SAP Data Analytics
Gesetzeskritische Berechtigungen
Da Entwicklerberechtigungen einer Vollberechtigung entsprechen, sollten diese nur restriktiv vergeben werden. Dies gilt vor allen Dingen für die Berechtigung zum „Debugging mit Replace“ (siehe „Gesetzes kritische Berechtigungen“). Das Risiko durch falsch vergebene Entwicklerberechtigungen ist auch durch das Wegfallen des Zusatz-Schutzes über Entwickler- und Objektschlüssel in S/4 HANA Systemen gestiegen (siehe u.a. SAP-Hinweis 2309060). Entwicklerberechtigungen für originale SAP-Objekte sollten hier also nur noch auf Antrag vergeben werden, um unautorisierte Modifikationen zu vermeiden. Falls Entwicklerschlüssel in dem vorhandenen SAP-Release also noch relevant sind, sollten zunächst die vorhandenen Entwicklerschlüssel in der Tabelle DEVACCESS überprüft und mit den für die Entwicklung vorgesehenen Benutzern abgeglichen werden.
Sie haben Anwendungen selbst entwickelt und möchten Vorschlagswerte für diese pflegen? Das geht am einfachsten mithilfe des Berechtigungstrace. Auch bei selbst entwickelten Anwendungen werden Berechtigungsprüfungen durchgeführt. Diese Anwendungen müssen somit in die PFCG-Rollen aufgenommen werden. Werden sie in einem Rollenmenü gepflegt, wird Ihnen auffallen, dass neben den Startberechtigungen (wie z. B. S_TCODE) keine weiteren Berechtigungsobjekte in die PFCG-Rolle übernommen werden. Der Grund dafür ist, dass auch für kundeneigene Anwendungen Vorschlagswerte gepflegt werden müssen, um sicherzustellen, dass die PFCG-Rollenpflege regelkonform abläuft, und um die Pflege für Sie zu erleichtern. Bisher mussten die Werte von kundeneigenen Anwendungen entweder manuell in der PFCG-Rolle nachgepflegt werden, oder die Vorschlagswertepflege in der Transaktion SU24 wurde manuell durchgeführt.
Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten
Die Implementierung der Zeitraumberechtigungsprüfungen wird als zusätzlicher Zeitraumfilter durchlaufen. Bei Selektionskriterien außerhalb des gültigen Zeitraums erscheint die Meldung »Keine Berechtigung zur Anzeige von Daten aus diesem Zeitraum«. Sofern die Selektionskriterien jedoch teilweise im gültigen Zeitraum liegen, werden die Belege, die außerhalb des Zeitraums liegen, vom System ausgefiltert, ohne dass der Benutzer einen Hinweis erhält. Im Beispiel aus der obigen Abbildung würden beim Aufruf der Kreditoreneinzelpostenliste für den Zeitraum 01.01.2010 bis 31.12.2014 Buchungen nach dem 31.12.2013 bei Benutzern aus der Prüfergruppe BP-NRW kommentarlos herausfallen. Dieses Systemverhalten kann etwas irritieren.
Das System kontrolliert den direkten Zugriff auf die Inhalte von Tabellen, z.B. mit den Transaktionen SE16, SM30 oder SE16N mit Berechtigungsprüfungen auf einer Tabellenberechtigungsgruppe, Objekt S_TABU_DIS. Sind keine geeigneten Berechtigungen für die Tabellenberechtigungsgruppe vorhanden, prüft das System den Namen der Tabelle oder Sicht, Objekt S_TABU_NAM. Bei Änderungen an mandantenunabhängigen Tabellen prüft das System auch die Berechtigungen für das Objekt S_TABU_CLI. Wenn Sie im Customizing zeilenbasierte Berechtigungsprüfungen konfiguriert haben, prüft das System auch das Berechtigungsobjekt S_TABU_LIN. Ordnen Sie einer Tabellenberechtigungsgruppe mit der Transaktion SE11 oder SE54 Tabellen oder Sichten zu. Sie können Tabellenberechtigungsgruppen auch mit der Transaktion SE54 definieren. Wenn Ihre Kundenentwicklung einen direkten Zugriff auf eine Tabelle implementiert, verwenden Sie den Funktionsbaustein VIEW_AUTHORITY_CHECK für die Durchführung der Berechtigungsprüfung. Weitere Informationen über den generischen Zugriff auf Tabellen finden Sie im SAP-Hinweis 1434284 Auf SAP-Site veröffentlichte Informationen und der Online-Dokumentation für die oben genannten Berechtigungsobjekte.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Wir wählen die Berechtigungsobjekte und -werte als Selektion und den Rollennamen sowie den Benutzer als Ausgabefelder.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Letztere können Sie löschen, da es sich hier um Duplikate aus den anderen Ordnern oder nicht relevante externe Services handelt.