Architektur von Berechtigungskonzepten
Werte des Berechtigungstrace ins Rollenmenü übernehmen
Sie weisen einem Dialogbenutzer einen Referenzbenutzer zu, indem Sie den Referenzbenutzer in der Transaktion SU01 auf der Registerkarte Rollen im Feld Referenzbenutzer für zusätzliche Rechte eintragen. Sollten Sie die Zentrale Benutzerverwaltung (ZBV) nutzen, gilt die Zuordnung für alle angeschlossenen Systeme. Existiert der Referenzbenutzer in einem der Systeme nicht, wird die Zuordnung ignoriert. Durch den Einsatz von Referenzbenutzern entstehen allerdings auch Risiken. So können leichter Summationen von Berechtigungen auftreten, da es schwierig ist, den Überblick über die zugeordneten Berechtigungen zu wahren. In SAP NetWeaver AS ABAP 7.0 und höher werden Referenzbenutzer in den Auswertungen der Reports des Benutzerinformationssystems berücksichtigt.
Für Benutzer, zu denen in der ZBV kein Benutzertyp definiert wurde, wird entweder der Standardbenutzertyp des Tochtersystems oder der über den lokalen Lauf des Vermessungsprogramms (Transaktion USMM) definierte Benutzertyp in der Spalte Vertraglicher Nutzertyp ausgegeben. In der Spalte Wert in der Zentrale wird in diesem Fall kein Wert ausgegeben. Wurde der Benutzertyp über einen lokalen Lauf des Vermessungsprogramms definiert und ist dieser Benutzertyp nicht in der ZBV hinterlegt, sollten Sie die Lizenzdaten für diesen Benutzer mithilfe der Transaktion SCUG erneut aus dem Tochtersystem in die ZBV übernehmen. Gibt es Benutzer in den Tochtersystemen, für die sich der Wert in den Spalten Vertraglicher Nutzertyp und Wert in ZBV Zentrale unterscheiden, wurde entweder das IDoc der ZBV noch nicht verarbeitet, oder der Benutzertyp wurde lokal geändert. In diesen Fällen sollten Sie prüfen, wodurch die Differenzen begründet sind, und sie ebenfalls bereinigen.
Änderungsbelege
Berechtigungsobjekte, die im Berechtigungstrace sichtbar waren, sind rasch in Rollen eingefügt. Sind diese aber auch wirklich notwendig? Handelt es sich hier womöglich sogar um kritische Berechtigungen? Ein Review des Berechtigungskonzepts kann aufdecken, dass in Ihren Endanwenderrollen kritische Berechtigungen vorkommen. Wir möchten Ihnen in diesem Tipp einige Beispiele für kritische Berechtigungen geben. Dazu ist es hilfreich zu wissen, welche Berechtigungsobjekte unter die kritischen Berechtigungen fallen. Sie müssen sich außerdem die Frage stellen, ob die Vergabe dieser Berechtigungen Risiken birgt.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Webseite "www.sap-corner.de" bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen.