Dateneigentümerkonzept
Das SAP-Berechtigungskonzept
Für den ABAP-Stack lassen sich Berechtigungsprofile wahlweise manuell oder durch Einsatz des Profilgenerators erstellen. Die Verwendung des Profilgenerators ist jedoch zwingend empfohlen, da die manuelle Verwaltung in der Regel Fehlkonfigurationen der Berechtigungen nach sich zieht. Mit dem Profilgenerator ist garantiert, dass die Benutzer nur die durch ihre Rolle zugeordneten Berechtigungen erhalten. Konzepte, Prozesse und Abläufe müssen deshalb auf den Einsatz des Profilgenerators abgestimmt sein. Für den Java-Stack besteht keine Wahlmöglichkeit; hier muss der J2EE-Berechtigungsmechanismus genutzt werden. Die User Management Engine bietet dabei Optionen, die über den J2EE-Standard hinausgehen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Besitzt ein Unternehmen jedoch kein Konzept für das Einführen neuer SAP-Berechtigungen und werden diese stets mit neuen Rollen gekoppelt, wachsen die Rollen und Berechtigungen immer weiter an. Neue Module, neue Prozesse und neue Benutzergruppen führen sehr schnell zu vielen Berechtigungsgruppen, zahlreichen Berechtigungsrollen und einer komplexen Dokumentation - selbst unter der Annahme des Idealfalls, dass Unternehmen bei allen bisherigen Implementierungen & Erweiterungen die Dokumentation bspw. über Excel durchgeführt und aktuell gehalten haben. Welches Ziel hat eine Rolle? Welcher User besitzt welche Berechtigung? Durch die Menge an Rollen und Berechtigungen wird es für die Anwender schnell unübersichtlich. Auch die System-Performance leidet mit zunehmender Datenmenge.
Berechtigungsfehler durch Debugging ermitteln
Das Berechtigungsobjekt P_ABAP (HR-Reporting) ist für die Ausführung von Berichten nicht erforderlich, sondern soll vielmehr die Performance bei der Ausführung verbessern. Zusätzlich kann es genutzt werden, wenn in Reports Berechtigungen für Infotypen erforderlich sind, die der Anwender in anderen Fällen aber nicht erhalten soll, was häufiger vorkommt. So ist für die Ausführung der Berichte der Reisekostenabrechnung auch die Anzeigeberechtigung für den Infotyp 0008 (Basisbezüge) erforderlich. Auch die Zahlungsträgerprogramme des Rechnungswesens benötigen P_ABAP-Berechtigungen für die Verarbeitung personenbezogener Daten.
Die Vorschlagswerte in der Transaktion SU24 sind zwingende Voraussetzung für die Pflege von PFCG-Rollen, da beim Erstellen von PFCG-Rollen genau auf diese Werte zurückgegriffen wird. Je besser diese Werte gepflegt sind, desto weniger Aufwand entsteht bei der Pflege der PFCG-Rollen (siehe Abbildung nächste Seite). Sie fragen sich sicher, in welchen Fällen eine Anpassung der Vorschlagswerte sinnvoll ist, da diese einen derart großen Einfluss auf die Rollenpflege haben.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Grundsätzlich sollten Sie beachten, dass in der Benutzer- und Berechtigungsverwaltung nicht alle relevanten Änderungsbelege eines Systems vorhanden sind.
Schließlich können Sie Ihre Implementierung des BAdIs BADI_IDENTITY_SU01_CREATE noch erweitern und zusätzliche Felder der Transaktion SU01 vorbelegen.