Lösungsansätze für effiziente Berechtigungen
Servicebenutzer
Sie möchten bei der Anlage von Benutzern in der Transaktion SU01 bestimmte Felder aus einer Datenquelle automatisiert vorbelegen? Nutzen Sie dafür ein neues BAdI, für das wir ein Implementierungsbeispiel vorstellen. Wenn Sie in der Transaktion SU01 einen Benutzer in einem SAP-System anlegen, gibt es fast immer bereits Daten zu diesem Benutzer in anderen Systemen. Ein klassisches Beispiel sind Benutzerdaten im Active Directory oder die Personalstammdaten in SAP ERP HCM, die bereits im Rahmen der Einstellung von Mitarbeitern gepflegt werden. Liegen Benutzerdaten in mehreren Systemen vor, ist daher die automatische Erstellung eines Benutzers durch ein Identity-Management-System die erste Wahl, was im SAP Identity Management (ID Management) durch einen HR-Trigger gelöst ist. Das ID Management erkennt Änderungen, z. B. an Personalstammdaten, in SAP ERP HCM oder an Geschäftspartnern in SAP CRM und legt die entsprechenden Benutzer in Ihren Systemen an oder nimmt Änderungen und Deaktivierungen vor. Aber was, wenn Sie kein Identity-Management-System im Einsatz haben? Müssen Sie dann alle diese Daten abtippen? Nein – Sie können sie automatisiert vorbelegen. Nutzen Sie dafür ein Business Add-in (BAdI), mit dem Sie bereits bei der Anlage eines Benutzers in der Transaktion SU01 bestimmte Felder vorbelegen können.
Damit werden nur die Anwendungen berücksichtigt, die in den Rollenmenüs der ausgewählten PFCG-Rollen gepflegt sind. Haben Sie den Haken bei Ausschließlich Anwendungen mit veränderten SU22-Daten berücksichtigen gesetzt, werden nur Anwendungen verwendet, bei denen die Vorschlagswerte durch einen Import, z. B. durch Support Packages oder Enhancement Packages, verändert wurden. Führen Sie den Schritt zur Übernahme der Daten aus der Transaktion SU22 aus, indem Sie Ihre Anwendungen selektieren. Sie erhalten nun eine Liste mit Anwendungen, die Sie abgleichen müssen. Markieren Sie jeweils die Zeilen, in denen die abzugleichenden Anwendungen stehen. Beim Abgleich helfen Ihnen die Buttons in der Menüleiste.
Löschen von Tabellenänderungsprotokollen
Systemtrace - Transaktion: ST01 oder STAUTHTRACE - Außerdem gibt es für eine Auswertung noch einen Systemtrace. Anders als der Berechtigungstrace ist ein Systemtrace hauptsächlich für kurze Zeiträume ausgelegt. Meine bevorzuge Variante den Systemtrace aufzurufen ist über die Transaktion STAUTHTRACE. Hier kann man direkt die Auswertung filtern und erhält eine bessere Auswertungsdarstellung. Über die einzelnen Buttons kann man direkt den Trace ein- oder ausschalten und das Ergebnis des Trace anzeigen lassen.
Das Rollenkonzept sieht vor, dass jeder Anwender nur die Aufgaben bearbeiten kann, zu denen er befugt ist. Die Entwicklung erfolgt abteilungsübergreifend und muss sensible Daten vor unbefugtem Zugriff schützen. Ein klares Rollenkonzept ermöglicht einen modularen Aufbau von Berechtigungen, ohne für jeden Benutzer eigene Rollen anlegen zu müssen.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Grundlegende Informationen zum Thema Laufende Einstellungen enthalten die SAP-Hinweise 135028 und 356483.
Findet keine Berechtigungsprüfung im Code statt, kann auch das Berechtigungskonzept den Zugriff nicht einschränken.