Benutzerverwaltung (Transaktion SU01)
Löschen von Versionen
Für diese Szenarien gibt es wiederum verschiedene Möglichkeiten, um zu ermitteln, welche Systeme und Mandanten dem Benutzer in der Selektion des Self-Services angezeigt werden sollen. Wir beschreiben Ihnen daher eine Möglichkeit, die Sie in allen Szenarien nutzen können. Dazu verwenden Sie das BAPI BAPI_USER_GET_DETAIL, das Sie für die SAP-Benutzer-ID in allen relevanten Systemen aufrufen müssen. Prüfen Sie zuerst den Eintrag für den Tabellenparameter RETURN. Ist der Eintrag leer, ist der Benutzer in dem SAPSystem vorhanden. Eventuelle Fehlermeldungen beim Aufruf werden in diesem Parameter ausgegeben (z. B. wenn der Benutzer nicht vorhanden ist). Verfügen die Tabellenparameter PROFILES oder ACTIVITYGROUPS über Einträge, sind dem Benutzer Berechtigungen in diesem System zugeordnet. Zusätzlich können Sie über den Exportparameter REF_USER einen gegebenenfalls zugeordneten Referenzbenutzer ermitteln. Für diesen müssen Sie allerdings ebenfalls prüfen, ob er mit Berechtigungen ausgestattet ist. Auch können Sie beim Aufruf des BAPIs BAPI_USER_GET_DETAIL ermitteln, ob eine Sperre existiert. Nutzen Sie hierzu den Exportparameter ISLOCKED, der eine vierstellige Kombination aus den Zeichen L (gesperrt) und U (nicht gesperrt) zurückgibt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Die allgemeinen SAP Berechtigungen werden am häufigsten eingesetzt und für vieles reichen diese auch aus. Zum Beispiel, wenn ausschließlich die Personalabteilung Zugriff auf das SAP HCM System hat. Kommen aber weitere User auf das System und man möchte diesen nur Zugriff auf einen eingeschränkten Personalbestand erlauben, muss man sich im Fall der allgemeinen Berechtigungen mit dem Organisationsschlüssel des Infotypen 1 (VSDK1) auseinandersetzen, welcher hart in die Berechtigungsrollen eingepflegt werden muss. Wenn jetzt ESS/MSS oder der Manager Desktop usw. ins Spiel kommt, bedeutet dies aber eine Vielzahl von Berechtigungsrollen, nämlich für jeden Manager eine eigene. Dies macht die Wartung und Pflege sehr aufwändig und Ihr Berechtigungskonzept wird undurchsichtig, was wiederum den viel zitierten Wirtschaftsprüfer auf den Plan ruft.
System-Trace-Funktion ST01
Da das Rollenmenü angepasst wurde, muss nun auch die PFCG-Rolle angepasst werden. Wechseln Sie hierzu auf die Registerkarte Berechtigungen, und wählen Sie den Button Berechtigungsdaten ändern. Wenn Sie den Expertenmodus verwenden, achten Sie darauf, dass die Voreinstellung Alten Stand lesen und mit neuen Daten abgleichen beibehalten wird. Nun werden die neuen Vorschlagswerte für diesen externen Service geladen. Nachdem Sie die PFCG-Rolle gepflegt haben, können Sie das Profil generieren und sofort einsetzen.
Wenn Sie die Konfigurationsvalidierung nutzen, empfehlen wir Ihnen trotzdem die gelegentliche Nutzung der AGS Security Services, wie des EarlyWatch Alerts und des SAP Security Optimization Services, die wir in Tipp 93 »AGS Security Services nutzen«, beschreiben. SAP hält die Vorgaben und Empfehlungen in den AGS Security Services aktuell und passt sie an neue Angriffsmethoden und Sicherheitsvorgaben an. Haben Sie im Rahmen eines Security Services neue Sicherheitsaspekte erkannt, können Sie Ihre Zielsysteme entsprechend einstellen und diese Aspekte künftig ebenfalls überwachen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Konfigurationsvalidierung nutzt die Konfigurationsdaten der CCDB für den Abgleich der Einstellungen.
Die Zeitraumprüfung arbeitet dabei kontextabhängig: Neben den Belegen des Prüfungszeitraums werden auch ältere Belege mitangezeigt, wenn sie noch für den Prüfungszeitraum relevant sind, z. B. offene Posten, die zwar in früheren Jahren gebucht, aber erst im Prüfungszeitraum ausgeglichen wurden.