Fazit und Ausblick
Berechtigungskonzept – Rezertifizierungsprozess
Während Ihrer Wartungsarbeiten sollen sich nicht alle Benutzer am Anwendungsserver anmelden können? Nutzen Sie dafür die Sicherheitsrichtlinien und einen neuen Profilparameter. Wenn Sie Wartungsarbeiten an Ihrem SAP-System durchführen, ist es immer wieder erforderlich, die Anmeldung von Benutzern am Anwendungsserver zu unterbinden. Dabei ist häufig eine kleine Gruppe von Administratoren ausgenommen, die sich weiterhin am System anmelden können soll. Bisher musste man die Benutzer sperren und die Gruppe der Administratoren von dieser Sperre ausnehmen. Dies geht nun einfacher, indem Sie die Sicherheitsrichtlinien in Kombination mit dem Profilparameter login/server_logon_restriction nutzen.
Damit Sie die statistischen Nutzungsdaten sinnvoll verwenden können, müssen Sie zuerst den SAP-Standardwert der Vorhaltezeit auf einen sinnvollen Zeitraum erweitern. Für einen repräsentativen Zeitraum sind mindestens 14 und maximal 24 Monate ausreichend. Hierin enthalten sind das Tagesgeschäft, Monatsabschlüsse, unterjährige Aktivitäten, wie z. B. Inventur, und Jahresabschluss. Rufen Sie nun die Transaktion ST03N auf, und navigieren Sie zu: Kollektor & Perf. Datenbank > Performance-Datenbank > Workload Kollektor Datenbank > Reorganization > Steuerung.
SAP-BERECHTIGUNGEN: DIE 7 WICHTIGSTEN REPORTS
Möchten Sie nun PFCG-Rollen indirekt Nutzern über das Organisationsmanagement zuordnen, müssen Sie dafür Auswertungswege verwenden. Auswertungswege definieren eine Kette von Beziehungen zwischen Objekten innerhalb einer Hierarchie. Sie definieren so z. B., dass eine Organisationseinheit oder eine Planstelle einer anderen Organisationseinheit zugordnet werden kann. Diese Beziehung wird bis hin zur Benutzer-ID festgelegt. Ist im Organisationsmanagement allerdings auch der Geschäftspartner gepflegt worden, gibt es für diesen Fall keinen Standardauswertungsweg, und der der Rolle zugeordnete Benutzer wird nicht gefunden. Da in SAP CRM aber die Benutzer-IDs nicht direkt einer Planstelle zugeordnet sind, sondern über den Geschäftspartner, müssen Sie Anpassungen an den Auswertungswegen vornehmen,bevor Sie die Rollen indirekt vergeben können.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Zusätzliche Berechtigungsprüfung auf das Berechtigungsobjekt S_RZL_ADM: Aus Sicherheitsgründen erfolgt eine zusätzliche Berechtigungsprüfung auf das Berechtigungsobjekt S_RZL_ADM für spezielle Dateien vom Typ PSE (Personal Security Environment) mit der Zugriffsart 01 (Anlegen). Es handelt sich um Dateien mit den Namen *.pse und cred_v2. Diese Dateien werden für Single Sign-on, Verschlüsselung und digitale Signaturen benötigt. Gepflegt werden sie mithilfe der Transaktion STRUST und der Transaktion STRUSTSSO2, die dieselbe Berechtigung verlangen (Details hierzu finden Sie im SAP-Hinweis 1497104).
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Da Zahlen und Mahnen üblicherweise zentral gesteuerte Prozesse sind, dürfte dies in der Praxis kein Problem darstellen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Entferne falsch definierte SAP-Orgebene ($CLASS): Diese Funktion löscht die Organisationsebene $CLASS, die mit dem GRCPlug-in (Governance, Risk and Compliance) fehlerhaft ausgeliefert wurde.