Berechtigungstools – Vorteile und Grenzen
Anzeigen sensibler Daten
Die Implementierung der Zeitraumberechtigungsprüfungen wird als zusätzlicher Zeitraumfilter durchlaufen. Bei Selektionskriterien außerhalb des gültigen Zeitraums erscheint die Meldung »Keine Berechtigung zur Anzeige von Daten aus diesem Zeitraum«. Sofern die Selektionskriterien jedoch teilweise im gültigen Zeitraum liegen, werden die Belege, die außerhalb des Zeitraums liegen, vom System ausgefiltert, ohne dass der Benutzer einen Hinweis erhält. Im Beispiel aus der obigen Abbildung würden beim Aufruf der Kreditoreneinzelpostenliste für den Zeitraum 01.01.2010 bis 31.12.2014 Buchungen nach dem 31.12.2013 bei Benutzern aus der Prüfergruppe BP-NRW kommentarlos herausfallen. Dieses Systemverhalten kann etwas irritieren.
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Lösungen für die Benutzerverwaltung in SAP HANA anwenden
Planen Sie den Report RHAUTUPD_NEW einmal täglich, am besten nach Mitternacht bzw. vor dem ersten Anmelden der Anwender ein. Dieser Hintergrundjob ist für den täglichen Abgleich zuständig. Führen Sie den Report RHAUTUPD_NEW mit der Option Bereinigung durchführen wöchentlich oder monatlich aus. Dadurch werden z. B. Profile samt ihrer Benutzerzuordnung gelöscht, wenn keine passende PFCG-Rolle existiert, oder fehlerhafte Zuordnungen zwischen Benutzern und Rollen bereinigt.
Neben SAP Buchempfehlungen zu SAP Berechtigungen kann ich auch die Bücher von Espresso Tutorials wie "SAP-Berechtigungen für Anwender und Einsteiger" von Andreas Prieß * oder auch das Videotutorial "SAP Berechtigungen Grundlagen - Techniken und Best Practices für mehr Sicherheit im SAP" von Tobias Harmes empfehlen. Beide sind, neben anderen Medien, auch in der Espresso Tutorials Flatrate enthalten, die ich auch ausführlicher unter SAP Know How vorgestellt habe.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Beispielsweise können Sie auch die Einstellung des Richtlinienattributs DISABLE_PASSWORD_LOGON aufnehmen, da für Administratoren häufig auch eine Anmeldung mit Passwort am System möglich sein soll.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege.