Prüfung des SAP-Berechtigungskonzepts
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Sie sollten alle Belegarten in denselben Zeitintervallen archivieren; dies gilt besonders für die Archivobjekte US_USER und US_PASS. Üblich ist es, die Änderungsbelege zwischen zwölf und achtzehn Monate aufzubewahren, da dies den Aufbewahrungsfristen für die Revision entspricht. Wollen Sie aus Performancegründen in kürzeren Intervallen archivieren, sollten Sie immer alle Archivobjekte zeitgleich archivieren und die Archivobjektklassen PFCG und IDENTITY in separaten Archiven ablegen. In diesem Fall ist es unter Umständen sinnvoll, die archivierten Änderungsbelege in eine Schattendatenbank zurückzuladen, um sie zur schnelleren Auswertung durch die Revision zur Verfügung zu stellen. Dazu können Sie die folgenden Reports nutzen: RSUSR_LOAD_FROM_ARCH_PROF_AUTH / RSUSR_LOAD_FROM_ARCHIVE. Mit dem Archivobjekt BC_DBLOGS können Sie zusätzlich die Tabellenänderungsprotokolle archivieren.
Erhöhte Anforderungen an die Compliance und die Ausgestaltung Interner Kontrollsysteme konfrontieren Unternehmen mit einer steigenden Anzahl an Regeln darüber, wie SAP- (und weitere IT-)Systeme technisch geschützt werden müssen. Im SAP Berechtigungskonzept werden solche Rechtsnormen und unternehmensinterne Regeln konkretisiert. So ist dafür gesorgt, dass jeder Nutzer nur die Berechtigungen erhält, die er für seine Tätigkeit benötigt. Das unternehmerische Risiko lässt sich damit auf ein Mindestmaß reduzieren.
Berechtigungsobjekte
Sobald Sie das Rollenmenü bearbeitet haben, können Sie die eigentlichen Berechtigungen in der PFCG-Rolle anpassen. Wechseln Sie hierzu auf die Registerkarte Berechtigungen. Je nach der Menge der externen Services aus dem Rollenmenü erscheinen nun die Berechtigungsobjekte. Die Berechtigungsobjekte werden je nach ihren Vorschlagswerten, die für jeden externen Service in den Tabellen USOBT_C sowie USOBX_C gepflegt sein müssen, in die PFCG-Rolle geladen. Diese Vorschlagswerte können Sie in der Transaktion SU24 bearbeiten. Achten Sie darauf, dass auch für externe Services im Kundennamensraum die Namen der externen Services sowie deren Vorschlagswerte in den Tabellen gepflegt sind (siehe Tipp 41, »Den Vorschlagswerten externe Services aus SAP CRM hinzufügen«). Die Sichtbarkeit und der Zugriff auf externe Services wird über das Berechtigungsobjekt UIU_COMP gewährleistet. Dieses Berechtigungsobjekt besteht aus drei Berechtigungsfeldern: COMP_NAME (Name einer Komponente), COMP_WIN (Komponentenfenstername), COMP_PLUG (Inbound-Plug).
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
Hilfe, ich habe keine Berechtigungen (SU53)! Du möchtest eine Transaktion starten, hast aber keine Berechtigungen? Oder der komplexere Fall: Du öffnest die ME23N (Bestellung anzeigen), siehst aber keine Einkaufspreise? Starte direkt danach die Transaktion SU53, um eine Berechtigungsprüfung durchzuführen. Dir werden die fehlenden Berechtigungsobjekte “rot” angezeigt. Du kannst die SU53 auch für anderen Benutzer ausführen, indem du im Menü auf Berechtigungswerte > Andere Benutzer klickst und den entsprechenden SAP-Benutzernamen eingibst.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Es kommt immer wieder vor, dass solche Daten auch per E-Mail versendet werden müssen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Dies können z. B. Abfragen zu den Berechtigungsobjekten P_TCODE, Q_TCODE oder S_TABU_DIS sein.