Berechtigungen für User-Interface-Clients
User- & Berechtigungs-Management mit SIVIS as a Service
Den Systemtrace für Berechtigungen nach und nach für jeden Anwendungsserver auszuführen, ist mühselig. Wir zeigen Ihnen daher, wie Sie Berechtigungsprüfungen auf mehreren Servern gleichzeitig aufzeichnen können. Wenn Sie in einem System mit mehreren Anwendungsservern den Systemtrace für Berechtigungen verwenden möchten, müssen Sie beachten, dass der Trace immer nur Daten je Anwendungsserver protokollieren und auswerten kann. Berechtigungsadministratoren müssen daher bei einem Berechtigungsfehler erst prüfen, auf welchem Anwendungsserver der Anwender mit dem Berechtigungsproblem angemeldet ist, um dann den Trace auf diesem Anwendungsserver zu starten. Wir geben Ihnen hier eine Anleitung zum Aufzeichnen von Berechtigungsprüfungen auf bestimmten Anwendungsservern, zeigen Ihnen aber darüber hinaus auch eine Möglichkeit, um diese Funktion zentral zu nutzen.
Eine neue Transaktion zur Auswertung des Systemtrace ausschließlich für Berechtigungsprüfungen ist hinzufügt worden, die Sie mithilfe der Transaktion STAUTHTRACE aufrufen und über das jeweilige Support Package, das im SAP-Hinweis 1603756 benannt ist, einspielen können. Dies ist ein Kurzzeittrace, der nur auf dem aktuellen Anwendungsserver und Mandanten als Berechtigungstrace verwendet werden kann. In den grundlegenden Funktionen ist er identisch mit dem Systemtrace in Transaktion ST01; im Unterschied zum Systemtrace können hier jedoch nur Berechtigungsprüfungen aufgezeichnet und ausgewertet werden. Sie können die Aufzeichnung auf einen bestimmten Benutzer einschränken. Auch können Sie den Trace so verwenden, dass nur nach Berechtigungsfehlern gesucht wird. Die Auswertung erfolgt ähnlich der Auswertung des Systemtrace in der Transaktion ST01. In Transaktion STAUTHTRACE können Sie jedoch auch nach bestimmten Berechtigungsobjekten oder bestimmten Return-Codes für die Berechtigungsprüfung (d. h. nach positiv oder negativ bewerteten Berechtigungsprüfungen) auswerten. Außerdem können Sie mehrfache Einträge filtern.
RFC-Schnittstellen
Der Funktionsbaustein wurde offensichtlich nicht für diese Verwendung vorgesehen, unser Vorgehen beeinflusst aber nicht den Programmablauf, und es sind uns keine Einschränkungen durch diese Nutzung bekannt. Diese Vorgehensweise können Sie auch bei anderen BTEs anwenden, die in ähnlicher Form Daten übergeben. Dabei sollten Sie aber immer Vorsicht walten lassen und prüfen, ob die Anwendung bereits Summendatensätze gebildet hat oder ob es andere Abhängigkeiten gibt. Abschließend müssen Sie noch ein von Ihnen entwickeltes Produkt (den Namen können Sie selbst definieren) in der Transaktion FIBF anlegen und dieses zusammen mit dem kundeneigenen Funktionsbaustein dem Business Transaction Event 1650 zuordnen, wie es in der folgenden Abbildung zu sehen ist. Zu einem kundeneigenen Produkt können mehrere Erweiterungen gehören. Es bildet eine logische Klammer um die Erweiterungen und sorgt so für eine bessere Übersicht. Zusätzlich ermöglicht es eine gezielte Aktivierung bzw. Deaktivierung der Implementierungen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Wird eine Transaktion aus dem Rollenmenü entfernt, wird die jeweilige Standardberechtigung beim Abmischen gelöscht. Dies gilt jedoch nur, sofern keine weitere Transaktion diese Berechtigung benötigt und somit den gleichen Berechtigungsvorschlag verwendet. Dieser Umstand gilt sowohl für aktive als auch für inaktiv gesetzte Standardberechtigungen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
In Zukunft ist sowohl mit einem Anstieg der Zahl als auch der Leistungsfähigkeit von Automatisierungstools zu rechnen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Mithilfe des Buttons SAP NEW Daten können Sie markieren, ob dieses Berechtigungsobjekt relevant für eine SAP-New-Rolle eines bestimmten Release ist.