CRM-Rollenkonzept im Zusammenhang mit externen Services umsetzen
SAP_NEW nicht zuweisen
Wir möchten Ihnen nun die notwendigen Einstellungen in der versendenden Anwendung beschreiben und verwenden dazu das Beispiel des verschlüsselten Versands von Initialpasswörtern. Um diese Anforderung umzusetzen, können Sie das BAdI BADI_IDENTITY_UPDATE nutzen. Dieses BAdI steht Ihnen ebenfalls nur per Support Package ab SAP NetWeaver AS ABAP 7.31 zur Verfügung. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1750161. Für eine Implementierung des BAdIs verwenden Sie die Transaktion SE18; dort können Sie auch die Beispielklasse CL_EXM_IM_IDENTITY_UPDATE einsehen. Für das BAdI BADI_ IDENTITY_UPDATE müssen Sie zum Interface IF_BADI_IDENTITY_UPDATE die Methode SAVE implementieren.
Wird durch das Programm festgestellt, dass beide in den vorangehenden Aufzählungspunkten genannten Kriterien erfüllt sind, liegt das Kriterium der Gleichheit vor. Dies bedeutet, dass die Vorschlagswerte der bereits vorhandenen und neu hinzuzufügenden Berechtigung aus der gleichen Transaktion stammen. Somit fügt das Programm keine neue Standardberechtigung in den Berechtigungsbaum ein.
Fehlende Definition eines internen Kontroll-Systems (IKS)
Es werden immer nur aktuelle Profildaten aufgezeichnet, sodass keine Löschung obsoleter Profile und Berechtigungen im Zielsystem per Transport möglich ist. Diese Daten bleiben den Benutzern zugeordnet und so lange wirksam, bis sie ein Benutzerabgleich mit der Option Bereinigung durchführen (Transaktion PFUD) löscht.
Auch hier ist es möglich, mithilfe von Tools bei den HR Berechtigungen Absicherung und Überblick zu schaffen. Durch das Tool wird eine klare Übersicht erstellt, auf welche Daten bestimmte Nutzer im SAP-System zugreifen dürfen. Darauf aufbauend ist es möglich, automatische Prüfungen zu entwickeln, die im Hintergrund ablaufen und regelmäßig kontrollieren, ob durch Änderungen an den Berechtigungen kritische Lücken im HR-Bereich entstanden sind.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Daher stellen wir Ihnen hier drei mögliche Ansätze vor: 1) Ansatz einer kundeneigenen Entwicklung 2) automatisierte Massenpflege mithilfe der Komponente Business Role Management (BRM) von SAP Access Control 3) Einsatz eines Pilothinweises, der einen Report für das Massenupdate von Organisationswerten in Rollen ermöglicht (aktuell für ausgewählte Kunden verfügbar).
Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden.