Strukturelle Berechtigungen
Security Automation bei HR Berechtigungen
Wenn ein Benutzer keine Druckberechtigung für ein Ausgabegerät hat (Berechtigungsobjekt S_SPO_DEV), wird ein eventuell gesetztes Kennzeichen für den Sofortdruck wieder zurückgenommen, d. h., zur Laufzeit des Job- Steps würde ein dabei erstellter Spoolauftrag nicht sofort gedruckt. Werden beim Einplanen eines Steps Archivparameter übergeben, wird eine Prüfung auf das Objekt S_WFAR_PRI ausgeführt. Hat der Step-Benutzer keine passende Berechtigung, wird eine Fehlermeldung ausgegeben.
Der Zugriff auf Tabellen und Reports sollte nur eingeschränkt erlaubt werden. Eine generelle Vergabe von Berechtigungen, z. B. für die Transaktion SE16 oder SA38, wird nicht empfohlen. Stattdessen können Parameteroder Reporttransaktionen Abhilfe schaffen. Mithilfe dieser Transaktionen können Sie Berechtigungen nur für bestimmte Tabellen oder Reports erteilen. In der Vorschlagswertepflege können Sie weiterführende Berechtigungsobjekte, wie z. B. S_TABU_NAM, pflegen.
Ziel eines Berechtigungskonzepts
Referenzbenutzer sind nicht für den Zugriff auf ein SAP-System gedacht, sondern sie dienen der Berechtigungsadministration und haben daher immer ein deaktiviertes Passwort. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, bei denen der Referenzbenutzer eingetragen ist. Hierzu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft.
Ein Benutzer wird in der Ergebnisliste angezeigt, wenn eine der beiden Transaktionen mit der entsprechenden Ausprägung in seinem korrespondierenden Berechtigungsprofil enthalten ist. Würde die logische Verknüpfung vollständig mit OR verknüpft, würde ein entsprechender Benutzer bereits dann in der Ergebnisliste angezeigt, wenn nur eine der vier Berechtigungen im Benutzerstammsatz und somit im Berechtigungsprofil vorliegt.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Diese Tests prüfen nur oberflächlich auf die Existenz eines Berechtigungsobjektes und reagieren nicht auf Einstellungen in der Feldausprägung im Profil der Rollen.
Dieses enthält die Vorgaben für die Konfiguration der SAP-Systeme.