Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
Aufgabe & Funktionsweise vom SAP Berechtigungskonzept
Um nun Vorschlagswerte für die neue Transaktion zu definieren, verwenden Sie die Transaktion SU24_S_TABU_NAM. In der Selektionsmaske können Sie entweder Ihre neue Z-Transaktion eingeben, oder Sie geben im Suchfeld Gerufene TA (gerufene Transaktion) die Transaktion SE16 ein. Daraufhin wird nach allen Parametertransaktionen gesucht, in denen die Transaktion SE16 verwendet wird. In der Ergebnisliste finden Sie alle Parametertransaktionen, die die Transaktion SE16 als aufrufende Transaktion verwenden. Die letzten beiden Spalten geben an, ob für die Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Vorschlagswerte in der Transaktion SU24 gepflegt sind.
Mit der Einführung der Sicherheitsrichtlinien ist es nun möglich, für Benutzer vom Typ System oder Service eigene Sicherheitsrichtlinien zu definieren. Auf diesem Wege können Sie sicherstellen, dass abwärtskompatible Passwörter für diese Benutzer weiterhin verwendet werden. Damit ist der Grund, aus dem Passwortregeln nicht für Benutzer vom Typ System bzw. Service gültig waren, weggefallen; daher gelten die Regeln für die Inhalte der Passwörter nun auch für Benutzer dieser Typen. Regeln für die Änderung von Passwörtern sind weiterhin nicht für Benutzer vom Typ System oder Service gültig. Wenn Sie in Ihrem System Sicherheitsrichtlinien einsetzen, können Sie sich mithilfe des Reports RSUSR_SECPOL_USAGE einen Überblick über die Zuordnung von Sicherheitsrichtlinien zu Benutzern verschaffen. Diesen Report finden Sie im Benutzerinformationssystem (Transaktion SUIM). Zusätzlich wurde in den Reports des Benutzerinformationssystems die Selektion nach Benutzern mit ausgewählten Sicherheitsrichtlinien ergänzt. Diese Änderung wurde über ein Support Package bereitgestellt; Details hierzu finden Sie im SAP-Hinweis 1611173.
User- & Berechtigungs-Management mit SIVIS as a Service
Sollten Sie ein älteres SAP-NetWeaver-Release als 7.00 installiert haben, stehen Ihnen nach der Implementierung des SAP-Hinweises 1731549 nur zwei mögliche Werte für den Customizing-Schalter BNAME_RESTRICT zur Verfügung. Der Schalter hat den Wert NO, und Sie können Ihn auf ALL umstellen, sodass der Schalter die gleiche Funktionalität wie in den höheren Releases annimmt.
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Wie schon erwähnt, sind diese meist an die SAP-Module angelehnt.
Das Pflegen von Vorschlagswerten über die Transaktion SU24 ist sinnvoll, wenn kundeneigene Anforderungen wiedergespiegelt werden sollen bzw. die von SAP ausgelieferten Werte nicht mit den Kundenanforderungen übereinstimmen (siehe Tipp 37, »Bei der Pflege von Vorschlagswerten sinnvoll vorgehen«).