Berechtigungen für Spoolaufträge vergeben
Das Berechtigungskonzept in der FIORI Oberfläche umsetzen
Das SAP Berechtigungskonzept sichert ab, dass auf Transaktionen, Programme und Services in SAP-Systemen kein unberechtigter Zugriff stattfinden kann. Um im SAP-System betriebswirtschaftliche Objekte aufzurufen oder Transaktionen durchzuführen, benötigt ein Anwender deshalb entsprechende Berechtigungen. Beim Aufruf prüft die über eine Transaktion gestartete Applikation, ob die Berechtigung vorliegt und der Nutzer die ausgewählte Operation durchführen darf.
Nachdem Sie die Daten für die Webseite ermittelt haben, müssen Sie nun das Initialpasswort generieren und per E-Mail verschicken sowie gegebenenfalls den Benutzer entsperren. Dafür gibt es ebenfalls unterschiedliche Lösungen – wir beschreiben eine mögliche Vorgehensweise. Die Generierung eines Passworts können Sie über den Importparameter GENERATE_PWD des BAPIs BAPI_USER_CHANGE veranlassen. Das generierte Passwort wird dann als Initialpasswort gesetzt und muss bei der nächsten Anmeldung durch den Benutzer geändert werden. Außerdem müssen Sie den Importparameter PASSWORDX setzen, um eine Änderung am Passwort anzuzeigen. Über den Exportparameter GENERATED_PASSWORD wird das generierte Passwort zurückgegeben. Dies ist erforderlich, wenn Sie das BAPI BAPI_USER_CHANGE aus einem zentralen System (z. B. aus der ZBV) aufrufen und die betreffende E-Mail aus diesem System verschicken wollen. Sie sollten dieses Passwort niemals speichern, sondern es direkt in Ihrer Anwendung in eine E-Mail einbinden. Anschließend verschicken Sie diese E-Mail an den Benutzer, dessen E-Mail-Adresse Sie entweder direkt im SAP-System ermitteln (Parameter ADDSMTP von BAPI_USER_GET_DETAIL) oder im Rahmen Ihrer Webanwendung (z. B. aus dem AD). Auch wenn Sie die E-Mail-Adresse im AD ermitteln, raten wir Ihnen davon ab, die E-Mail auch von dort aus zu versenden. Initiieren Sie den Versand lieber im Rahmen Ihres zentralen SAPSystems, um zu vermeiden dass das Passwort unnötig übertragen wird. Außerdem raten wir Ihnen dringend, die E-Mails mit den Initialpasswörtern verschlüsselt zu verschicken. Dazu muss die Implementierung Ihres Self-Services bei der Erstellung der E-Mail das Kennzeichen für die Verschlüsselung setzen. Details zur Verschlüsselung von E-Mails und einen alternativen Versand des Initialpassworts direkt aus dem betroffenen SAP-System beschreiben wir in Tipp 98, »E-Mails verschlüsseln«.
Berechtigungstools – Vorteile und Grenzen
Trotz fortschreitender Nutzung von Weboberflächen im S/4HANA-Kontext wird immer noch eine Batch-Verarbeitung für Massendaten benötigt. Unsere Erfahrung aus Kundenprojekten zeigt jedoch, dass nur die wenigsten Berechtigungsadministratoren wissen, wie die Szenarien korrekt zu berechtigen sind. Der SAP OSS Hinweis 101146 gibt hier einen guten Überblick. In diesem Blogbeitrag möchten wir die Zusammenhänge für die Praxis zusammenfassend erläutern.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
In vielen SAP-Umgebungen gibt es historisch gewachsene Berechtigungsstrukturen, die unnötige Sicherheitslücken verursachen. Diese sollten genau geprüft werden.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Achten Sie bei der Verwendung dieses Werkzeugs darauf, dass es, auch wenn Anwendungen dieselben Starteigenschaften haben, unterschiedliche Verwendungseigenschaften geben kann, wie z. B. bei den Transaktionen SU22 und SU24.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Ab SAP NetWeaver 7.31 haben Sie die Auswahlmöglichkeiten, den Referenzzeitstempel aus den SU22-Daten zu setzen oder die Inhalte der Zeitstempeltabellen zu löschen.