Kompensierende Maßnahmen für Funktionstrennungskonflikte
Gewährleistung einer sicheren Verwaltung
Vor allem in komplexen und mehrstufigen Systemlandschaften kann es dazu kommen, dass Rollen einem Benutzer doppelt zugewiesen sind. Zudem können Rollen auch durch die Ausprägung eines Gültigkeitszeitraums abgelaufen sein. Um Ihr Rollenkonzept und Ihre Benutzerverwaltung wartbar und sauber zu halten ist es empfehlenswert, diese obsoleten Rollen zu löschen. Dies können Sie per Klick durch den Report PRGN_COMPRESS_TIMES ausführen. Dieses Programm ist auch über die PFCG unter dem Systemreiter „Hilfsmittel“ und Rubrik „Massenabgleich“ abrufbar.
Der Pflegestatus von Berechtigungen in PFCG-Rollen spielt eine wichtige Rolle bei der Verwendung des Rollenmenüs. Mithilfe des Pflegestatus können Sie eine Aussage darüber treffen, wie das Berechtigungsobjekt in die Rolle gelangt ist und wie es dort gepflegt wurde. Die Abmischfunktion von Berechtigungsdaten der Rollenpflege in der Transaktion PFCG ist ein mächtiges Werkzeug, das Sie bei der Rollenbearbeitung unterstützt. Wenn das Rollenmenü geändert wurde, werden mithilfe der Abmischfunktion die in einer Einzelrolle enthaltenen Berechtigungsvorschläge automatisch ergänzt. Grundlage hierzu sind die in der Transaktion SU24 definierten Berechtigungsvorschlagswerte, deren Pflegestatus in der Berechtigungspflege Standard ist. Diese Berechtigungswerte werden auch als Standardberechtigungen bezeichnet. Berechtigungen mit anderen Pflegestatus, also Gepflegt, Verändert oder Manuell werden während des Abmischens nicht geändert – Ausnahme ist das Entfernen von Transaktionen.
SAP Systeme: User Berechtigungen mit Konzept steuern
Im Anschluss daran führen Sie Schritt 2c aus. Auch hier gibt es Neuerungen in der Funktionalität. Ihnen wird erneut eine Auswahl der abzugleichenden Rollen angezeigt. Allerdings haben Sie hier die Möglichkeit, über den Button Abmischen eine Simulation des Abmischvorgangs durchzuführen. Dabei sehen Sie, welche Berechtigungen in den Rollen geändert würden, ohne dass dies wirklich durchgeführt wird. Nähere Informationen dazu finden Sie in Tipp 44, »Berechtigungswerte beim Rollenupgrade vergleichen«.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Basis.
Schauen Sie sich den Sicherheitshinweis genau an, damit Sie die betroffenen Programme bzw. Funktionen identifizieren und entsprechende Anwendungstests einplanen können. Nutzen Sie eine Testimplementierung in der Transaktion SNOTE, um weitere SAP-Hinweise zu identifizieren, die Voraussetzung für einen Sicherheitshinweis sind und ebenfalls funktionale Änderungen enthalten können.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Die Anforderungen im dritten Beispiel, die Postenjournalanzeige (Transaktion FAGLL03) zu filtern, können Sie mithilfe des BAdIs FAGL_ITEMS_CH_DATA umsetzen.
Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.
Warten Unternehmen zu lange mit der Bereinigung, kann ein kompletter Neuaufbau der Berechtigungsstruktur oder ein neues Konzept sinnvoll sein.