S_TABU_NAM in ein Berechtigungskonzept integrieren
Berechtigungsobjekte der PFCG-Rolle
Der Prozess der Benutzerverwaltung, also Benutzeranlage, -änderung und -deaktivierung sollte einerseits in schriftlich dokumentierter Form, entweder als eigenes Dokument oder als Teil des schriftlich dokumentierten Berechtigungskonzepts, vorliegen und andererseits auch gemäß der Dokumentation durchgeführt werden. Daher ist ein Abgleich auf zwei Ebenen vorzunehmen, einerseits sollte sichergestellt werden, dass die Dokumentation aktuell ist und andererseits sollte überprüft werden, ob der Prozess im zu prüfenden Wirtschaftsjahr auch eingehalten wurde. Mögliche Abweichungen sollten bereits argumentativ vorbereitet werden, es können immer Sonderfälle auftreten, die vom eigentlichen Prozess abweichen. Diese sind jedoch nachvollziehbar zu dokumentieren, damit ein externer Prüfer, wie es eben der IT-Prüfer des Wirtschaftsprüfers ist, verplausibilisieren kann. Sämtliche Dokumentationen sollten mit den wesentlichen Informationen (Ersteller, Datum, Version, etc.) versehen werden und in einem nicht veränderbaren Format (in der Regel PDF) vorliegen. Weitere Unterlagen können auch aus dem Ticket-System ausgegeben werden, sofern der Prozess durchgängig über das Ticketsystem dokumentiert ist.
Mithilfe dieses Reports können Sie sich nicht nur einen Überblick über die Einstellungen zur Tabellenprotokollierung in den Tabellen verschaffen, sondern Sie können auch mehrere Tabellen für die Protokollierung auswählen. Über den Button Protokollflag können Sie den Haken für die Tabellenprotokollierung für alle zuvor markierten Tabellen setzen. Den aktuellen Status der Tabellenprotokollierung für die Tabellen finden Sie in der Spalte Protokoll. Das Icon bedeutet, dass die Tabellenprotokollierung für die selektierte Tabelle ausgeschaltet ist.
SAP_NEW richtig verwenden
Wechseln Sie nun in die Benutzerpflege, und Sie werden feststellen, dass diese PFCG-Rolle Ihrem Benutzer noch gar nicht zugeordnet ist. Dafür müssen Sie zunächst den Benutzerstammabgleich durchführen. Diesen können Sie manuell über die Transaktion PFUD ausführen oder als Job einplanen. Dafür ist der Hintergrundjob PFCG_TIME_DEPENDENCY bzw. der Report RHAUTUPD_NEW vorgesehen.
Wir empfehlen Ihnen daher, einen Hintergrundjob über die Transaktion PFUD einzuplanen, der einen regelmäßigen Benutzerabgleich durchführt (siehe Trick 17, »Transaktion PFUD regelmäßig einplanen«). Haben Sie übrigens gewusst, dass Sie über den Profilparameter auth/tcodes_not_checked die Transaktionsstartberechtigung für die Transaktionen SU53 und SU56 ausschalten können? Tragen Sie hierzu den Wert SU53, SU56 oder SU53 SU56 für den Profilparameter ein. Damit benötigt der Endanwender nicht mehr die Berechtigungen für die Ausführung dieser Transaktionscodes über das Berechtigungsobjekt S_TCODE.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Es ist wichtig zu erwähnen, dass präventive regelmäßige Kontrollen nicht zwingend aufwendig sein müssen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Damit ein Anwender in SAP CRM arbeiten kann, benötigt er sowohl CRM-Business-Rollen, die die Benutzeroberfläche definieren, als auch die jeweiligen PFCG-Rollen, die ihn zur Arbeit in den Anwendungen berechtigen.