User- & Berechtigungs-Management mit SIVIS as a Service
FAZIT
Gründe für fehlerhafte Organisationsebenen sind Werte, die im Berechtigungsobjekt selbst manuell gepflegt wurden, anstatt über den Button Orgebenen, sowie fehlerhafte Transporte oder fehlerhaft erstellte oder gelöschte Organisationsebenen. Da eine korrekte Vererbung in solchen Fällen nicht mehr stattfinden kann, benötigen Sie eine Möglichkeit, um fehlerhafte Werte der Organisationsebenen in den PFCG-Rollen zurückzusetzen.
Die Benutzer Ihrer Webanwendungen sollen Zugriff auf genau die Anwendungen erhalten, die ihrer jeweiligen Geschäftsrolle entsprechen. Mit dem Berechtigungsobjekt S_START können Sie diese Anforderung in den PFCG-Rollen abbilden. Anwendungen auf der Grundlage von SAP-Produkten bieten für den Nutzer unterschiedliche Zugangsmethoden, von denen die Verwendung von SAP GUI mit anwendungsbezogenen SAP-Transaktionen als »klassisch « zu nennen ist. Im Rahmen von Webanwendungen werden die Anwendungsoberflächen hingegen in einem Webbrowser abgebildet. Es sollen dabei nicht nur transaktionale Vorgänge, sondern auch die Anzeige von Ergebnissen aus Datenanalysen oder statische Fakten unterstützt werden. Das Modell der SAP-Transaktionen, bei denen der Zugriff über das Berechtigungsobjekt S_TCODE gesteuert wird, genügt diesen Anforderungen nicht.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Stellen Sie zunächst Ihre Aufbauorganisation dar. Bilden Sie (gegebenenfalls zunächst nur auf der generischen Ebene von Applikationen wie MM oder CO) über die Aufbauorganisation hinweg die betriebswirtschaftlichen Prozesse ab. Ermitteln Sie auf dieser Grundlage, welche organisatorischen Merkmale (Organisationsebenen, aber auch Kostenstellen, Organisationseinheiten usw.) welche Teile der Aufbauorganisation repräsentieren. Definieren Sie (gegebenenfalls zunächst nur im Rechnungswesen detailliert, ansonsten auf der Ebene von Applikationen), welche Funktionen zwingend getrennt bleiben müssen. Sofern Sie ein laufendes System haben, werten Sie die Verwendung der letzten 13 Monate aus (siehe Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«). Setzen Sie ein neues System auf, und sorgen Sie am besten dafür, dass die Prozesse immer bis hin zur Ebene der Transaktionen dokumentiert sind. In solch einem Fall ist es auch am besten, unmittelbar bei der Prozessbeschreibung die betriebswirtschaftlichen Risiken zu erheben.
So viele Informationen... wie kann man die aufheben, so dass man sie bei Bedarf wiederfindet? Scribble Papers ist ein "Zettelkasten", mit dem das sehr einfach möglich ist.
Die soeben angelegten Customizing-Objekte binden Sie nun in die eigene IMG-Struktur ein. Dazu öffnen Sie wieder die Transaktion SIMGH, rufen Ihre Struktur im Änderungsmodus auf und fügen sie unter dem zuvor angelegten Ordner ein, indem Sie Aktivität > eine Ebene tiefer einfügen wählen. Sie sollten schon mit der Anlage der Customizing-Objekte eine gleichnamige Dokumentation anlegen. Dazu wählen Sie auf der Registerkarte Dokument den Button Anlegen aus und verfassen einen entsprechenden Text, den Sie speichern und anschließend aktivieren.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Sie können sie ohne Bedenken löschen, da ein externer Service für eine Berechtigung nur einmal im Rollenmenü erscheinen muss.
Im SAP-Hinweis 1671117 finden Sie weiterführende Informationen zu den erforderlichen Support Packages sowie technische Hintergründe.