Kundenspezifische Berechtigungen einsetzen
Reports starten
Abhängig von der Konfiguration von Stammdaten und Prozessen können verschiedene Berechtigungsprüfungen relevant sein, sodass eine Anpassung der Vorschlagswerte sinnvoll ist. Sind kundeneigene Anwendungen in Form von Z-Transaktionen, eigenen Web-Dynpro-Anwendungen oder externen Services erstellt worden, müssen für diese Anwendungen Vorschlagswerte gepflegt werden, um keine manuellen Berechtigungen in den PFCG-Rollen zu pflegen. Hierbei müssen Sie darauf achten, dass kundeneigene Anwendungen nicht in allen Fällen in der Transaktion SU24 sichtbar sind. Dies ist z. B. der Fall bei TADIR-Services und externen Services. Um zu erfahren, wie Sie diese Services für die Vorschlagswertpflege verfügbar machen, lesen Sie Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«.
Die wichtigsten Security Services im Hinblick auf Berechtigungen sind der EarlyWatch Alert (EWA) und der SAP Security Optimization Service (SOS). Sie vergleichen die Einstellungen in Ihren SAP-Systemen mit den Empfehlungen von SAP. Beide Services werden als teilautomatisierte Remote Services geliefert; den SOS können Sie auch als vollautomatisierten Self-Service nutzen. Im EWA und SOS werden Berechtigungsprüfungen durchgeführt, deren Ergebnis immer wie folgt aufgebaut ist: Die Überschrift benennt den betreffenden Check. Ein kurzer Text beschreibt die Bedeutung der geprüften Berechtigung und das Risiko, das bei einer unnötigen Vergabe entsteht. Eine Liste gibt die Anzahl der Benutzer mit der geprüften Berechtigung in den verschiedenen Mandanten des analysierten SAP-Systems an. Im SOS können Sie sich die Benutzer zusätzlich aufführen lassen. Im SOS folgt für jeden Check eine Empfehlung, wie Sie das identifizierte Risiko minimieren können. Eine abschließende formale Beschreibung stellt die geprüften Berechtigungen dar. Es werden allerdings nicht nur die explizit genannten Transaktionen ausgewertet, sondern auch äquivalente Parameter- oder Variantentransaktionen.
SAP S/4HANA® Launch Pack für Berechtigungen
Führen Sie Schritt 2a (automatischer Abgleich mit SU22-Daten) aus. In diesem Schritt werden die Daten der Transaktion SU22 des neuen Release in die Transaktion SU24 übernommen. Gibt es in Anwendungen eine Änderung bzw. Unterschiede (geänderte Prüfkennzeichen, Vorschläge, Feldwerte oder neue bzw. gelöschte Berechtigungsobjekte), wird in der Tabelle USOB_MOD bzw. TCODE_MOD der MOD_TYPE auf M gesetzt. Mit dem SAP-Hinweis 1759777 wird für Schritt 2a eine Selektion angeboten, mit der dieser Schritt simuliert werden kann. Eine weitere Option Lösche Flags für Anwendungen mit geänderten Daten wird angeboten, um nur dann die neuen Änderungen zu übernehmen, wenn Schritt 2a selektiv ausgeführt wird.
Die soeben angelegten Customizing-Objekte binden Sie nun in die eigene IMG-Struktur ein. Dazu öffnen Sie wieder die Transaktion SIMGH, rufen Ihre Struktur im Änderungsmodus auf und fügen sie unter dem zuvor angelegten Ordner ein, indem Sie Aktivität > eine Ebene tiefer einfügen wählen. Sie sollten schon mit der Anlage der Customizing-Objekte eine gleichnamige Dokumentation anlegen. Dazu wählen Sie auf der Registerkarte Dokument den Button Anlegen aus und verfassen einen entsprechenden Text, den Sie speichern und anschließend aktivieren.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
In den meisten Fällen kommt es zu einer Fehlermeldung, und das Programm wird abgebrochen.
Mit dem SAP-Hinweis 1707841 wird eine Erweiterung für den Systemtrace in der Transaktion STAUTHTRACE ausgeliefert, die es ermöglicht, den Berechtigungstrace auf allen oder auf bestimmten Anwendungsservern zu verwenden.