Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Pflegestatus
Aufgrund der Komplexität eines SAP®-Berechtigungskonzepts ist es notwendig, dass alle wesentlichen Aspekte in einem schriftlich dokumentierten Berechtigungskonzept niedergeschrieben sind. Darin sollten die wesentlichen Prozesse beschrieben sein, aber auch der Umgang mit der Zuweisung von Berechtigungen über Rollen. Insbesondere die Nomenklatur eigens erstellter Rollen ist hierbei sauber zu definieren. Es sollte daher überprüft werden, ob sämtliche Änderungen seit der letzten Prüfung im schriftlichen Berechtigungskonzept dokumentiert wurden. Immerhin dient dieses Dokument dem Prüfer als Vorlage für den sogenannten Soll-Ist-Vergleich. Das bedeutet, dass der Prüfer einen Abgleich bei den wesentlichen prüfungsrelevanten Themen zwischen dem Dokument und dem Ist-Stand im SAP®-System vornimmt. Jede Abweichung kann zu einer Feststellung führen, die es zu vermeiden gilt.
So individuell wie die Anforderungen jedes einzelnen Unternehmens sind, so individuell sind die Anforderungen an die Architektur von Berechtigungskonzepten. Eine perfekte Vorlage gibt es daher nicht. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtigt werden sollten.
Benutzerinformationssystem (SUIM)
Sie benutzen das Profil SAP_ALL für Schnittstellenbenutzer, und nach dem Upgrade auf ein neues Support Package entstehen Berechtigungsfehler? Wir können die Verwendung des Profils SAP_ALL zwar nicht empfehlen, beschreiben hier aber, wie Sie dieses Problem kurzfristig beheben können. In neueren SAP-NetWeaver-Releases enthält das Profil SAP_ALL keine Berechtigung mehr für das Berechtigungsobjekt S_RFCACL. Dies kann zu Berechtigungsfehlern, z. B. bei Schnittstellenbenutzern führen, wenn diesen das Profil SAP_ALL zugeordnet wurde. Wir weisen an dieser Stelle darauf hin, dass wir die Verwendung des Profils SAP_ALL nur für absolute Notfallbenutzer empfehlen können. Anstatt diesen Tipp anzuwenden, sollten Sie daher vorzugsweise die Berechtigungen Ihrer Schnittstellenbenutzer bereinigen. Wie Sie dabei vorgehen, erfahren Sie in Tipp 27, »S_RFC-Berechtigungen mithilfe von Nutzungsdaten definieren«. Eine solche Bereinigung der Berechtigungen Ihrer Schnittstellenbenutzer kann allerdings nicht von heute auf morgen erfolgen. Daher erklären wir Ihnen hier, wie Sie das Problem kurzfristig beheben.
Wenn Sie mehr zum Thema SAP Basis wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Excel-basierte Werkzeuge, die nicht wie eCATT einfach die Transaktion PFCG im Hintergrund benutzen, funktionieren fast ausschließlich nach dem Einwegprinzip: Eine gleichzeitige Pflege von Rollen in der Transaktion PFCG ist nicht mehr möglich, und dortige Änderungen werden durch das Werkzeug überschrieben. Damit müssen alle Berechtigungsadministratoren ausschließlich mit der neuen Lösung arbeiten.
Für die Zuweisung vorhandener Rollen erfordern die regulären Berechtigungs-Workflows ein gewisses Minimum an Durchlaufzeiten, und nicht jeder Genehmiger steht zu jeder Zeit bei jedem Go-Live zur Verfügung. Mit "Shortcut for SAP systems" stehen Ihnen Möglichkeiten zur Verfügung, dringend benötigte Berechtigungen dennoch zuzuweisen und Ihren Go-Live zusätzlich abzusichern.
Um nun Vorschlagswerte für die neue Transaktion zu definieren, verwenden Sie die Transaktion SU24_S_TABU_NAM.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Mit diesen Methoden helfen wir Ihnen nicht nur bei der Implementierung.