Welche Rollen hat mein Benutzer (SU01)?
Konsolidiertes Berechtigungskonzept schafft Abhilfe
Mitarbeiter des Auftraggebers, seiner verbundenen Unternehmen oder ein Mitarbeiter von Drittunternehmen, der berechtigt ist, direkt oder indirekt, unabhängig von der technischen Schnittstelle, auf die überlassene Software zuzugreifen. Definierte Benutzer sind auch technische Systeme, die in Informationsaustausch zum SAP-System stehen, sowie deren Benutzer.
Auch On-Premises definieren Sie Kachelkataloge und Kachelgruppen. Dafür nutzen Sie den SAP Fiori Launchpad Designer, den Sie im Gateway-System über die Transaktion /UI2/FLPD_CUST aufrufen. Anschließend legen Sie im Gateway-System SAP-Berechtigungsrollen (Transaktion PFCG) an, über die Sie den Zugriff auf die angelegten Kataloge und Gruppen gewähren. Diese weisen Sie anschließend den Nutzern zu, die dafür zuvor im SAP Gateway-System existieren müssen.
Konsolidiertes Berechtigungskonzept schafft Abhilfe
Unter anderem werden diese weitläufigen und starken Berechtigungen zum Installationszeitpunkt diesem Benutzer übertragen, wie zum Beispiel von den technischen Benutzern SYS oder _SYS_REPO. Diese Berechtigungen können auch nicht einfach wieder entzogen werden, da nach Installationszeitpunkt ein Benutzer existieren muss, um die Konfiguration der SAP HANA Datenbank zu ermöglichen. Die Berechtigungen dieses Benutzers lassen sich mit dem aus SAP NetWeaver ABAP bekannten SAP_ALL Standardprofil vergleichen. Das bedeutet auch, dass wenn der Benutzer SYSTEM auch auf neue Datenbank-Artefakte wie z. B. Tabellen, Schemas, Views – die nach dem Installationszeitpunkt der SAP HANA Datenbank erzeugt wurden – berechtigt werden soll, müssen ihm diese Berechtigungen zunächst vom Eigner der Datenbankobjekte übertragen werden. Dies kann z. B. für ein Schema mittels nachfolgenden SQL Statement in dieser Form realisiert werden: GRANT SELECT on SCHEMA to SYSTEM with GRANT OPTION.
Etliche Aufgaben im Bereich der SAP Benutzerverwaltung können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Dies war nur möglich, weil ihr Tool mit seinen dynamischen Regelwerken die Lizenzmetrik der SAP granularer abbilden konnte.