AGS Security Services nutzen
Berechtigungskonzepte – Vorteile und Architektur
Wie in anderen Systemen auch, ist die Benutzerpflege und Rollen-/Profilzuordnung auf den Kreis der Benutzeradministratoren einzugrenzen. Im Gegensatz zu den Vorsystemen werden hier jedoch die Rollen und Profile gepflegt, so dass entsprechende Rechte an die Rollen-/Profiladministratoren zu vergeben sind.
Die Berechtigungsprüfung wird wiederum fortgesetzt, wenn es sich bei der betreffenden Tabelle um eine mandantenunabhängige Tabelle handelt. Dafür wird das Berechtigungsobjekt S_TABU_CLI geprüft, das über Pflegeberechtigungen für mandantenunabhängige Tabellen entscheidet. Bei der Tabelle T000 handelt es sich z. B. um eine mandantenunabhängige Tabelle, sodass diese Berechtigungsprüfung durchgeführt würde. Soll ein Benutzer diese Tabelle mithilfe der Transaktion SM30 pflegen können, müssen Sie neben der Berechtigung für die Tabellenberechtigungsgruppe oder für diese konkrete Tabelle auch das Berechtigungsobjekt S_TABU_CLI wie folgt pflegen: CLIIDMAINT: X.
SAP-Berechtigungen – Eine gemeinsame Perspektive von Entwicklern und Beratern
Ab SAP NetWeaver 7.31 ermöglicht das Security Audit Log die vollständige Darstellung von längeren Ereignisparametern in Meldungen. Dazu wurde der maximale Speicherplatz für Variablen in Meldungen auf 2 GB angehoben. Zur Einspielung dieser Erweiterung benötigen Sie einen Kernel- Patch. Die Korrekturen und eine Übersicht über die erforderlichen Support Packages finden Sie in SAP-Hinweis 1819317.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Der Hintergrund des massenhaften Vorhandenseins von Berechtigungsobjekten in einer PFCG-Rolle, nachdem ein Rollenmenü erstellt worden ist, ist in der Regel die Masse an generischen OP-Links, die eigentlich für die CRMBusiness- Rolle gar nicht notwendig sind. Durch das Vorhandensein von Vorschlagswerten aus der Transaktion SU24 werden die zu den jeweiligen externen Services gehörigen Berechtigungsvorschlagswerte in die PFCG-Rolle geladen, was zur Folge hat, dass dort zu viele unnötige Berechtigungsobjekte untergebracht werden. Mit dem Ausklammern des Ordners GENERIC_OP_LINKS müssen Sie sich in Ihrer PFCG-Rolle nur um die externen Services und deren Berechtigungsobjekte kümmern, die in der CRM-Business-Rolle konfiguriert wurden. Damit ein Anwender über alle notwendigen Berechtigungen verfügt, weisen Sie diesem nun die Grundrolle mit den Berechtigungen zu den generischen OP-Links und die eigentliche Rolle zu, die den Arbeitsplatz des Anwenders beschreibt.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Zuvor sollte daher die Konsistenz der Vorschlagswerte mit Hilfe des Reports SU2X_CHECK_CONSISTENCY überprüft werden.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Alle Konfigurationsmöglichkeiten zu beschreiben, würde den Umfang dieses Tipps sprengen.