BERECHTIGUNGEN IN SAP-SYSTEMEN
Reports starten
In der Simulationsübersicht erhalten Sie nun alle Informationen, die Sie aus der Berechtigungspflege in der Transaktion PFCG bereits kennen. Die Ergebnisse werden in einer Tabelle dargestellt, bei der jede Zeile einem Werteintervall einer Berechtigung entspricht. In der Spalte Objekt wird das Berechtigungsobjekt angegeben. Über die Spalte Aktiv/Inaktiv erkennen Sie, ob die jeweilige Berechtigung deaktiviert wurde. Die Spalten Pflegestatus und Aktualisierungsstatus geben Auskunft zum Status der Berechtigung und darüber, wie die Berechtigung aktualisiert wurde. In der Spalte Berechtigungsvergleich erfahren Sie, was sich genau an der Berechtigung geändert hat, z. B. ob eine Berechtigung gelöscht oder neu hinzugefügt wurde oder ob die Feldwerte in der Berechtigung aktualisiert worden sind. Die Informationen zu den Feldwerten erhalten Sie in der Spalte Wertevergleich, aus der ersichtlich wird, ob Werte gleich geblieben, ergänzt oder gelöscht worden sind. Die eigentlich gelöschten und neu hinzugefügten Werte sehen Sie in den Spalten von Wert und bis Wert (siehe Abbildung nächste Seite). Bitte beachten Sie, dass es sich hier nur um eine Simulation handelt. Den eigentlichen Abmischvorgang müssen Sie nach wie vor in der Berechtigungspflege durchführen. Da das Abmischen von Rollen nicht nur bei Upgradenacharbeiten eine Rolle spielt, gibt es auch über die Transaktion SUPC die Möglichkeit, diesen Simulationsmodus aufzurufen. In der Übersicht der ausgewählten Rollen finden Sie wieder den Button Abmischen, der den Abmischvorgang simuliert.
In der Transaktion SU22 pflegen die Entwickler einer Anwendung die Vorschlagswerte für alle benötigten Berechtigungsobjekte; dabei hilft der Berechtigungstrace. Wie in SAP-Hinweis 543164 beschrieben, wird über den dynamischen Profilparameter auth/authorization_trace der Trace mit dem Wert Y (aktiv) bzw. F (aktiv mit Filter) eingeschaltet. Mit dem Einspielen der SAP-Hinweise 1854561 bzw. des relevanten Support Packages aus SAP-Hinweis 1847663 ist es möglich, einen Filter für diesen Trace über die Transaktion STUSOBTRACE zu definieren, den Sie anhand der Kriterien Typ der Anwendung, Berechtigungsobjekte oder Benutzer einschränken können.
Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Im Rahmen von Upgrades müssen auch die Berechtigungsrollen überarbeitet werden. In diesem Zusammenhang können Sie das Profil SAP_NEW zur Unterstützung verwenden. Während eines Upgrades werden Änderungen und Verbesserungen von Berechtigungsprüfungen im SAP NetWeaver AS ABAP ausgeliefert. Damit die Benutzer weiterhin wie gewohnt Ihre bisherigen Aktionen im SAP-System durchführen können, müssen Sie als Berechtigungsadministrator die Berechtigungsausprägungen im Rahmen des etablierten Berechtigungskonzepts überarbeiten bzw. ergänzen. Grundsätzlich nutzen Sie hierzu die Transaktion SU25. Für die Übergangszeit können Sie die Berechtigung SAP_NEW einsetzen, bis das Berechtigungskonzept auf dem aktuellen Stand für das neue Release ist. Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Wechseln Sie nun in die Benutzerpflege, und Sie werden feststellen, dass diese PFCG-Rolle Ihrem Benutzer noch gar nicht zugeordnet ist. Dafür müssen Sie zunächst den Benutzerstammabgleich durchführen. Diesen können Sie manuell über die Transaktion PFUD ausführen oder als Job einplanen. Dafür ist der Hintergrundjob PFCG_TIME_DEPENDENCY bzw. der Report RHAUTUPD_NEW vorgesehen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Vor dem Erstellen von PFCG-Rollen ist die Pflege der Vorschlagswerte für die verwendeten Transaktionen sinnvoll.
Andernfalls müssen erweiterte Berechtigungsprüfungen in den Modulen durchgeführt und zuvor die Zugriffe auf produktionsnahe Daten gegenüber dem Produktivsystem durch die jeweiligen Dateneigentümer genehmigt werden.