Den Zeichenvorrat für die Benutzer-ID einschränken
User- & Berechtigungs-Management mit SIVIS as a Service
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE. Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Transaktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat. Zusätzlich können ausführbare Transaktionen aber auch durch die Zuordnung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
Prüfen Sie, ob alle mehrfach auftretenden externen Services, die Bereichsstartseiten und logischen Links entsprechen, aus dem Ordner GENERIC_OP_LINKS entfernt wurden. Legen Sie für diesen Ordner eine separate PFCG-Rolle an. Diese PFCG-Rolle könnte alle grundlegenden Berechtigungen enthalten, die ein Anwender in SAP CRM besitzen muss. Dazu gehören auch die Berechtigung für die generischen OP-Links. Sie können diesen Ordner in eine separate PFCG-Rolle transferieren, indem Sie in der neuen PFCG-Rolle unter Menü > Übernahme von Menüs > Aus anderer Rolle > lokal die PFCG-Rolle angeben, in der der Ordner GENERIC_OP_LINKS enthalten ist. Pflegen Sie die PFCG-Rolle nun so, dass nur das Berechtigungsobjekt UIU_COMP aktiv bleibt. Deaktivieren Sie alle weiteren sichtbaren Berechtigungsobjekte. Das sind die Berechtigungsobjekte, die den Zugriff auf Daten erlauben. Diese Berechtigungsobjekte können Sie in der dafür vorkomplettes gesehenen PFCG-Rolle pflegen, die den Arbeitsplatz des Anwenders beschreibt. In der PFCG-Rolle, die den Arbeitsplatz beschreibt, können Sie nun den Ordner GENERIC_OP_LINKS löschen. Wenn Sie die PFCG-Rolle nochmals neu abmischen lassen, werden Sie feststellen, dass viele der nicht notwendigen Berechtigungsobjekte verschwunden sind.
Kritikalität
Berechtigungsdaten der Rolle, die durch die letzte Bearbeitung gespeichert wurden, werden angezeigt. Diese Option ist nicht empfehlenswert, wenn Transaktionen im Rollenmenü geändert wurden.
Nutzen Sie den Standardreport RSUSR003 (bzw. die dazugehörige Transaktion RSUSR003) zur Prüfung der Standardbenutzer auf Initialpasswörter und zur Sicherstellung der Sicherheitsrichtlinien, die diesen Benutzern zugeordnet sind. Dazu können Sie auf der Startseite ein eigenes Layout definieren und verwenden. Nach der Ausführung des Reports wird Ihnen eine Übersicht der vorhandenen Standardbenutzer in den unterschiedlichen Mandanten angezeigt. Diese beinhaltet den Passwortstatus, ein Sperrkennzeichen, die Gründe für die Sperre, die Anzahl der Falschanmeldungen, die Gültigkeitszeiträume der Benutzer sowie die den Benutzern zugeordneten Sicherheitsrichtlinien. Die Sicherheitsrichtlinien werden Ihnen angezeigt, damit Sie nachvollziehen können, ob für diese Benutzer spezielle Anmeldebedingungen oder Passwortregeln gelten.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
In einem Szenario, in dem Anwender direkt auf die HANA-Datenbank zugreifen, kann eine manuelle Doppelpflege von Benutzer-Accounts in den verschiedenen Oberflächen von SAP HANA und SAP NetWeaver AS ABAP erforderlich sein.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
In diesem Artikel zeige ich Dir mit welcher Transaktion man einfach und schnell den Berechtigungstrace in SAP ERP bzw. SAP S/4HANA ausführt.