Sicherheit innerhalb des Entwicklungssystems
Optimierung der SAP-Lizenzen durch Analyse der Tätigkeiten Ihrer SAP-User
Beim Erstellen des Berechtigungskonzepts wird eine Namenskonvention für PFCG-Rollen definiert. Jeder Kunde hat hier eigene Vorlieben bzw. Vorgaben, an die man sich halten muss. Unseren Projekterfahrungen nach, bieten sich einige Namenskonventionen besonders an. Namenskonventionen für PFCG-Rollen können sehr vielfältig ausfallen. Sie haben sicher festgestellt, dass selbst die von SAP ausgelieferten Rollen keiner einheitlichen Namenskonvention entsprechen. So gibt es Rollen, deren Namen mit SAP_ anfangen. Es gibt aber auch Rollen, z. B. für das SRM-System, die mit dem Namensraum /SAPSRM/ beginnen. In diesem Tipp möchten wir Ihnen einige Hinweise und Kriterien mitgeben, die Sie bei der Definition einer Namenskonvention von PFCG-Rollen zurate ziehen können.
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an. Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an. Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten > Tabelle einfügen (oder über den Button ) können Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_ 1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERS für die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
ACCESS CONTROL | BERECHTIGUNGSMANAGEMENT FÜR SAP®
Rollen werden je nach Funktion der Mitarbeiter im Unternehmen zugewiesen und deren Gültigkeitsdauer je nach Aufgabe begrenzt. Rollenzuordnungen manuell in Benutzerstammsätzen aufzuräumen, ist sehr mühselig. Wir zeigen Ihnen, wie es einfacher geht. Mit der Zeit haben sich bei den Anwendern Ihres SAP-Systems viele Rollen im Benutzerstammsatz angesammelt. Diese Rollen haben unterschiedliche Gültigkeitszeiträume. Die Gültigkeit einiger Rollen ist bereits abgelaufen, und andere Rollen sind vielleicht mehrfach zugewiesen, weil ein Anwender z. B. mehrere Funktionen im Unternehmen übernimmt, bei denen zum Teil die gleichen Rollen zum Einsatz kommen. Nun suchen Sie nach einem einfachen Weg, um Rollenzuordnungen zu löschen, bei denen der Gültigkeitszeitraum abgelaufen ist, bzw. um mehrfach vergebene Rollenzuordnungen aufzuräumen.
Wenn Sie die Verwaltung von Änderungsanträgen (Change Request Management) im SAP Solution Manager einsetzen, können Sie die Systemempfehlungen integriert nutzen. Dazu legen Sie in den Systemempfehlungen einen Änderungsantrag für die zu implementierenden SAP-Hinweise an. Für den Zugriff auf die Systemempfehlungen brauchen Sie im SAP Solution Manager eine Berechtigung für das Objekt SM_FUNCS (ACTVT = 03; SM_APPL = SYSTEM_ REC; SM_FUNC = , z. B. SECURITY).
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Über diese Funktion haben Sie die Möglichkeit, entweder nur bestimmte Tochtersysteme aus der ZBV oder die komplette ZBV zu löschen.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Alternativ können Sie die Prüfung auf die Aktivität 50 (Verschieben) des Berechtigungsobjekts S_USER_GRP aktivieren.