Neue Organisationsebenen hinzufügen
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Abschließend müssen Sie die Ergebnisse der Vorarbeiten bewerten und umsetzen. Anhand der Übersicht können Sie ermitteln, welcher Benutzer welche Funktionsgruppen oder Funktionsbausteine benötigt und die Berechtigungsrollen entsprechend aufbauen. Dabei können Sie Aufrufe zur Destination NONE von Ihrer Auswertung ausnehmen, da es sich bei diesen Aufrufen immer um interne Aufrufe von RFC-Funktionsbausteinen handelt. In diesem Zusammenhang empfehlen wir Ihnen, die Zuordnungen auf kritische Funktionsbausteine bzw. Funktionsgruppen hin zu prüfen.
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Bereits enthaltene Berechtigungsobjekte
Für noch umfangreichere Operationen auf Jobs muss eine Berechtigung zum Objekt S_BTCH_ADM vorhanden sein, in der das Feld BTCADMIN (Kennung für den Batchadministrator) den Wert ‚Y‘ hat. Dies ermöglicht mandantenübergreifend alle Operationen auf beliebigen Jobs. S_BTCH_ADM mit Wert ‚Y‘ beinhaltet somit auch die Objekte S_BTCH_JOB Aktion * und S_BTCH_NAM und S_BTCH_NA1 mit User/Programm = *. Daher ist dieses eine sehr kritische Berechtigung, weil sie einen Identitätswechsel ermöglicht. Mit den in Hinweis 1702113 genannten Änderungen lässt sich über das Objekt S_BTCH_ADM die Berechtigungsvergabe genauer einschränken.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite "www.sap-corner.de".
Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen.