Anforderungen an ein Berechtigungskonzept umsetzen
Nach Benutzer- und Passwortsperren suchen
Nachdem die funktionale Spezifikation abgenommen worden ist, kann man mit der Umsetzung begingen: Erstellen Sie dafür zuerst Ihr kundeneigenes Berechtigungsobjekt und implementieren Sie die dafür vorgesehene Berechtigungsprüfung. Im nächsten Schritt müssen Sie die Vorschlagswerte in der Transaktion SU24 für die jeweilige kundeneigene Transaktion pflegen. Rufen Sie hierzu Ihre eigens erstellte Transaktion auf, und weisen Sie die notwendigen Berechtigungsobjekte entweder manuell über den Button Objekt zu, oder verwenden Sie den Berechtigungs- oder Systemtrace zur Vergabe der Berechtigungen (siehe Tipp 40, »Den Berechtigungstrace zur Ermittlung von Vorschlagswerten für kundeneigene Berechtigungen verwenden«). Dabei müssen Sie die im kundeneigenen Coding verwendeten Berechtigungsobjekte hinterlegen. Pro Berechtigungsobjekt können Sie Feldwerte pflegen, die als Vorschlagswerte in den jeweiligen Rollen auftauchen. Nun müssen alle betroffenen Rollen angepasst werden. Ist der Abmischmodus für die Transaktion PFCG auf Ein gestellt (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«), werden alle PFCG-Rollen, die der jeweilige Transaktion im Rollenmenü zugewiesen werden, erkannt und können über die Transaktion SUPC neu abgemischt werden. Befindet sich die kundeneigene Transaktion noch nicht in den PFCG-Rollen, wird sie an dieser Stelle ergänzt, und die jeweilige PFCG-Rolle wird neu abgemischt.
Wenn Sie möchten, dass Ihre Eigenentwicklungen, genau wie der Standard, Ihren Sicherheitsanforderungen entsprechen, müssen Sie den kundeneigenen Tabellen Tabellenberechtigungsgruppen zuordnen. Kundeneigene Tabellen, oder auch SAP-Standardtabellen, die Sie besonders schützen möchten, gehören in separate, gegebenenfalls kundeneigene Tabellenberechtigungsgruppen. Sollen für die Systemadministration oder bestimmte Anwendungen umfangreiche Berechtigungen erteilt werden, erfolgt dies mit dem Berechtigungsobjekt S_TABU_DIS für die Tabellenberechtigungsgruppe. Da vielen Standardtabellen keine Tabellenberechtigungsgruppe zugeordnet ist und diese damit automatisch in der Tabellenberechtigungsgruppe &NC& landen, sollten Sie den Zugriff auf diese Tabellenberechtigungsgruppe einschränken. Bestimmte Tabellen wie T000 (Mandanten) befinden sich z. B. in einer großen Tabellenberechtigungsgruppe (SS: RS: Steuerung SAP); daher kann man den Zugriff über eine eigene Tabellenberechtigungsgruppe besser einschränken. Auch kundeneigene Tabellen sollten Sie immer einer Tabellenberechtigungsgruppe zuordnen, da ihnen ansonsten ebenfalls die Tabellenberechtigungsgruppe &NC& zugeordnet wird. Im Folgenden erklären wir Ihnen daher, wie Sie Tabellenberechtigungsgruppen anlegen und Tabellen zuordnen können.
Transaktionale und Native oder analytische Kacheln in der FIORI Umgebung
Mit einem Klick auf den Button Anmeldedaten starten Sie den Report RSUSR200, und Sie gelangen in die Selektionsmaske. Mit diesem Report können Sie Benutzer nach Anmeldedaten selektieren. Außerdem können Sie ermitteln, ob ein Benutzer sein Initialkennwort geändert hat. Sie können mit dem Button (Variante holen) oder anhand der Tastenkombination (ª) + (F5) eine vordefinierte Variante aus dem Variantenkatalog auswählen.
Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Zudem können Rollen auch durch die Ausprägung eines Gültigkeitszeitraums abgelaufen sein.
Dabei müssen Sie beachten, dass dies nur für eine Validierung (gegebenenfalls mit mehreren Schritten) pro Buchungskreis und Zeitpunkt möglich ist.