Gleiche Berechtigungen
Eine Berechtigung für externe Services von SAP CRM vergeben
Nach dem Klick auf diesen Button sehen Sie den aktuellen ZBV-Status im gleichnamigen Bereich und können das ausgewählte System über den Button Ausführen aus der ZBV herauslösen. Für dieses Tochtersystem ist die ZBV nun nicht mehr aktiv. Um Inkonsistenzen in den Benutzerstammsätzen zu vermeiden, müssen Sie die Benutzer nach der Aktivierung der ZBV im Tochtersystem abgleichen. Dies können Sie in der Transaktion SCUG durchführen und dort Benutzerdaten aus dem Tochtersystem in das Zentralsystem übernehmen. Informationen zu den technischen Voraussetzungen finden Sie im SAP-Hinweis 962457. Um die ZBV komplett auszuschalten, nutzen Sie den Report RSDELCUA bzw. den Button Löschen in der Transaktion SCUA. Über diese Funktion haben Sie die Möglichkeit, entweder nur bestimmte Tochtersysteme aus der ZBV oder die komplette ZBV zu löschen.
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Rollenverwaltung
Darüber hinaus müssen Sie beachten, dass Sie diesen Report nicht auf Systemen ausführen dürfen, die als Benutzerquelle für ein Java-System eingesetzt werden. Dies liegt darin begründet, dass bei einer Anmeldung am Java-System nur dann das Datum der letzten Anmeldung im ABAP-System aktualisiert wird, wenn eine passwortbasierte Anmeldung erfolgt ist. Andere Anmeldungsarten am Java-System aktualisieren das Datum der letzten Anmeldung im ABAP-System nicht.
Das Anwendungs-Log können Sie auch über die Transaktion SLG1 (Objekt ATAX) auswerten; die Ausgabe des Reports CA_TAXLOG scheint uns hier aber zweckmäßiger. Abschließend haben wir für Sie noch einige wichtige Informationen zusammengefasst: Es gibt einzelne Programme, die rein lesend genutzt werden können, jedoch auch Optionen für Updates auf der Datenbank bieten. In diesen Fällen wurde zusätzliche Logik implementiert (z. B. im SAP-Hinweis 925217 zum Programm RFUMSV00 für die Umsatzsteuervoranmeldung). Daten des Action Logs können über die Transaktion SLG2 (Objekt: ATAX) gelöscht werden (siehe dazu auch den SAP-Hinweis 530733). Wenn Sie das Customizing für die geschäftsjahresabhängigen Berechtigungen direkt im Produktivsystem pflegen wollen (sogenannte laufende Einstellung), beschreibt der SAP-Hinweis 782707, wie Sie dabei vorgehen müssen. Grundlegende Informationen zum Thema Laufende Einstellungen enthalten die SAP-Hinweise 135028 und 356483. SAP-Hinweis 788313 beschreibt detailliert die Funktionsbausteine der Zeitraumprüfung sowie der Zusatzprotokollierung und dient auch als »Kochbuch«, um diese in kundeneigenen Entwicklungen zu nutzen. Wie Sie den Zugriff auf das SAP-Menü verhindern und dem Benutzer ausschließlich das Benutzermenü anzeigen können, haben wir in Tipp 47, »Customizing der Benutzer- und Berechtigungsverwaltung einstellen«, beschrieben.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Mithilfe des Pflegestatus können Sie eine Aussage darüber treffen, wie das Berechtigungsobjekt in die Rolle gelangt ist und wie es dort gepflegt wurde.
Löschen Sie dazu die Zeile *ECATTDEFAULT.