Berechtigungsrollen (Transaktion PFCG)
Anmeldesperren sicher einrichten
In der Transaktion SU22 pflegen die Entwickler einer Anwendung die Vorschlagswerte für alle benötigten Berechtigungsobjekte; dabei hilft der Berechtigungstrace. Wie in SAP-Hinweis 543164 beschrieben, wird über den dynamischen Profilparameter auth/authorization_trace der Trace mit dem Wert Y (aktiv) bzw. F (aktiv mit Filter) eingeschaltet. Mit dem Einspielen der SAP-Hinweise 1854561 bzw. des relevanten Support Packages aus SAP-Hinweis 1847663 ist es möglich, einen Filter für diesen Trace über die Transaktion STUSOBTRACE zu definieren, den Sie anhand der Kriterien Typ der Anwendung, Berechtigungsobjekte oder Benutzer einschränken können.
Benötigen Sie alte Auditergebnisse nicht mehr, können Sie diese mit der Transaktion SAIS über den Button (Administration der Auditumgebung) archivieren oder löschen. Die Selektion der Auditergebnisse erfolgt anhand der Auditstrukturen, der Prüfnummern oder des Eintragsdatums (siehe Abbildung nächste Seite).
Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen
Rollen können Anwendern direkt über die Benutzerverwaltung in der Transaktion SU01, über die Rollenpflege in der Transaktion PFCG oder über die Massenänderung von Benutzern in der Transaktion SU10 zugeordnet werden. Ändert der Mitarbeiter jedoch seine Tätigkeit im Unternehmen, müssen die alten Rollen entfernt und neue Rollen, entsprechend der neuen Tätigkeiten, zugewiesen werden. Da PFCG-Rollen so erstellt werden, dass sie Arbeitsplatzbeschreibungen darstellen, können Sie das Organisationsmanagement verwenden, um die Rollen anhand der Planstelle, Stelle usw. Anwendern zuzuordnen.
Spätestens dann, wenn nicht mehr klar definiert werden kann, welche Transaktionen in welche Rollen aufgenommen werden sollen und welche Rollen ein Anwender benötigt, ist eine Korrektur notwendig. Es muss klar sein, welche Rechte für die einzelnen Aufgaben im System nötig sind.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Neue Module, neue Prozesse und neue Benutzergruppen führen sehr schnell zu vielen Berechtigungsgruppen, zahlreichen Berechtigungsrollen und einer komplexen Dokumentation - selbst unter der Annahme des Idealfalls, dass Unternehmen bei allen bisherigen Implementierungen & Erweiterungen die Dokumentation bspw. über Excel durchgeführt und aktuell gehalten haben.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird.