Fazit und Ausblick
Hintergrundverarbeitung
Beim Zugriff auf Tabellen oder Views wird mit dem Berechtigungsobjekt S_TABU_DIS die Berechtigung für eine bestimmte Tabellenberechtigungsgruppe in der Berechtigungsprüfung erteilt. Beachten Sie in diesem Zusammenhang auch Tipp 73 »Berechtigungsobjekte für die Tabellenbearbeitung verwenden« und das dort vorgestellte Berechtigungsobjekt S_TABU_NAM. Tabellenberechtigungsgruppen legen Sie mithilfe der Transaktion SE54 oder über den Pflegedialog V_TBRG_54 an. Sie fallen unter das mandantenabhängige Customizing und können bis SAP NetWeaver 7.31 SP 2 lediglich vier Zeichen beinhalten. Zum Anlegen einer Tabellenberechtigungsgruppe rufen Sie die Transaktion SE54 auf und wählen dort im Bereich Bearbeiten Tabelle/View die Option Berechtigungsgruppen aus. Über den Button Anlegen/Ändern gelangen Sie zur Übersicht der bereits vorhandenen Tabellenberechtigungsgruppen. Auf diesem Weg können Sie z. B. auch die Bezeichnung einer Tabellenberechtigungsgruppe ändern. In der Übersicht der Tabellenberechtigungsgruppen klicken Sie auf den Button Neue Einträge, um eine neue Tabellenberechtigungsgruppe anzulegen. Vergeben Sie einen Namen für Ihre Berechtigungsgruppe und eine sprechende Bezeichnung. Nachdem Sie die neuen Einträge gespeichert haben, ist Ihre kundeneigene Tabellenberechtigungsgruppe angelegt.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Löschen von Versionen
Für ein Berechtigungskonzept muss zunächst ein klares Ziel definiert werden, das mithilfe des Konzepts erreicht werden soll. Darin sollte aufgelistet werden, welche regulatorischen Auflagen das jeweilige SAP-System erfüllen und das dazugehörige Berechtigungskonzept berücksichtigen muss. Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt. Außerdem sollten einheitliche Namenskonventionen verwendet werden, da einerseits vieles nach der Erstbenennung nicht mehr änderbar ist und andererseits auf diese Weise die Suchbarkeit im SAP-System sichergestellt wird. Mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet. In einem eigenen Abschnitt müssen konkrete Personen benannt oder zumindest Rollen festgeschrieben werden. Ein Kapitel sollte dem Prozess für das Benutzermanagement gewidmet werden. Hier ist zu beschreiben, wie Anwender vorhandene SAP Berechtigungen erhalten, wie neue Benutzer in das SAP System integriert werden und wer für die Genehmigungen von Berechtigungen verantwortlich ist. Im Kapitel zum Prozess für das Berechtigungsmanagement wird festgelegt, wer welche Rollen erstellen sowie bearbeiten darf und wer für die Entwicklung von verschiedenen zugehörigen Prozessen verantwortlich ist. Im Kapitel zu Sonderberechtigungen werden Prozesse und Besonderheiten im Bereich Nicht-Dialog-Betrieb beschrieben. Dazu gehören unter anderem Job Management und Schnittstellenkonvention. Auch weitere administrative Berechtigungen können beschrieben werden. Im Kapitel Rollenkonzept wird erläutert, wie fachliche Anforderungen auf eine technische Rolle übertragen werden. Das Rollenkonzept nimmt einen besonderen Stellenwert ein, da es die eigentliche Abbildung von betriebswirtschaftlichen Rollen auf die technischen Rollen und damit auf die Berechtigungen im SAP beschreibt.
Konzeptuell wird zwischen den Benutzertypen Database User und Technical User unterschieden. Database User sind Benutzer, die eine reale Person in der Datenbank repräsentieren. Sobald ein Database User gelöscht wird, werden zugleich alle (!) Datenbankobjekte, die von diesem Database User angelegt worden sind, ebenfalls gelöscht. Technical User sind Benutzer, die technische Aufgaben in der Datenbank wahrnehmen. Beispiele hierzu sind die Benutzer SYS und _SYS_REPO, mit denen administrative Aufgaben, wie z. B. die Erzeugung eines neuen Datenbankobjekts oder das Zuweisen von Privilegien, ermöglicht werden.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Sobald Sie eine dieser Rolle aufrufen und in die Berechtigungspflege einsteigen, ändern sich die Berechtigungswerte sofort.
Dies hilft bspw. bei der Erstellung geeigneter Rollen: - Rufe die Transaktion STAUTHTRACE auf - Gib den gewünschten Benutzer an und starte den Trace - Lasse den Benutzer seine Transaktion aufrufen - Stoppe den Trace (Wichtig, nicht vergessen!) - Werte die Ergebnisse aus.