SAP Berechtigungen FAZIT

FAZIT

Den Berechtigungspuffer prüfen und auffrischen

SAP-Kunden pflegen Vorschlagswerte nicht in dieser Transaktion. Es gibt jedoch Fälle, in denen Daten in der Transaktion SU22 auch in einer Kundenumgebung gepflegt werden. Werden vom Kunden oder Partner TADIR-Services bzw. externe Services entwickelt, sind diese Services nicht standardmäßig in der Transaktion SU22 oder in der Transaktion SU24 verfügbar. Für diese Services müssen erst die Headerdaten in die Tabelle USOBHASH geschrieben werden, die als Grundlage zur Pflege der Services dienen. Diese Einträge in der Tabelle USOBHASH werden beim Ausführen von TADIR-Services automatisch erzeugt. Lesen Sie Tipp 41, »Den Vorschlagswerten externe Services aus SAP CRM hinzufügen«, für den Umgang mit externen Services. Sobald die Daten in dieser Tabelle verfügbar sind, haben Sie die Möglichkeit, die Vorschlagswerte zu pflegen.

Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.

Welche Herausforderungen können nicht allein mithilfe von Berechtigungstools gelöst werden?

Damit diese FIORI Apps/Kacheln und Gruppen angezeigt werden muss eine entsprechende Berechtigungen aufgrund einer Gruppen und Katalogzuordnung erfolgen. Diese werden über spezifische Gruppen zugeordnet, die neben den normalen Berechtigungen (wie Kostenstellen anlegen, ändern, anzeigen) auch noch Zugriff auf die passenden FIORI Apps zuweisen.

Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.

Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite "www.sap-corner.de".

Fehlen Berechtigungsfelder oder gibt es zu viele Einträge, werden diese Daten in den Vorschlagswerten korrigiert.