Aktivitätslevel
Berechtigungen in SAP-Systemen: worauf Admins achten sollten
Grundsätzlich können alle Berechtigungsfelder in die Organisationsebene hochgestuft werden; es gibt allerdings technische Ausnahmen und Felder, bei denen dies nicht sinnvoll ist. Technisch sind die Felder ausgenommen, die im Kontext zur Prüfung der Startbarkeit einer Applikation stehen, also die Felder der Berechtigungsobjekte S_TCODE, S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM und S_USER_VAL. Außerdem können Sie das Feld ACTVT nicht zur Organisationsebene erheben. Sinnvoll sind nur die Felder, die innerhalb einer Rolle mit einem Wertebereich belegt werden können. Dies muss natürlich übergreifend für das Berechtigungskonzept betrachtet werden. So sind Felder, die mehr als eine Bedeutung haben, wie z. B. die Berechtigungsgruppe (BEGRU) in der Materialwirtschaft nicht geeignet. Mit dem Report PFCG_ORGFIELD_CREATE können Sie ein Berechtigungsfeld als Organisationsebene definieren. Der Report trägt das Feld in die Tabelle USORG ein, ändert die Berechtigungsvorschlagswerte zu diesem Feld und geht alle Rollen durch, die eine Ausprägung zu dem Feld enthalten.
Partner, die ihre Entwicklungen ausliefern, pflegen die Vorschlagswerte für ihre Anwendungen ebenfalls in der Transaktion SU22. Nehmen Kunden Entwicklungen in Systemen vor, die außer Ihrer Systemlandschaft noch weitere Systemlandschaften beliefern und in denen jeweils unterschiedliche SU24- Vorschlagswerte je System benötigt werden, werden die Vorschlagswerte in der Transaktion SU22 gepflegt. Der Profilgenerator verwendet als Datenbasis nur die Werte der Transaktion SU24 in Ihrer Kundenumgebung. Zur Pflege der Vorschlagswerte können Sie in der Transaktion SU24 sowohl die Daten des Systemtrace für Berechtigungen aus den Transaktion ST01 bzw. STAUTHTRACE als auch die Daten des Berechtigungstrace verwenden (siehe Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«).
SAP Berechtigungen – Überblick HCM Berechtigungskonzepte
Nach fehlenden Berechtigungen tracen: Starten Sie den Systemtrace für Berechtigungen (Transaktion ST01 oder STAUTHTRACE), um Berechtigungsprüfungen aufzuzeichnen, die Sie in die Rolle aufnehmen möchten (siehe Tipp 31, »Traceauswertung optimieren«). Es werden Anwendungen über Startberechtigungsprüfungen protokolliert.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Der SAP-Standard erlaubt Ihnen die Auswertung der statistischen Nutzungsdaten über einen Standardfunktionsbaustein. Der Aufruf erfolgt über die Transaktion SE37. Wählen Sie hier den Funktionsbaustein SWNC_GET_WORKLOAD_STATISTIC. Mithilfe des Funktionsbausteins schreiben Sie die statistischen Nutzungsdaten in eine temporäre Tabelle, aus der Sie die Daten zur weiteren Verwendung extrahieren können.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Eventuell haben Sie spezielle Anforderungen, die unbedingt in die Namenskonvention einfließen sollen, z. B. wenn Sie in einem Template-Projekt Vorlagenrollen definieren, die lokal nochmals angepasst werden können.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Gerade in großen Unternehmen kommt es oft vor, dass z. B. für Buchhaltung, Vertrieb oder Einkauf ein weltweites, integriertes ERP-System genutzt wird.