Berechtigungstraces anwendungsserverübergreifend auswerten
Benutzergruppe als Pflichtfeld definierbar
Das Interface IF_IDENTITY der Klasse CL_IDENTITY stellt verschiedene Methoden für die Pflege der Felder des Benutzerstammsatzes zur Verfügung. Als Vorlage für die Implementierung des BAdIs können Sie das Implementierungsbeispiel CL_EXM_IM_IDENTITY_SU01_CREATE nutzen, in dem die Felder Nachname, Raumnummer, Telefon, E-Mail-Adresse, Benutzergruppe, Abrechnungsnummer und Kostenstelle der Transaktion SU01 automatisch vorbelegt werden. In dieser Beispielimplementierung ist keine externe Datenquelle vorgesehen; der Benutzername wird als Nachname gesetzt, und für die anderen Felder werden feste Werte vorbelegt. An dieser Stelle müssen Sie die Implementierung, abhängig von Ihren Anforderungen, ergänzen. Dabei gibt es verschiedene mögliche Datenquellen für die Benutzerstammdaten, die Sie aus dem BAdI aufrufen können.
So individuell wie die Anforderungen jedes einzelnen Unternehmens sind, so individuell sind die Anforderungen an die Architektur von Berechtigungskonzepten. Eine perfekte Vorlage gibt es daher nicht. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtigt werden sollten.
Löschen von Tabellenänderungsprotokollen
Berechtigungsdaten der Rolle, die durch die letzte Bearbeitung gespeichert wurden, werden angezeigt. Diese Option ist nicht empfehlenswert, wenn Transaktionen im Rollenmenü geändert wurden.
Die BAdIs BADI_IDENTITY_CHECK, BADI_IDENTITY_UPDATE und BADI_IDENTITY_SU01_CREATE wurden mit dem Release SAP NetWeaver 7.31 eingeführt. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1796501. Für diese BAdIs gibt es Implementierungsbeispiele, und sie sind Teil des Erweiterungsspots SUID_IDENTITY. Mit dem BAdI BADI_IDENTITY_CHECK können Sie zusätzliche Prüfungen in der Pflege der Benutzerstammdaten einführen, z. B. ob bestimmte Felder in der Transaktion SU01 gepflegt wurden. Mit dem BAdI BADI_IDENTITY_UPDATE können Sie beim Ändern von Benutzerdaten verschiedene Aktionen veranlassen (siehe Tipp 98, »E-Mails verschlüsseln«). Mit dem BAdI BADI_IDENTITY_SU01_CREATE können Sie bei der Anlage von Benutzern einzelne Felder der Transaktion SU01 mit Werten aus einer anderen Datenquelle vorbelegen. Dieses BAdI deckt die von uns beschriebene Anforderung ab; daher erläutern wir im Folgenden die Implementierung dieses BAdIs. Verwenden Sie hierzu die Transaktion SE18, in der Sie auch die Implementierungsbeispielklasse einsehen können. Für das BAdI BADI_IDENTITY_SU01_CREATE müssen Sie zum Interface IF_BADI_SU01_CREATE die Methode CREATE implementieren. Das BAdI wird nur beim Start der Transaktion SU01 aufgerufen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Programmieren Sie die erforderlichen Prüfungen (z. B. auf bestimmte Datenkonstellationen oder Berechtigungen) in diesem neuen Funktionsbaustein.
Der Prozess der Benutzerverwaltung, also Benutzeranlage, -änderung und -deaktivierung sollte einerseits in schriftlich dokumentierter Form, entweder als eigenes Dokument oder als Teil des schriftlich dokumentierten Berechtigungskonzepts, vorliegen und andererseits auch gemäß der Dokumentation durchgeführt werden.