Statistikdaten anderer Benutzer
Den Zeitstempel in der Transaktion SU25 verwenden
Bei einem Releasewechsel steht als Nacharbeit auch die Anpassung der Berechtigungen an. Dass diese Aufgabe sehr komplex sein kann, haben Sie sicher schon einmal selbst erfahren. Viele Neuerungen erleichtern Ihnen diese Arbeit und gestalten den ganzen Vorgang transparenter. Bei einem Releasewechsel kommen häufig nicht nur neue Anwendungen hinzu, sondern auch neue bzw. veränderte Berechtigungsobjekte, Berechtigungsprüfungen und, daraus resultierend, veränderte Vorschlagswerte. Mithilfe der Transaktion SU25 können Sie Schritt für Schritt erst die Vorschlagswerte auf den aktuellen Stand bringen und anschließend alle betroffenen Rollen. Bisher war die Transaktion für Sie jedoch eher eine Art Black Box. Sie haben die einzelnen Schritte ausgeführt, ohne zu sehen, wie Ihre Vorschlagswerte oder Rollen geändert wurden. Wir zeigen Ihnen nun, wie Sie die neuen Funktionen des SAP NetWeaver Application Servers ABAP verwenden können, um mehr Transparenz beim Upgrade der Vorschlagswerte und Abmischen der PFCG-Rollen zu erhalten.
Diese erweiterte Funktionalität der Transaktion SU53 wird über einen Patch ausgeliefert. Im SAP-Hinweis 1671117 finden Sie weiterführende Informationen zu den erforderlichen Support Packages sowie technische Hintergründe. Nicht erfolgreiche Berechtigungsprüfungen werden nun in einen Ringpuffer des Shared Memorys des Anwendungsservers geschrieben. Damit können Sie nun fehlgeschlagene Berechtigungsprüfungen auch in Web-Dynpro-Anwendungen oder anderen Benutzeroberflächen anzeigen, was bisher nicht möglich war. Abhängig von der Größe des Ringpuffers und der Systemauslastung können je Benutzer bis zu 100 fehlgeschlagene Berechtigungsprüfungen für die letzten drei Stunden angezeigt werden. Die Größe des Ringpuffers wird aus der Anzahl der definierten Workprozesse berechnet. Standardmäßig können 100 Berechtigungsprüfungen je Workprozess gespeichert werden. Diese Größe können Sie mithilfe des Profilparameters auth/su53_buffer_entries anpassen.
BERECHTIGUNGEN IN SAP-SYSTEMEN
Es gibt allerdings auch die Situation, dass Berechtigungsfelder zu Organisationsebenen erhoben werden. Sind diese Berechtigungsfelder schon in den PFCG-Rollen mit Werten gefüllt worden, müssen Sie diese Organisationsebenen nach der Kategorisierung der Berechtigungsfelder als Organisationsebenen erneut befüllen. Dabei hilft Ihnen der Report PFCG_ORGFIELD_ROLES, der alle Rollen mit den Organisationsebenenfeldern, d. h. mit den in den Organisationsebenenfeldern gepflegten Berechtigungsfeldern, abgleicht.
Zum Lesen oder Ändern von Daten muss ein Benutzer sowohl das Privileg haben, eine bestimmte Aktion ausführen zu dürfen, als auch das Privileg, auf das Objekt zugreifen zu können. In SAP HANA werden die folgenden Privilegien unterschieden.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Diese Beziehung wird bis hin zur Benutzer-ID festgelegt.
Mit dem Ausklammern des Ordners GENERIC_OP_LINKS müssen Sie sich in Ihrer PFCG-Rolle nur um die externen Services und deren Berechtigungsobjekte kümmern, die in der CRM-Business-Rolle konfiguriert wurden.