Berechtigungsobjekte einfacher pflegen
Bei der Pflege von Vorschlagswerten sinnvoll vorgehen
Wie bei einer SAP_NEW-Rolle besteht die Möglichkeit, eine SAP_APP-Rolle zu generieren. Wie beim Profil SAP_APP sind hier alle Berechtigungen, außer die Basis- und die HCM-relevanten Berechtigungen enthalten. Die Möglichkeit, diese Rolle mit dem Report REGENERATE_SAP_APP zu erstellen, besteht nach dem Einspielen des SAP-Hinweises 1703299. Dieser Report generiert eine Rolle, die uneingeschränkt für alle Anwendungen zu benutzen ist. Wir empfehlen Ihnen den Einsatz dieser Rolle jedoch nur für Entwicklungs- und Testsystem.
Alle Berechtigungsprüfungen werden in Tabellenform als ALV-Liste ausgegeben. Diese Liste können Sie nach Spalten sortieren oder filtern. Des Weiteren sind sämtliche Neuerungen aus der Transaktion ST01, die wir zu Beginn dieses Tipps aufgeführt haben, für die Auswertung übernommen worden. Durch einen Doppelklick auf ein Berechtigungsobjekt gelangen Sie direkt zur Berechtigungsobjektdefinition, und mit einem Doppelklick auf die Transaktion werden Sie direkt zur Programmstelle geleitet, in der die Berechtigungsprüfung erfolgt. Weitere Verwendungstipps für diesen Trace geben wir Ihnen in Tipp 32, »Berechtigungswerte mithilfe von Traceauswertungen pflegen«, und in Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«.
Werte des Berechtigungstrace ins Rollenmenü übernehmen
Sollten Sie ein älteres SAP-NetWeaver-Release als 7.00 installiert haben, stehen Ihnen nach der Implementierung des SAP-Hinweises 1731549 nur zwei mögliche Werte für den Customizing-Schalter BNAME_RESTRICT zur Verfügung. Der Schalter hat den Wert NO, und Sie können Ihn auf ALL umstellen, sodass der Schalter die gleiche Funktionalität wie in den höheren Releases annimmt.
Systembenutzer sind ebenfalls für den anonymen Zugriff gedacht. Sie werden in technischen Abläufen verwendet, die einen Benutzer erfordern, wie z. B. in Batch-Läufen oder RFC-Verbindungen. Mit ihnen ist daher keine Dialoganmeldung am SAP-System möglich, sondern nur die Anmeldung per RFC-Aufruf. Für einen Systembenutzer sind immer Mehrfachanmeldungen möglich, und die Regeln für die Änderung von Passwörtern (siehe auch die Erläuterung unter »Servicebenutzer«) greifen nicht. Das Passwort eines Systembenutzers hat immer den Status Produktiv und kann nur durch den Benutzeradministrator geändert werden.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Durch diesen Prozess kann letzten Endes sichergestellt werden, dass die Benutzer auch tatsächlich nur jene Berechtigungen im SAP®-System besitzen, die sie auch tatsächlich brauchen.
Ist das Konzept mittlerweile nicht mehr sinnvoll umsetzbar oder bereits falsch aufgebaut, ist eine Neuerstellung notwendig.