Berechtigungsobjekte einfacher pflegen
Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Berechtigungen sind das maßgeblich steuernde Instrument zur Abbildung eines Risikomanagements und zur Einhaltung der Compliance. Mit ihnen werden alle Vorgänge in den Systemen gesteuert. Eine Trennung von Funktionen wird zum größten Teil ausschließlich mit Berechtigungen umgesetzt. Daher ist nicht nur die einmalige Einrichtung der Berechtigungen relevant, sondern die ständige Überwachung und Kontrolle der Berechtigungsvergabe. Hierfür sind verschiedene Tools am Markt verfügbar. Hilfreich ist dabei ein Re-Zertifizierungsprozess, der die Fachbereiche einbindet und die Revalidierung der Berechtigungen optimiert.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Die Freeware Scribble Papers ist ein "Zettelkasten", in dem sich Daten aller Art ablegen lassen. Er nimmt sowohl eingegebene Texte als auch Grafiken und ganze Dokumente auf. Die Daten werden in Ordnern und Seiten organisiert.
Sie möchten bei der Anlage von Benutzern in der Transaktion SU01 bestimmte Felder aus einer Datenquelle automatisiert vorbelegen? Nutzen Sie dafür ein neues BAdI, für das wir ein Implementierungsbeispiel vorstellen. Wenn Sie in der Transaktion SU01 einen Benutzer in einem SAP-System anlegen, gibt es fast immer bereits Daten zu diesem Benutzer in anderen Systemen. Ein klassisches Beispiel sind Benutzerdaten im Active Directory oder die Personalstammdaten in SAP ERP HCM, die bereits im Rahmen der Einstellung von Mitarbeitern gepflegt werden. Liegen Benutzerdaten in mehreren Systemen vor, ist daher die automatische Erstellung eines Benutzers durch ein Identity-Management-System die erste Wahl, was im SAP Identity Management (ID Management) durch einen HR-Trigger gelöst ist. Das ID Management erkennt Änderungen, z. B. an Personalstammdaten, in SAP ERP HCM oder an Geschäftspartnern in SAP CRM und legt die entsprechenden Benutzer in Ihren Systemen an oder nimmt Änderungen und Deaktivierungen vor. Aber was, wenn Sie kein Identity-Management-System im Einsatz haben? Müssen Sie dann alle diese Daten abtippen? Nein – Sie können sie automatisiert vorbelegen. Nutzen Sie dafür ein Business Add-in (BAdI), mit dem Sie bereits bei der Anlage eines Benutzers in der Transaktion SU01 bestimmte Felder vorbelegen können.
Berechtigungen für das Customizing erstellen
Des Weiteren können Sie sich im Bereich Ausgabe die Änderungsbelege eines entfernten Tochtersystems einblenden lassen oder im Bereich Selektionskriterien eine Einschränkung der Änderungsbelege für das Zentralsystem (Sendesystem) bzw. nur für bestimmte Tochtersysteme vornehmen. Im unteren Teil können Sie die Verteilungsparameter auswählen, an deren Änderung Sie interessiert sind. Die Auswertung beinhaltet Informationen zu allen Änderungen in der ZBV-Konfiguration und in den angeschlossenen Tochtersystemen, ab dem Zeitpunkt, ab dem das entsprechende Release bzw. Support Package in den Systemen eingespielt wurde. In der Auswertung sind neben Datum, Uhrzeit und Änderer auch Informationen zur jeweiligen Modellsicht, zum Status des konfigurierten Systems und zur vorgenommenen Aktion (alter Wert und neuer Wert) enthalten. In unserem Beispiel erkennen Sie Änderungen, die in der Transaktion SCUA erfolgt sind, wie z. B. das Erstellen einer Modellsicht und das Hinzufügen von Tochtersystemen, Änderungen, die in der Transaktion SCUG vorgenommen wurden, wie die Übernahme von Benutzern, sowie Änderungen an den Verteilungsparametern in der Transaktion SCUM.
Nach dem Abschluss der Programmumsetzung und Dokumentation schließt sich immer ein funktionaler Test an. Dabei sollte ein entsprechender Berechtigungstest nicht vergessen werden. Der Berechtigungstest muss sowohl einen positiven als auch einen negativen Berechtigungstest einschließen.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Mit dem SAP-Hinweis 1759777 wird für Schritt 2a eine Selektion angeboten, mit der dieser Schritt simuliert werden kann.
Alternativ können Sie die Prüfung auf die Aktivität 50 (Verschieben) des Berechtigungsobjekts S_USER_GRP aktivieren.