Was tun, wenn der Wirtschaftsprüfer kommt – Teil 2: Berechtigungen und Parameter
Kontextabhängige Berechtigungen
Bei der Anzeige oder dem Buchen von Belegen im SAP-Finanzwesen reichen Ihnen die Standardberechtigungsprüfungen nicht aus? Nutzen Sie die Belegvalidierung, BTEs oder BAdIs für zusätzliche Berechtigungsprüfungen. Das Buchen von Belegen und häufig auch deren Anzeige wird durch Standardberechtigungsprüfungen geschützt; diese erfüllen aber gegebenenfalls nicht Ihre Anforderungen.
Bei mehr als 28 Benutzern klappt das einfache Copy & Paste in die Benutzerselektion nicht mehr. Das heißt jedoch nicht, dass Sie nun alle Benutzer einzeln pflegen müssen! Es kommt häufig vor, dass Sie im SAP-System Massenänderungen an Benutzern durchführen möchten, z. B. wenn sich Rollenzuordnungen ändern, Sie eine Gruppe von Benutzern sperren wollen oder deren Gültigkeitsdaten anpassen müssen. Im Startbild der Transaktion SU10 gibt es leider keinen Button, der ein Einfügen der Benutzer aus der Zwischenablage ermöglicht. Zwar können Sie mit Copy & Paste Benutzer aus der Zwischenablage einfügen, aber diese Funktion ist auf den sichtbaren Bereich eingeschränkt. Daher ist es auf diesem Wege nicht möglich, eine Liste von mehr als 28 Benutzern einzufügen, was bei langen Listen sehr mühselig sein kann.
Berechtigungsfehler durch Debugging ermitteln
Vollziehen Sie dieses Szenario einmal in Ihrem System nach. Beispielsweise können Sie aus der Transaktion MM50 in die Transaktion MM01 abspringen, ohne dass die Transaktionsstartberechtigung für die Transaktion MM01 explizit über das Berechtigungsobjekt S_TCODE vergeben sein muss. Sie sehen diesen Aufruf in Ihrem Systemtrace für Berechtigungen in der Spalte Zusatzinformation zur Prüfung. Dort erkennen Sie, dass die Berechtigungsprüfung beim Aufruf CALL TRANSACTION deaktiviert wurde. Der Anwender darf in die Transaktion MM01 springen, obwohl in der ihm zugewiesenen Rolle Z_MATERIALSTAMMDATEN nur Berechtigungen für die Transaktionen MM03 und MM50 verzeichnet sind.
Grundsätzlich empfehlen wir Ihnen, starke Verschlüsselungsmechanismen einzusetzen und die meisten Benutzer auf eine SSO-Anmeldung umzustellen. Die Hash-Werte der Benutzerpasswörter sollten Sie dann, wie oben beschrieben, löschen. Releaseabhängige Informationen zur SNC-Client-Verschlüsselung finden Sie im SAP-Hinweis 1643878.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Weisen Sie dazu die jeweiligen Attribute mit den organisatorischen Werten zu, für die der Anwender berechtigt sein soll.
Dieses Objekt gilt es also zu analysieren.