Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Durch rollenbasierte Berechtigungen Ordnung schaffen
Der Zugriff auf diese Daten, ist kritisch, da über Tools die Hashwerte evtl. entschlüsselt werden können und somit eine unautorisierte Anmeldung an das SAP-System möglich ist. Da oftmals identische Kennwörter für verschiedene Systeme verwendet werden, ist das ermittelte Kennwort somit evtl. auch für nachgelagerte Systeme nutzbar. Die aktuellen bzw. ehemaligen Hashwerte der Kennwörter werden in den Tabellen USR02, USH02, USRPWDHISTORY, USH02_ARC_TMP, VUSER001 und VUSR02_PWD vorgehalten. Auf diese Tabellen kann entweder über klassische Tabellenzugriffs-Transaktionen wie z.B. SE16 oder aber über Datenbankadministrartions-Transaktionen wie DBACOCKPIT zugegriffen werden. Die benötigten Berechtigungen für Tabellenzugriffe über Datenbankwerkzeuge sind abhängig von der jeweiligen Systemkonfiguration und sollten ggf. über einen Berechtigungs-Trace (Transaktion STAUTHTRACE) verifiziert werden.
Der Umgang mit Organisationsebenen in PFCG-Rollen will gelernt sein. Werden diese manuell gepflegt, entstehen Probleme beim Ableiten von Rollen. Wir zeigen Ihnen, wie Sie die betreffenden Felder korrigieren können. Manuell gepflegte Organisationsebenen (Orgebenen) in PFCG-Rollen können nicht über den Button Orgebenen gepflegt werden. Diese Organisationsebenen verhindern, dass das Vererbungskonzept korrekt umgesetzt werden kann. Dass Organisationsebenen manuell gepflegt worden sind, erkennen Sie, wenn Sie Werte über den Button Orgebenen eintragen, die Änderungen aber nicht in das Berechtigungsobjekt übernommen werden.
Systemeinstellungen
Mithilfe des SAP-Hinweises 1642106 ist es ab SAP NetWeaver AS ABAP 7.0 möglich, den Textabgleich automatisch durchführen zu lassen. Durch das Einspielen des Hinweises wird der Textabgleich bei allen Änderungen an PFCG-Rollen in das Zentralsystem automatisch durchgeführt. Wir empfehlen Ihnen, das für Ihr Release passende Support Package zu installieren, das im SAP-Hinweis angegeben ist, da das Einspielen des Hinweises aufwendiger manueller Arbeiten bedarf. Mithilfe des Reports SUSR_ZBV_GET_RECEIVER_PROFILES schalten Sie die neue Funktionalität in allen Tochtersystemen ein, in denen der Korrekturhinweis ebenfalls eingespielt wurde. Führen Sie den Report im Zentralsystem mit der Standardselektion aus, sind alle Tochtersysteme enthalten. Ob die Funktion in den Tochtersystemen vorhanden ist, können Sie im Protokoll des Reports prüfen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Damit werden nur die Anwendungen berücksichtigt, die in den Rollenmenüs der ausgewählten PFCG-Rollen gepflegt sind. Haben Sie den Haken bei Ausschließlich Anwendungen mit veränderten SU22-Daten berücksichtigen gesetzt, werden nur Anwendungen verwendet, bei denen die Vorschlagswerte durch einen Import, z. B. durch Support Packages oder Enhancement Packages, verändert wurden. Führen Sie den Schritt zur Übernahme der Daten aus der Transaktion SU22 aus, indem Sie Ihre Anwendungen selektieren. Sie erhalten nun eine Liste mit Anwendungen, die Sie abgleichen müssen. Markieren Sie jeweils die Zeilen, in denen die abzugleichenden Anwendungen stehen. Beim Abgleich helfen Ihnen die Buttons in der Menüleiste.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Dies gilt vor allen Dingen für die Berechtigung zum „Debugging mit Replace“ (siehe „Gesetzes kritische Berechtigungen“).
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Dies betrifft die Tabellen USR02 und USH02 sowie in neueren Releases die Tabelle USRPWDHISTORY.