Berechtigungen für den SAP NetWeaver Business Client steuern
Berechtigungskonzept – Benutzerverwaltungsprozess
Ein SAP Berechtigungskonzept dient der Abbildung von einschlägigen Rechtsnormen und unternehmensinternen Regelungen auf die technischen Schutzmöglichkeiten innerhalb eines SAP Systems. Berechtigungskonzepte sind somit der Schlüssel zum optimalen Schutz Ihres Systems sowohl nach außen als auch nach innen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Zum Daily Business eines Berechtigungsadministrators gehören die Prüfungen und Analysen von kritischen Berechtigungen und Kombinationen im System. Der Schwerpunkt liegt dabei bei den Benutzern und Rollen in dem jeweiligen Mandanten und Systemschienen. Dazu eignet sich der SAP Standardreport RSUSR008_009_NEW. Vorab müssen Sie entsprechenden Prüfvarianten und Berechtigungswerte für kritische Berechtigungen bzw. Kombinationen entweder über das Programm selber oder die Transaktion SU_VCUSRVARCOM_CHAN anlegen. Diese entsprechen dann Ihren internen und externen Sicherheitsrichtlinien. Daraufhin können Sie den Report mit ihrem jeweiligen Prüfumfang und der entsprechenden kritischen Berechtigungs- oder Kombinationsvariante ausführen und prüfen in welchen Rollen oder Benutzern solche Verstöße vorhanden sind. Dies dient zum Schutz Ihrer gesamten IT – Systemlandschaft und sollte periodisch durchgeführt werden.
Referenzbenutzer
Das Rollenmenü der PFCG-Rolle besteht nun aus Ordnern, die alle logischen Links innerhalb einer Bereichsstartseite repräsentieren, und aus externen Services, die die logischen Links sowie die Bereichsstartseiten an sich repräsentieren. Das heißt, dass jeder im Rollenmenü aufgelistete externe Service für eine Bereichsstartseite bzw. einen logischen Link berechtigt. Wird ein solcher externer Service aus dem Rollenmenü entfernt und die PFCG-Rolle generiert, hat der Anwender dieser PFCG-Rolle keine Berechtigungen zum Ansehen dieses externen Services (siehe Abbildung nächste Seite). Sie werden doppelte, vielleicht sogar dreifache Einträge von externen Services finden. Diese sind hauptsächlich in den Ordnern der Homepage und unter GENERIC_OP_LINKS zu finden. Sie können sie ohne Bedenken löschen, da ein externer Service für eine Berechtigung nur einmal im Rollenmenü erscheinen muss. Zur besseren Übersicht ist es darüber hinaus sinnvoll, die externen Services bzw. Ordner so umzubenennen, wie diese auch im SAP CRM Web Client dargestellt sind.
Im nächsten Schritt werten Sie die Nutzungsdaten aus; hier reichen typischerweise die Monatsaggregate. Diese beinhalten die Benutzer-ID, den Funktionsbaustein sowie die Anzahl der Aufrufe. Eine Übersicht zu den im System bereits gespeicherten Nutzungsdaten erhalten Sie mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_DIRECTORY (Inputparameter GET_DIR_FROM_CLUSTER = X). Das eigentliche Herunterladen der Nutzungsdaten erfolgt anschließend mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Daher zeigen wir Ihnen im Folgenden, wie Sie solche Probleme verhindern, indem Sie den Zeichenvorrat einschränken.
Bisher mussten Sie dazu mithilfe des Reports RSUSR200 alle inaktiven Benutzer selektieren und sie dann manuell in die Transaktion SU10 übertragen, um die Sperrung durchzuführen.