SAP Berechtigungen Berechtigungsprüfungen für Belege in FI erweitern - SAP Basis

Direkt zum Seiteninhalt
Berechtigungsprüfungen für Belege in FI erweitern
Change-Management
Initialpasswörter bei Standardbenutzern sind extrem riskant, da diese veröffentlicht sind. Sorgen Sie dafür, dass diese Sicherheitslücke in Ihrer Systemlandschaft nicht existiert. Ein SAP-System wird immer mit bestimmten Standardbenutzern ausgeliefert bzw. diese werden z. B. für das Transportmanagementsystem automatisch eingerichtet. Diese Standardbenutzer verwenden Initialpasswörter, die hinlänglich bekannt sind. Schließen Sie diese Sicherheitslücke, indem Sie die Passwörter ändern und die Standardbenutzer gegen unbefugte Benutzung absichern. Wir zeigen Ihnen in diesem Tipp, wie Sie den Status der Passwörter Ihrer Standardbenutzer klären können und geben Ihnen Empfehlungen zu den Einstellungen Ihrer Profilparameter.

Haben Sie eigene Berechtigungsprüfungen entwickelt, um diese in kundeneigenen Programmen zu verwenden oder um Erweiterungen am SAPStandard vorzunehmen, ist es unbedingt notwendig, dass Sie die Z-Berechtigungsobjekte als Vorschlagswerte für die jeweiligen Anwendungen pflegen. So müssen diese nicht manuell in den jeweiligen Rollen nachgepflegt werden. Darüber hinaus haben Sie eine transparente Möglichkeit geschaffen, um zu dokumentieren, für welche Anwendungen Ihre kundeneigenen Berechtigungen zur Verfügung stehen. Zu guter Letzt hilft Ihnen eine gut geführte Vorschlagswertepflege bei Upgradenacharbeiten an Vorschlagswerten und PFCG-Rollen. Hier wird sichergestellt, dass Ihre Änderungen und die Verbindungen zu den jeweiligen PFCG-Rollen erhalten bleiben und neue Berechtigungsprüfungen für das neue Release zu den Anwendungen hinzukommen.
Objekt S_BTCH_NAM und S_BTCH_NA1 (Nutzung fremder Benutzer in Steps)
Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja. Sie haben nun erfolgreich eine Aufzeichnung der Blaupause erstellt. Nun folgt der etwas kniffligere Teil: Die Identifikation der Werte, die jeweils bei der Massenausführung geändert werden sollen. Im Editor Ihrer Testkonfiguration steht unten in der Textbox die erstellte Aufzeichnung. Wir können nun das Testskript mit beliebigen Eingaben massenhaft ausführen. Hierzu benötigen wir eine Testkonfiguration. Geben Sie dieser ebenfalls einen sprechenden Namen, im Beispiel Z_ROLLOUT_STAMMDATEN, und klicken Sie auf den Button Objekt anlegen. Auf der Registerkarte Attribute geben Sie eine allgemeine Beschreibung sowie eine Komponente an. Gehen Sie dann auf die Registerkarte Konfiguration, und wählen Sie das zuvor erstellte Testskript im entsprechenden Feld aus. Wechseln Sie dann auf die Registerkarte Varianten. Die Varianten sind die Eingaben in unserem Skript. Da wir das Format, in dem eCATT die Eingabewerte benötigt, nicht kennen, ist es hilfreich, sich dieses zunächst herunterzuladen. Wählen Sie dazu Externe Varianten/Pfad aus, und klicken Sie auf Varianten herunterladen. Unter dem entsprechendem Pfad wird nun eine Textdatei angelegt, die das gewünschte Format mit den Inputparametern enthält. Öffnen Sie die Daten mit Microsoft Excel, und stellen Sie Ihre Zielwerteliste ein. Löschen Sie dazu die Zeile *ECATTDEFAULT. In der Spalte VARIANT können Sie einfach eine fortlaufende Nummerierung verwenden. Speichern Sie die Datei im Textformat, nicht etwa in einem der Excel-Formate ab.

Um die vielen Informationen zum Thema SAP - und auch anderen - in einer Wissensdatenbank zu speichern, eignet sich Scribble Papers.

Wurde ein Eintrag in der Transaktion SE97 korrekt angelegt, wird eine Berechtigungsprüfung genauso durchgeführt, wie es bei einer Transaktionsstartberechtigung der Fall ist. Dieser Ansatz erfordert daher eine exakte und vollständige Konfiguration für jede Transaktion, die aufgerufen wird. Der erforderliche Aufwand und der Raum für Fehler sind entsprechend groß. Der ABAP-Befehl CALL TRANSACTION verursacht keine Transaktionsstartberechtigungprüfung. Ohne eine Berechtigungsprüfung könnte das ABAP-Programm Benutzern ungewollt Zugriff auf Systemressourcen erlauben. Solche Berechtigungsprobleme führen in vielen Fällen zu einer versteckten Compliance-Verletzung, denn dadurch ist die Nachvollziehbarkeit von Benutzeraktionen im SAP-System nicht mehr gewährleistet. Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen. Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.

Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.

Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.

Berechtigungen müssen in jedem SAP-System gepflegt werden – eine Aufgabe, die umso schwieriger wird, je komplexer die Systemlandschaften und größer die Benutzerzahlen sind.

Wir empfehlen die Verwendung des Reports, da Sie hier mehr Möglichkeiten haben, um die Auswertung zu personalisieren und archivierte Logs verschiedener Anwendungsserver in die Auswertung einzubeziehen.
SAP BASIS
Zurück zum Seiteninhalt