Berechtigungsverwaltung in kundeneigenen Programmen koordinieren
Audit Information System Cockpit nutzen
In der einzigen Methode des BAdIs, CHANGE_ITEMS, programmieren Sie die erforderlichen Prüfungen, z. B. auf bestimmte Datenkonstellationen oder Berechtigungen. Diese können sich auf alle Felder in der Struktur FAGLPOSX beziehen. Dabei legen Sie fest, dass während der Ausführung der Methode alle Positionen gelöscht werden, für die die Prüfung nicht erfolgreich war. Diese Implementierung des BAdIs ist eine Ergänzung zu dem im zweiten Beispiel beschriebenen Business Transaction Event 1650. Analog zur Implementierung der Filterung der Postenjournalanzeige können Sie bei der Anzeige von Belegen in der Transaktion FB03 vorgehen. Implementieren Sie in diesem Fall die erforderlichen Prüfungen im BAdI FI_AUTHORITY_ITEM.
SAPCPIC: SAPCPIC ist kein Dialogbenutzer, sondern dient in älteren Releases der EDI-Nutzung (EDI = Electronic Data Interchange); im Standard hat SAPCPIC Berechtigungen für RFC-Zugriffe. Für diese sollten Sie diesen Benutzer aber nicht verwenden, ebenso wenig wie für Batch-Prozesse, sondern Sie müssen für diese Anwendungen andere Benutzer erstellen. Schutzmaßnahmen: Sperren Sie den Benutzer, ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Vollständige Prüfung der Berechtigungen für die Benutzergruppe beim Anlegen des Benutzers
Das Herunterladen der Tabelle muss monatsweise erfolgen. Sie können sich das Herunterladen zusätzlich erleichtern; dazu stellt Frank Buchholz in seinem Blog Programme vor, die Sie nutzen können (siehe http://wiki.scn.sap.com/wiki/display/Snippets/Show+RFC+Workload+Statistic+to+build+authorizations+for+authorization+object+S_RFC). Optional ist der nächste Schritt, in dem Sie Funktionsgruppen zu den Funktionsbausteinen ermitteln. Diese finden Sie im Feld AREA der Tabelle ENLFDIR. Wir empfehlen Ihnen allerdings die Berechtigungsvergabe auf der Ebene der Funktionsbausteine, da Funktionsgruppen häufig sehr viele Funktionsbausteine enthalten und die Zugriffsmöglichkeiten so unnötig erweitert werden.
In vielen Unternehmen mit verteilter Organisation wird das Profit-Center zur Abbildung der dezentralen Einheiten verwendet. Berechtigungstechnisch war dies jedoch bisher für FI nur mit Zusatzprogrammierungen realisierbar. In integrierten Datenflüssen in SAP ERP prüft die sendende Applikation in der Regel nicht die Berechtigungsobjekte der empfangenden Applikation. So prüft die Finanzbuchhaltung (FI) in SAP keine Berechtigungen auf Kostenstellen und Profit-Center. Je nach Anwendungsfall kann dies jedoch geboten sein, z. B. wenn dezentrale Einheiten wie kleine Unternehmen im Unternehmen agieren und jeweils nur Daten für genau diese Einheit erfassen und ansehen sollen. Mit der Einführung des neuen Hauptbuchs hat SAP die Finanzbuchhaltung und die Profit-Center-Rechnung technisch verschmolzen, sodass sich die Frage nach der Berücksichtigung von Profit-Center-Berechtigungen in FI noch stärker stellt.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Wir zeigen Ihnen hier, wie diese Berechtigungen funktionieren und wie Sie sie sinnvoll einschränken können.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Außerdem können Sie das Beispielprogramm RSAU_READ_AUDITLOG_ EXTERNAL als Vorlage nutzen.