Die Transaktionen SU22 und SU24 richtig verwenden
Konzepte der SAP Security
Des Weiteren können Sie sich im Bereich Ausgabe die Änderungsbelege eines entfernten Tochtersystems einblenden lassen oder im Bereich Selektionskriterien eine Einschränkung der Änderungsbelege für das Zentralsystem (Sendesystem) bzw. nur für bestimmte Tochtersysteme vornehmen. Im unteren Teil können Sie die Verteilungsparameter auswählen, an deren Änderung Sie interessiert sind. Die Auswertung beinhaltet Informationen zu allen Änderungen in der ZBV-Konfiguration und in den angeschlossenen Tochtersystemen, ab dem Zeitpunkt, ab dem das entsprechende Release bzw. Support Package in den Systemen eingespielt wurde. In der Auswertung sind neben Datum, Uhrzeit und Änderer auch Informationen zur jeweiligen Modellsicht, zum Status des konfigurierten Systems und zur vorgenommenen Aktion (alter Wert und neuer Wert) enthalten. In unserem Beispiel erkennen Sie Änderungen, die in der Transaktion SCUA erfolgt sind, wie z. B. das Erstellen einer Modellsicht und das Hinzufügen von Tochtersystemen, Änderungen, die in der Transaktion SCUG vorgenommen wurden, wie die Übernahme von Benutzern, sowie Änderungen an den Verteilungsparametern in der Transaktion SCUM.
SOS-Berichte können sehr umfangreich werden. Insbesondere, wenn die Whitelists noch nicht gepflegt sind, sind Berichtsumfänge von bis zu 200 Seiten nicht unüblich. Lassen Sie sich in solch einem Fall nicht entmutigen, sondern starten Sie mit der Bereinigung einer handhabbaren Menge kritischer SOS-Ergebnisse. Die weiteren Ergebnisse können Sie dann in mehreren Runden bearbeiten. Der AGS spricht Empfehlungen dazu aus, welche kritischen SOS-Ergebnisse Sie zuerst betrachten sollten; diese finden Sie im Foliensatz AGS Security Services Master in der Media Library des SAP Service Marketplace.
Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen
Ihre einzige Möglichkeit, um die maximale Anzahl der Profile pro Benutzer zu verdoppeln, ist es, dem Benutzer einen Referenzbenutzer zuzuordnen. Der Benutzertyp Referenz (L) ist im SAP-System für die Vergabe zusätzlicher Berechtigungen oder die Vererbung des vertraglichen Nutzertyps vorgesehen. Er ist nicht als Benutzer für eine natürliche Person gedacht, hat immer ein deaktiviertes Passwort und ermöglicht daher nicht die Anmeldung am System. Referenzbenutzer vererben die ihnen zugeordneten Berechtigungen an die Benutzer, für die Sie den Referenzbenutzer eingetragen haben. Dazu wird bei der Anmeldung auch der Benutzerpuffer des Referenzbenutzers erzeugt, und diese Einträge werden bei Berechtigungsprüfungen des erbenden Benutzers ebenfalls geprüft. Es ist nicht möglich, die Vererbung über mehrere Stufen zu nutzen, d. h., dass Sie einem Referenzbenutzer keinen Referenzbenutzer zuordnen können und damit die Berechtigungen beider Referenzbenutzer vererben.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Webseite "www.sap-corner.de" bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
In diesem Zusammenhang empfehlen wir Ihnen, die Zuordnungen auf kritische Funktionsbausteine bzw. Funktionsgruppen hin zu prüfen.