Berechtigungsobjekte für die Tabellenbearbeitung verwenden
Wichtige Komponenten im Berechtigungskonzept
Ein temporäres Abschalten der Zentralen Benutzerverwaltung wird in der Regel nicht empfohlen. In bestimmten Fällen kann es jedoch notwendig sein. Wir zeigen Ihnen, welche Vor- und Nacharbeiten erforderlich sind, um Dateninkonsistenzen zu vermeiden. In komplexen SAP-Landschaften, in denen die Zentrale Benutzerverwaltung (ZBV) eingesetzt wird, können Fälle eintreten, in denen Sie ein Tochtersystem temporär aus der ZBV entfernen möchten, ohne dieses System löschen oder die ganze ZBV abschalten zu müssen, wenn z. B. kurzfristig Benutzer in einem Tochtersystem angelegt werden sollen.
Bei den Berechtigungen auf Datenbankobjekte zeigen Ihnen die Details, welche Berechtigung der Benutzer beim Zugriff auf das Objekt hat. Im folgenden Beispiel enthält die Rolle MODELING die Berechtigung für die Nutzung des Objekts _SYS_BI mit der Einschränkung auf die Privilegien EXECUTE, SELECT, INSERT, UPDATE und DELETE. Zusätzlich ist es einem Benutzer – dem diese Rolle zugewiesen ist – nicht erlaubt, diese Privilegien an andere Benutzer weiterzureichen (Grantable to Others). Unsere Beispielrolle enthält außerdem Analytical Privileges und Package Privileges, auf die hier nicht näher eingegangen wird.
Analyse der Qualität des Berechtigungskonzeptes – Teil 1
Grundsätzlich können alle Berechtigungsfelder in die Organisationsebene hochgestuft werden; es gibt allerdings technische Ausnahmen und Felder, bei denen dies nicht sinnvoll ist. Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL. Außerdem können Sie das Feld ACTVT nicht zur Organisationsebene erheben. Sinnvoll sind nur die Felder, die innerhalb einer Rolle mit einem Wertebereich belegt werden können. Dies muss natürlich übergreifend für das Berechtigungskonzept betrachtet werden. So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet. Mit dem Report PFCG_ORGFIELD_CREATE können Sie ein Berechtigungsfeld als Organisationsebene definieren. Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Wenn Sie nach einem Upgrade oder nach dem Einspielen eines Support Packages die Transaktion SU25 mit den Schritten 1 oder 2a genutzt haben, um Vorschlagswerte auf den neuesten SAP-Systemstand zu bringen, müssen Sie die Vorschlagswerte zu den kundeneigenen Organisationsebenen mit dem Report PFCG_ORGFIELD_UPGRADE wiederherstellen. Dazu müssen Sie den Report für jedes einzelne Feld ausführen, wobei die Suchhilfe des Reports nur die betroffenen Organisationsebenen anzeigt.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Zentrale Plattform für alle technisch unterstützten Services ist dabei der SAP Solution Manager, denn dort stehen Ihnen Informationen zu den angeschlossenen Systemen zur Verfügung, wenn Sie Datensammlungen für diese Systeme über Hintergrundjobs einplanen.
Unsere Beispielrolle MODELING macht deutlich, dass es möglich ist, verschiedene Privilegtypen einer Rolle zuzuordnen.