Liste der erforderlichen Organisationsebenen sowie deren Wert
Sicherheitshinweise mithilfe der Systemempfehlungen einspielen
Der hohe manuelle Pflegeaufwand von abgeleiteten Rollen bei organisatorischen Änderungen stört Sie? Nutzen Sie die in diesem Tipp vorgestellten Varianten für die Massenpflege von Rollenableitungen. Gerade in großen Unternehmen kommt es oft vor, dass z. B. für Buchhaltung, Vertrieb oder Einkauf ein weltweites, integriertes ERP-System genutzt wird. Die Zugriffe der verschiedenen Abteilungen müssen Sie dann jeweils einschränken, z. B. auf entsprechende Buchungskreise, Verkaufsorganisationen oder Einkauforganisationen. Im Berechtigungsumfeld können Sie in solchen Fällen mit Referenzrollen und Rollenableitungen arbeiten. Dies verringert Ihren administrativen Aufwand für die Pflege funktionaler Berechtigungen und reduziert den Pflegeaufwand für Rollenableitungen auf das Anpassender sogenannten Organisationsfelder. Die Pflege der Organisationsfelder kann dennoch eine enorme manuelle Arbeit für Sie bedeuten, da die Anzahl der Rollenableitungen sehr groß werden kann. Hat Ihr Unternehmen beispielsweise 100 Vertriebsorganisationen und 20 Vertriebsrollen, haben Sie bereits 2.000 Rollenableitungen. Wir stellen Ihnen hier mögliche Ansätze dazu vor, wie Sie diesen manuellen Aufwand verringern können.
Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung: TCD ( PFCG , PFCG_1 ). Klicken Sie doppelt auf die Schnittstelle PFCG_1. Rechts erscheint ein neuer Ausschnitt mit den Aufzeichnungsdetails. Nun müssen Sie ein wenig nach Ihren Eingaben suchen. Verwenden Sie z. B. den auf dem PFCG-Einstiegsbild eingegebenen Rollennamen (Feldname 'AGR_NAME_NEU'). Jetzt kommt ein wichtiger Schritt: Ersetzen Sie die von Ihnen während der Aufzeichnung eingegebenen Werte durch einen Platzhalter, einen sogenannten Inputparameter. Gehen Sie dazu in die Zeile VALIN, und tippen Sie anstelle des eingegebenen Rollennamens einen beliebigen Parameternamen ein, z. B. ROLLENNAME. Klicken Sie auf die Eingabetaste, werden Sie gefragt, um welche Art von Parameter es sich handelt. Geben Sie Import an, und bestätigen Sie mit Ja.
Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen
Dazu haben Sie die Möglichkeit, mit dem Berechtigungsobjekt P_ABAP die üblichen Berechtigungsprüfungen zu übersteuern. Dies gilt für alle Berichte, die auf die logische Datenbank PNPCE (bzw. PNP) zugreifen. Bei einer Berechtigung für P_ABAP finden die üblichen Prüfungen auf Berechtigungsobjekte, wie z. B. P_ORGIN oder P_ORGINCON, nicht mehr statt oder werden vereinfacht. Dies trifft auch für strukturelle Berechtigungen zu. Ob die Berechtigungsprüfungen vereinfacht oder komplett ausgeschaltet werden, wird über das Feld COARS des Objekts gesteuert. Wollen Sie alle Prüfungen ausschalten, setzen Sie den Wert COARS = 2. Bei diesem Wert gibt es keine Einschränkung für die angezeigten Daten im berechtigten Bericht. Wenn Sie für das Reporting erweiterte Berechtigungen erlauben möchten, diese aber nicht uneingeschränkt sein sollen, müssen Sie den Wert COARS = 1 wählen. In diesem Fall prägen Sie zusätzlich das Berechtigungsobjekt P_ORGIN (bzw. P_ORGINCON, P_ORGXX und P_ORGXXCON) aus. Allerdings müssen Sie darauf achten, nicht alle Felder der Objekte auszuprägen, da ansonsten auch der direkte Zugriff möglich ist. Prägen Sie daher immer zwei Versionen des Berechtigungsobjekts P_ORGIN aus, einmal mit den funktionalen Berechtigungen (Berechtigungslevel, Infotypen und Subtypen) und einmal mit den organisatorischen Abgrenzungen (Personalbereich, Mitarbeitergruppe, Mitarbeiterkreis und Organisationsschlüssel). Zusätzlich brauchen Sie dann natürlich noch eine Ausprägung von P_ABAP für die relevanten Berichte mit dem Wert COARS = 1.
Analog unterstützt SAP Identity Management ab Version 7.2 SP 3 die Anlage von HANA-Benutzern sowie die Zuweisung von Rollen. Auch über das Identity Management können Sie den Mehrwert der Business-Rollen für die Anlage eines Benutzers mit Rollenzuweisung im ABAP-System sowie in der HANA-Datenbank nutzen.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
In der Ergebnisliste sind alle berechtigten Tabellen sowie deren Berechtigungen bzw. Berechtigungswerte aufgeführt.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Abschließend haben wir für Sie noch einige wichtige Informationen zusammengefasst: Es gibt einzelne Programme, die rein lesend genutzt werden können, jedoch auch Optionen für Updates auf der Datenbank bieten.