SIVIS as a Service
Rollenpflege im Betrieb
Im Rahmen der Lösung SAP Access Control dient die Komponente Business Role Management der zentralen Rollenverwaltung. Sie bietet neben weiteren nützlichen Funktionen die Automatisierung der Massenpflege von Rollenableitungen. Hierzu müssen Sie zunächst die Organisationsmatrix im Customizing (Transaktion SPRO) hinterlegen, d. h., dass Sie im Bereich Details der Organisationsebenenzuordnung für die unterschiedlichen Organisationsfelder die Werte oder Wertebereiche eintragen. Zu diesem Zeitpunkt spezifizieren Sie allerdings noch nicht, welche Referenzrollen für diese Organisationswerte abgeleitet werden sollen.
Planen Sie den Report RHAUTUPD_NEW einmal täglich, am besten nach Mitternacht bzw. vor dem ersten Anmelden der Anwender ein. Dieser Hintergrundjob ist für den täglichen Abgleich zuständig. Führen Sie den Report RHAUTUPD_NEW mit der Option Bereinigung durchführen wöchentlich oder monatlich aus. Dadurch werden z. B. Profile samt ihrer Benutzerzuordnung gelöscht, wenn keine passende PFCG-Rolle existiert, oder fehlerhafte Zuordnungen zwischen Benutzern und Rollen bereinigt.
Gleiche Berechtigungen
Voraussetzung für eine gelungene Berechtigungsprüfung ist eine sorgfältige Vorbereitung. Für alle kundeneigenen Funktionalitäten muss eine funktionale Spezifikation erstellt werden. Dies zwingt dazu, darüber nachzudenken, was die eigentlichen Anforderungen der Anwendung sind, und anschließend die mögliche Umsetzung zu beschreiben. Dabei müssen sicherheitsrelevante Aspekte, wie die Berechtigungsprüfung und -vergabe beachtet werden. Legen Sie fest, was man mit diesem Programm ausführen darf, und auch, was man explizit nicht können darf! Bei einer Berechtigungsprüfung kann nicht nur die auszuführende Aktivität wie Lesen, Ändern, Anlegen usw. geprüft werden. Auch können Sie den Zugriff auf die Datensätze anhand bestimmter Kriterien einschränken, wie z. B. anhand von Feldinhalten oder organisatorischen Trennern.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Auch können Sie kundeneigene Organisationsebenen wieder entfernen und sie damit zu einem einfachen Berechtigungsfeld umwandeln. Hierzu dient der Report PFCG_ORGFIELD_DELETE. Er entfernt das Berechtigungsfeld aus der Tabelle USORG und ändert die Berechtigungsvorschlagswerte zu diesem Feld. Abschließend geht er wieder alle Rollen durch, die eine Ausprägung zu dem Feld enthalten. Hierbei stellt er aber nicht die alte Belegung des Feldes wieder her, da zusammengefasste Werte bei der Erhebung des Feldes in die Organisationsebene nicht mehr separiert werden. Stattdessen werden die zusammengefassten Werte in jedem Feld separat eingetragen. Der Report PFCG_ORGFIELD_DELETE stellt außerdem eine Wertehilfe zur Verfügung, die nur die kundeneigenen Organisationsebenen anzeigt. Diese Wertehilfe können Sie auch für die Ermittlung aller kundeneigenen Organisationsebenen nutzen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Stammen nun auch noch die Profile aus demselben System (auch wenn der Mandant ein anderer ist), kann es aufgrund der gleichen Profilnamen zu Importfehlern kommen.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Dafür eignet sich Scribble Papers ganz hervorragend.
Um das Risiko eines Systemausfalls oder der Entstehung einer Sicherheitslücke zu minimieren, sollten administrative Rechte nur an Mitarbeiter der Basisadministration vergeben werden.