Konfigurationsvalidierung einsetzen
Kritikalität
Für die Anlage eines Berechtigungsobjekts müssen Sie zuerst den Ergebnisbereich und die Form der Ergebnisrechnung (kalkulatorisch oder buchhalterisch) auswählen, für den das Berechtigungsobjekt geprüft werden soll. Dazu müssen Sie den Namen des anzulegenden Berechtigungsobjekts eingeben und auf den Button (Weiter) klicken. Anschließend legen Sie einen Text für das Berechtigungsobjekt fest und selektieren maximal zehn Berechtigungsfelder für das Objekt über den Button Felder. Dabei ist nur eine Selektion der für den Ergebnisbereich festgelegten Merkmale – und für die kalkulatorische Ergebnisrechnung auch der Wertfelder – möglich. Nun können Sie unterschiedliche Berechtigungsobjekte zu den Kennzahlen und Merkmalen anlegen oder die relevanten Felder in einem Berechtigungsobjekt zusammenfassen. Wir raten Ihnen, nur ein Objekt mit allen relevanten Feldern zu definieren, da dies die Berechtigungspflege erleichtert. In unserem Beispiel haben wir ein buchhalterisches Berechtigungsobjekt für die Merkmale Profitcenter, Vertriebsweg und Werk im Infosystem angelegt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Summenauswertungen von Debitoren und Kreditoren: Die Summensatztabellen der Debitoren- bzw. Kreditorenbuchhaltung (KNC1/KNC3 bzw. LFC1/LFC3) beinhalten das Feld Profitcenter nicht. Eine Berechtigungssteuerung unter Berücksichtigung des Profit-Centers ist für Auswertungen wie die Debitoren- bzw. Kreditorensaldenlisten (Transaktionen FD10N bzw. FK10N) daher nicht möglich.
Web-Dynpro-ABAP-Anwendungen starten
Wurde ein Eintrag in der Transaktion SE97 korrekt angelegt, wird eine Berechtigungsprüfung genauso durchgeführt, wie es bei einer Transaktionsstartberechtigung der Fall ist. Dieser Ansatz erfordert daher eine exakte und vollständige Konfiguration für jede Transaktion, die aufgerufen wird. Der erforderliche Aufwand und der Raum für Fehler sind entsprechend groß. Der ABAP-Befehl CALL TRANSACTION verursacht keine Transaktionsstartberechtigungprüfung. Ohne eine Berechtigungsprüfung könnte das ABAP-Programm Benutzern ungewollt Zugriff auf Systemressourcen erlauben. Solche Berechtigungsprobleme führen in vielen Fällen zu einer versteckten Compliance-Verletzung, denn dadurch ist die Nachvollziehbarkeit von Benutzeraktionen im SAP-System nicht mehr gewährleistet. Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen. Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.
Berechtigungen dienen dazu, die Organisationsstruktur, die Geschäftsprozesse und die Funktionstrennung abzubilden. Daher steuern sie im SAP-System die Zugriffsmöglichkeiten der Benutzer. Die Sicherheit der Geschäftsdaten hängt direkt von den vergebenen Berechtigungen ab. Aus diesem Grund muss die Vergabe von Berechtigungen gut geplant und durchgeführt werden, um die gewünschte Sicherheit zu erreichen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Soll ein Anwender z. B. nur die Daten einer Tabelle einsehen können, die das Land betreffen, in dem sich sein Arbeitsstandort befindet, müssen Sie dies entsprechend konfigurieren.
Im daraufhin erscheinenden Pop-up-Fenster Objekttypauswahl wählen Sie den Knoten S3 ABAP-Texte aus und hier den Unterpunkt ACGR Rollen.