Fazit
Customizing der Benutzer- und Berechtigungsverwaltung einstellen
Jede Rolle kann auf beliebig viele Transportaufträge geschrieben werden. Eine Information über existierende Aufzeichnungen derselben Rolle durch andere Administratoren findet nicht statt.
Im Gegensatz zur Speicherung der Passwörter in Form von Hash-Werten werden die Benutzer-ID und das Passwort während der Anmeldung des Clients am Anwendungsserver unverschlüsselt übertragen. Dabei wird das Protokoll Dynamic Information and Action Gateway (DIAG) verwendet, das vielleicht etwas kryptisch aussehen mag, aber keine Verschlüsselung darstellt. Außerdem findet auch keine kryptografische Authentifizierung zwischen Client und Anwendungsserver statt. Dies gilt nicht nur für die Kommunikation zwischen der Benutzeroberfläche und dem Anwendungsserver, sondern auch für die Kommunikation zwischen verschiedenen SAP-Systemen mittels Remote Function Call (RFC). Wenn Sie sich also gegen das Abgreifen der Passwörter während der Übertragung schützen möchten, müssen Sie selbst eine Verschlüsselung dieser Kommunikation einrichten.
Benutzer-und Berechtigungsverwaltung
Die Verwendung von Vorschlagswerten bringt nicht nur bei der Erstellung bzw. Pflege von PFCG-Rollen Vorteile, sondern auch bei der Berechtigungspflege als Nacharbeit eines Upgrades. Des Weiteren können diese Werte als Grundlage für Risikodefinitionen herangezogen werden. Vor dem Erstellen von PFCG-Rollen ist die Pflege der Vorschlagswerte für die verwendeten Transaktionen sinnvoll. Hierbei müssen Sie allerdings nicht alle Vorschlagswerte, die von SAP ausgeliefert werden, komplett überarbeiten.
Ein lästiges, Ihnen bestimmt bekanntes Szenario: Sie gehen demnächst mit einem neuen Geschäftsprozess live und müssen nun Ihre dafür erstellten Rollen in 97 Buchungskreise ableiten. Hier kann Ihnen eCATT das Leben erleichtern. Es ist mal wieder soweit: Wenn Sie in Ihrer Abteilung niemanden haben, der Gefallen daran findet, mehrere Stunden lang in der Transaktion PFCG den Kopierknopf zu drücken, das Ableitungskürzel zu ersetzen und dann in den neuen Rollen auf der Registerkarte Berechtigungen die Organisationsebenen (Orgebenen) anzupassen (immer wieder verbunden mit Speichervorgängen), bleibt der Job an Ihnen hängen. Weil es kaum etwas Langweiligeres gibt, schleichen sich spätestens nach einer Stunde die ersten Fehlerchen ein. Immer wenn Sie neue Rollen, z. B. für Ihr neues Premiumgeschäft, auf alle Ihre Unternehmensbereiche, Werke usw. ausrollen müssen, ist die Anlage der abgeleiteten Rollen mühselig – weil SAP keine gescheite Massenpflege anbietet. Der SAP-Standard bietet verschiedene Möglichkeiten, um Aktivitäten aufzuzeichnen und massenhaft abzuspielen. Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege. Daher sind sie auch komplexer in der Bedienung, um möglichst flexibel alle denkbaren Einsatzszenarien abdecken zu können. Auch eCATT bildet hier keine Ausnahme, weswegen viele Anwender nach wie vor vor dessen Verwendung zurückschrecken. Wir können Ihnen aber aus Erfahrung sagen: Nach dem zweiten oder dritten Mal geht Ihnen die Erstellung der Testskripts so schnell von der Hand, dass Sie sich fragen werden, warum Sie es nicht schon immer so gemacht haben.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Sollte der SAPHinweis 1307693 auf einem Tochtersystem nicht installiert oder die Berechtigungen des RFC-Benutzers nicht entsprechend angepasst worden sein, gibt der Report RSUSR_SYSINFO_LICENSE im Anwendungs-Log (Transaktion SLG1) eine entsprechende Warnung aus.
Wir geben Ihnen einen groben Leitfaden, wann es sinnvoll ist, Vorschlagswerte zu pflegen.