Fazit
RS_ABAP_SOURCE_SCAN
Mit SAP NetWeaver 7.31 ist ein neues Verfahren zur Bestimmung von betroffenen Anwendungen und Rollen mittels Zeitstempel eingeführt worden (siehe Tipp 45, »Den Zeitstempel in der Transaktion SU25 verwenden«). Mit dem Support Package 12 für das NetWeaver Release 7.31 sowie dem Support Package 4 für das NetWeaver Release 7.40 aus dem SAP-Hinweis 1896191 ist die Funktion Expertenmodus für die Übernahme von SU22- Daten für Schritte 2 hinzugekommen.
Sie möchten die Einstellungen für den Session Manager, den Profilgenerator und die Benutzerpflege an Ihre Anforderungen anpassen? Nutzen Sie dazu die Parameter in den Customizing-Tabellen SSM_CID, SSM_CUST, SSM_COL, PRGN_CUST und USR_CUST. Wir zeigen Ihnen hier, welche Einstellungsmöglichkeiten es für den Session Manager, den Profilgenerator oder die Benutzerpflege gibt. Wie lässt sich das Benutzermenü aus verschiedenen Rollen zusammenfassen oder ganz abschalten? Wie lassen sich die generierten Passwörter an Ihre Anforderungen anpassen? Wie können Sie den Benutzerstammabgleich nach Rollenzuordnungen über die Transaktion PFCG automatisiert durchführen? Und wie können Sie unterbinden, dass Zuordnungen von Benutzern zu Rollen transportiert werden können? Wir zeigen Ihnen, wie Sie diese Einstellungen vornehmen.
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Haben Sie eigene Berechtigungsprüfungen entwickelt, um diese in kundeneigenen Programmen zu verwenden oder um Erweiterungen am SAPStandard vorzunehmen, ist es unbedingt notwendig, dass Sie die Z-Berechtigungsobjekte als Vorschlagswerte für die jeweiligen Anwendungen pflegen. So müssen diese nicht manuell in den jeweiligen Rollen nachgepflegt werden. Darüber hinaus haben Sie eine transparente Möglichkeit geschaffen, um zu dokumentieren, für welche Anwendungen Ihre kundeneigenen Berechtigungen zur Verfügung stehen. Zu guter Letzt hilft Ihnen eine gut geführte Vorschlagswertepflege bei Upgradenacharbeiten an Vorschlagswerten und PFCG-Rollen. Hier wird sichergestellt, dass Ihre Änderungen und die Verbindungen zu den jeweiligen PFCG-Rollen erhalten bleiben und neue Berechtigungsprüfungen für das neue Release zu den Anwendungen hinzukommen.
Servicebenutzer werden für den anonymen Zugriff durch mehrere Personen verwendet, z. B. für Webservices. Auch dieser Benutzertyp ist dialogfähig, d. h., dass er sich über SAP GUI am SAP-System anmelden kann. Mit einem Servicebenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern greifen nicht. Mit der Einführung der Sicherheitsrichtlinien hat sich dieses Verhalten geändert. Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«). Das Passwort einen Servicebenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Den Einzel- und Sammelrollen ordnen Sie beispielsweise Transaktionen und Web-Dynpro-Anwendungen in definierter Menüstruktur im Rollenmenü zu.
Ihre Vergabe führt auch nicht so zügig zu dem Problem, dass Benutzer über zu viele Berechtigungen verfügen.