Verwendung von Vorschlagswerten und Vorgehen beim Upgrade
Den Berechtigungspuffer prüfen und auffrischen
Als Ergebnis erhalten Sie eine erweiterte IMG-Struktur, in unserem Beispiel FF Log Einstellungen, die Sie über die Transaktion SPRO aufrufen können. Schließlich könnten Sie noch die Transaktion COAT nutzen (siehe SAP-Hinweis 1089923), um z. B. Ihren kundeneigenen Tabellen und Reports zusätzliche Attribute zuzuordnen. Dies könnte z. B. relevant für die Steuerprüfung und Abschlussreports bzw. performancekritisch sein.
Bei den Rollen gibt es eine Besonderheit wenn das entsprechende SAP System auf S/4HANA beruht. Während unter SAP ERP nur Rollen mit Berechtigungen für das GUI System relevant waren sind für die Anwendungen unter FIORI entsprechende Businessrollen erforderlich. Hier sind neben den Rollen in den Berechitgungsobjekte und Berechtigungswerte eingetragen werden auch sogenannte Business Rolen.
Bei den Namenskonventionen für PFCG-Rollen von Best Practices profitieren
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hinweis werden die Reports RSUSR200 und RSUSR002 um die Selektion verschiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht. Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen. Dabei werden lokale und globale Administratorsperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskriterien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heute gültig und Benutzer heute nicht gültig wählen.
Benutzertrace - Transaktion: STUSERTRACE - Mit der Transaktion STUSERTRACE ruft man den Benutzertrace auf. Im Grunde genommen ist das der Berechtigungstrace (Transaktion STUSOBTRACE), der auf einzelne Benutzer filtert. Man kann also genau den Berechtigungstrace aufrufen und den Filter auf einen Benutzer einstellen. Wie beim Berechtigungstrace muss der Profilparameter “auth/authorization_trace” in der Parameterverwaltung (Transaktion RZ10) entsprechend gesetzt werden.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Mit der Berechtigungsvorschlagswertpflege gehen Sie außerdem auf Nummer sicher, dass das neue Berechtigungsobjekt bei einer Rollenanlage nicht vergessen wird, da es nun beim Aufruf der Anwendung über das Rollenmenü automatisch in die PFCG-Rolle geladen wird.
So müssen Sie in der Regel den Zugriff auf die Ergebnisberichte über das Objekt K_KEB_REP auf den Ergebnisbereich und den Berichtsnamen begrenzen und die Funktionen des Infosystems im Objekt K_KEB_TC einschränken, z. B. auf die Ausführung oder die Aktualisierung von Berichten.