Managed Services
Berechtigungskonzept – Benutzerverwaltungsprozess
Zusätzlich zur Definition von Berechtigungen für den externen RFC-Zugriff über das Berechtigungsobjekt S_RFC besteht die Möglichkeit, den externen Aufruf von Funktionsbausteinen grundsätzlich zu unterbinden. Ab SAP Net-Weaver AS ABAP 7.40 gibt es dafür die zusätzliche Sicherheitsschicht SAP Unified Connectivity (UCON). Sie steuert den externen Zugriff auf RFC-Funktionsbausteine unabhängig von Benutzern oder Rollen und lässt sich mandantenabhängig konfigurieren. Dabei werden alle Funktionsbausteine, die per RFC ausführbar sein sollen, in die UCON Communication Assembly eingetragen. Ist ein Funktionsbaustein dort nicht hinterlegt, wird der Aufruf blockiert. UCON wurde so konzipiert, dass es die Performance bei RFC-Aufrufen so wenig wie möglich beeinflusst. Die Identifizierung der erforderlichen Funktionsbausteine erfolgt im UCON Phase Tool (Transaktion UCONPHTL), das konstant alle externen RFC-Aufrufe überwacht und eine Einführung der UCON Communication Assembly unterstützt. So können Aufrufe von neuen Funktionsbausteinen (z. B. kundeneigene Entwicklungen, Änderungen durch Support Packages) analysiert und gegebenenfalls für den externen Zugriff freigegeben werden. Zusätzlich bietet UCON die Möglichkeit, die Konfiguration im Rahmen einer Evaluierungsphase zu prüfen. In einem ERP-System gibt es circa 40.000 RFC-fähige Funktionsbausteine; üblicherweise werden davon nicht mehr als ein paar Hundert verwendet. Mit dem Einsatz von UCON erhöhen Sie daher die Sicherheit Ihres Systems.
Eine solche Organisationsmatrix können Sie als Excel-Datei oder in ABAP anlegen; dies hängt davon ab, wie Sie die Daten einlesen möchten. Beim Einsatz einer gängigen Standardlösung (z. B. SAP Access Control) wird hierzu in der Regel ein entsprechender Pflege-View angeboten. Wir beschreiben zunächst, wie Sie die automatisierte Massenpflege in Form einer kundeneigenen Entwicklung bereitstellen können.
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Möchten Sie den Benutzern nur Zugriff auf einzelne Tabellenzeilen erlauben, können Sie auf das Berechtigungsobjekt S_TABU_LIN zurückgreifen, das den Zugriff auf bestimmte Zeilen einer Tabelle für dafür definierte Organisationskriterien erlaubt. Voraussetzung für diese Art der Berechtigung ist, dass die Tabellen über Spalten mit solchen organisatorischen Werten, wie z. B. Werk, Land, Buchungskreis usw., verfügen. Diese organisatorischen Werte müssen Sie nun im System als Organisationskriterien, die betriebswirtschaftliche Arbeitsbereiche abbilden, konfigurieren; sie dienen als Brücke zwischen den organisatorischen Spalten in den Tabellen und der Verwendung als Berechtigungsfeld im Berechtigungsobjekt. Da die Organisationskriterien in mehreren Tabellen vorkommen, muss diese Berechtigungsprüfung nicht an bestimmte Tabellen gebunden sein und kann tabellenübergreifend definiert werden.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Auf "www.sap-corner.de" finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Das verstieße jedoch gegen § 239 HGB, das sogenannte „Radierverbot“.