SAP Code Vulnerability Analyzer verwenden
SAP FICO Berechtigungen
Ein rotes Symbol wird bei den Berechtigungsprüfungen im EWA nicht vergeben, da die Bewertung für jedes Unternehmen individuell vorgenommen werden muss. Auch gibt es unterschiedliche Anforderungen innerhalb der Systemlandschaft, z. B. an Produktiv- oder Entwicklungssystem. Der EWA ist bewusst nicht kundenspezifisch einstellbar, denn er soll Kunden auf von SAP als kritisch eingestufte Einstellungen hinweisen.
Die Lösung der ersten beiden genannten Probleme erhalten Sie durch das Einspielen der Korrektur aus dem SAP-Hinweis 1614407. Die Profildaten werden nicht mehr zum Zeitpunkt der Rollenaufzeichnung, sondern erst bei der Freigabe des Transportauftrags der Stückliste hinzugefügt. Auf diese Weise ist die Übereinstimmung zwischen den Berechtigungsdaten der Rolle und den dazugehörigen Profildaten gewährleistet. Der freigegebene Transportauftrag enthält ebenfalls die komplette Änderungshistorie der Profile und Berechtigungen, sodass auch die Löschung obsoleter Daten in den Zielsystemen möglich ist.
Risiko: historisch gewachsenen Berechtigungen
Analog unterstützt SAP Identity Management ab Version 7.2 SP 3 die Anlage von HANA-Benutzern sowie die Zuweisung von Rollen. Auch über das Identity Management können Sie den Mehrwert der Business-Rollen für die Anlage eines Benutzers mit Rollenzuweisung im ABAP-System sowie in der HANA-Datenbank nutzen.
Beim Abmischen von Rollen – sei es nach Upgradenacharbeiten oder bei Rollenmenüänderungen – werden Änderungen an den Berechtigungswerten vorgenommen. Diese Änderungen können Sie sich im Vorfeld als Simulation anzeigen lassen. Wie in Tipp 43, »Berechtigungen nach einem Upgrade anpassen«, beschrieben, erscheinen Administratoren so manche Upgradenacharbeiten wie eine Black Box. Sie klicken auf irgendwelche Buttons, und irgendetwas passiert mit den Berechtigungen in ihren Rollen. Wenn Sie z. B. Schritt 2c (Zu überprüfende Rollen) in der Transaktion SU25 aufrufen, werden alle Rollen mit einer roten Ampel markiert, bei denen ein Abmischen aufgrund der geänderten Daten aus der Transaktion SU24 notwendig ist. Sobald Sie eine dieser Rolle aufrufen und in die Berechtigungspflege einsteigen, ändern sich die Berechtigungswerte sofort. Anhand des Aktualisierungsstatus Alt, Neu oder Verändert erkennen Sie zwar, an welchen Stellen etwas geändert wurde, geänderte oder gelöschte Werte können hier jedoch nicht angezeigt werden. Ein einfaches Beispiel, um dieses Verhalten auch ohne Upgradeszenario nachzuspielen, ist das Ändern des Rollenmenüs. Löschen Sie aus einer Testrolle eine Transaktion, und mischen Sie diese Rolle neu ab. Sie wissen genau, dass nun bestimmte Berechtigungsobjekte verändert und andere sogar komplett entfernt worden sind, können aber nicht alle Änderungen auf der Werteebene nachvollziehen? Dank neuer Funktionen ist nun mit dieser Ungewissheit Schluss.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Dabei ist es Ihnen auch möglich, ein Zielsystem, basierend auf den Einstellungen eines existierenden Systems, zu definieren und an Ihre Anforderungen anzupassen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Der Customizing-Schalter erfordert eine gültige Benutzergruppe, denn diese wird als Standardbenutzergruppe verwendet.