User- & Berechtigungs-Management mit SIVIS as a Service
RS_ABAP_SOURCE_SCAN
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Seit der Einführung der Sicherheitsrichtlinien in SAP NetWeaver 7.31 hat sich dieser Report verändert. In älteren Releases wird im Startbild des Reports anstelle der Übersicht über die Sicherheitsrichtlinien eine Selektionsseite für die Profilparameter angeboten. Wenn Sie in dieser Selektionssicht Profilparameter anzeigen auswählen, erhalten Sie in der oberen Hälfte des Bildschirms eine Übersicht zu den Profilparametereinstellungen. Hier sollten Sie besonders auf die Einstellung des Parameters login/no_ automatic_user_sapstar achten und dessen Einstellung auch nach der Umstellung auf die Sicherheitsrichtlinien kontrollieren.
Berechtigungen mit dem Pflegestatus Verändert oder Manuell
Betriebswirtschaftliche Objekte, auf die Unternehmen Berechtigungen beziehen, sind im System als Berechtigungsobjekte definiert. Für Individualkonditionen liefert SAP die Berechtigungsobjekte F_FICO_IND und F_FICO_AIN aus. Mit F_FICO_IND kann festgelegt werden, welche Individualkonditionen beim Bearbeiten des Vertrages in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden. Mithilfe des Berechtigungsobjekt F_FICO_AIN können Unternehmen festlegen, ob und wie Individualkonditionen bei der Bearbeitung im Kanal BAPI in Abhängigkeit der definierten Berechtigungsfelder und deren Ausprägungen überprüft werden sollen.
Wir stellen Ihnen hier verschiedene Szenarien für den Prozess des Zurücksetzens von Passwörtern vor. In allen Szenarien wählt der Benutzer das System und den Mandanten, in denen ein Passwort zurückgesetzt werden soll, über eine Webseite aus. Es sollten nur Systeme und Mandanten angezeigt werden, in denen dieser Benutzer bereits existiert und eine Berechtigung zugewiesen hat. Anschließend wird ein Initialpasswort generiert und an die E-Mail-Adresse des Benutzers verschickt. Nur für den Fall, dass eine Benutzersperre durch Falschanmeldungen gesetzt ist, muss der Benutzer zusätzlich entsperrt werden. Bei einer Administratorsperre sollte der Benutzer entsprechend informiert werden. Bevor Sie den Self-Service implementieren, sollten Sie sich Gedanken über die in Ihren Systemen eingestellten Passwortregeln und den Einsatz von Sicherheitsrichtlinien machen. Denn über diese Einstellungen können Sie steuern, wie Passwörter in Ihren Systemen generiert werden. Wir empfehlen Ihnen, dazu die Erläuterungen in den Tipps 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«, und 5, »Sicherheitsrichtlinien für Benutzer definieren«, zu lesen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Denn zuvor waren alle Passwortregeln für den Servicebenutzer ungültig, und nun greifen die Regeln für die Inhalte der Passwörter auch bei ihm (Details zu den Sicherheitsrichtlinien finden Sie in Tipp 5, »Sicherheitsrichtlinien für Benutzer definieren«).