BERECHTIGUNGEN FÜR BATCH-VERARBEITUNG IM SAP NETWEAVER UND S/4HANA-UMFELD
Referenzbenutzer
Wenn Sie Jobs anderer Benutzer abbrechen, freigeben oder in den Status geplant zurücksetzen wollen, brauchen Sie eine Berechtigung für das Objekt S_BTCH_ADM mit dem Wert Y. Alternativ können Sie neuerdings auch die Berechtigung JOBACTION = MODI und JOBGROUP = für das Objekt S_BTCH_JOB erteilen. Die Aktion MODI wurde mit SAP NetWeaver AS ABAP 7.00 eingeführt oder kann über den SAP-Hinweis 1623250 eingespielt werden. In der folgenden Abbildung sehen Sie ein Beispiel zur Ausprägung der Berechtigung JOBACTION = MODI für die Jobs der unter JOBGROUP eingetragenen Benutzer.
Voraussetzung für eine gelungene Berechtigungsprüfung ist eine sorgfältige Vorbereitung. Für alle kundeneigenen Funktionalitäten muss eine funktionale Spezifikation erstellt werden. Dies zwingt dazu, darüber nachzudenken, was die eigentlichen Anforderungen der Anwendung sind, und anschließend die mögliche Umsetzung zu beschreiben. Dabei müssen sicherheitsrelevante Aspekte, wie die Berechtigungsprüfung und -vergabe beachtet werden. Legen Sie fest, was man mit diesem Programm ausführen darf, und auch, was man explizit nicht können darf! Bei einer Berechtigungsprüfung kann nicht nur die auszuführende Aktivität wie Lesen, Ändern, Anlegen usw. geprüft werden. Auch können Sie den Zugriff auf die Datensätze anhand bestimmter Kriterien einschränken, wie z. B. anhand von Feldinhalten oder organisatorischen Trennern.
Den Vorschlagswerten externe Services aus SAP CRM hinzufügen
Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen.
Das Verständnis für die Struktur und Funktionsweise des Systems ist insbesondere für die IT-Administration wichtig. Nicht umsonst ist „SAP Basis Administrator“ ein eigenes Berufsfeld. Auf der Seite www.sap-corner.de finden Sie nützliche Informationen zu diesem Thema.
Wie bei einer SAP_NEW-Rolle besteht die Möglichkeit, eine SAP_APP-Rolle zu generieren. Wie beim Profil SAP_APP sind hier alle Berechtigungen, außer die Basis- und die HCM-relevanten Berechtigungen enthalten. Die Möglichkeit, diese Rolle mit dem Report REGENERATE_SAP_APP zu erstellen, besteht nach dem Einspielen des SAP-Hinweises 1703299. Dieser Report generiert eine Rolle, die uneingeschränkt für alle Anwendungen zu benutzen ist. Wir empfehlen Ihnen den Einsatz dieser Rolle jedoch nur für Entwicklungs- und Testsystem.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Das hilft ebenso bei der Verbesserung von vorhandenen Rollen und beim Erstellen von neuen Rollen für das Berechtigungsmodell in SAP.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Schwachstellen in der Standardsoftware werden ebenfalls regelmäßig in SAP-Hinweisen und Support Packages behoben.