglich, den Report im zentralen Mandanten auszuführen. Des Weiteren haben Sie die Möglichkeit, die Tochtersysteme der ZBV über das Auswahlfeld Empfangssystem so auszuwählen, dass nur die Systeme berücksichtigt werden, in denen die Rollenzuordnung konsolidiert bzw. gelöscht werden soll. In der Ergebnisliste der konsolidierten Rollenzuordnung werden Ihnen nun in der Spalte ZBV-System die Tochtersysteme aufgelistet, bei denen eine Konsolidierung oder Löschung stattgefunden hat.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Die Zuordnung von HANA-Rollen können Sie sowohl über das SAP HANA Studio als auch über das SAP Identity Management (SAP ID Management) vornehmen.
Dies wird dabei vom Funktionsbaustein und nicht vom Entwickler bestimmt.