Fehleranalyse bei Berechtigungen (Teil 1)
Dokumentationen zum Berechtigungsobjekt
Prüfen Sie nun die Systemvariable SY-SUBRC. Beträgt der Wert 0, war die Berechtigungsprüfung erfolgreich. Beträgt der Wert 4, war die Prüfung nicht erfolgreich. Bei einem Wert von 8 besteht eine Inkonsistenz in der Definition des Berechtigungsobjekts und der Prüfung im Code – dies sollte nicht passieren! Beträgt der Wert 12, ist die Berechtigung nicht Teil Ihres Berechtigungspuffers.
Kundeneigene Programme sollten wie Standardanwendungen mit Berechtigungen geschützt werden. Welche Regeln sollten Sie dabei beachten? Im Rahmen von Einführungsprojekten werden meist reichlich kundeneigene Programme erstellt, ohne dass sie bei deren Ausführung einer Berechtigungsprüfung unterzogen werden. Für Ihre Programme sollten Sie standardmäßig kundeneigene Berechtigungsprüfungen erstellen und diese auch entsprechend verwalten.
Berechtigungen für den Dateizugriff steuern
Wenn Sie Ihre SAP-Systemlandschaft über die Zentrale Benutzerverwaltung (ZBV) verwalten, müssen Sie den SAP-Hinweis 1663177 sowohl in das ZBV-System als in alle angeschlossenen Tochtersysteme einspielen. Beachten Sie in diesem Fall auch, dass die Standardbenutzergruppe in den Tochtersystemen zugeordnet wird, wenn bei der Anlage des Benutzers aus der ZBV keine Benutzergruppe verteilt wurde. Zusätzlich erhalten Sie in der Transaktion SCUL eine Fehlermeldung, die besagt, dass dem Benutzer (über die ZBV-Zentrale) eine Benutzergruppe zugeordnet werden muss. Dieses Verhalten ist unabhängig von den Einstellungen der Verteilungsparameter für die Benutzergruppe in der Transaktion SCUM. Sollten Sie die Verteilungsparameter für die Benutzergruppe auf Global oder Rückverteilung eingestellt haben, weist das entsprechende Tochtersystem die Änderungen an Benutzern, die im Zentralsystem über keine Benutzergruppe verfügen, ab, und Sie erhalten eine Fehlermeldung in der Transaktion SCUL.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite "www.sap-corner.de".
Denken Sie daran, dass der Benutzer durch den Funktionsbaustein BAPI_USER_CHANGE nicht automatisch entsperrt wird.