Root-Cause-Analysen
Analyse der SAP-Workprozesse
Damit die hinterlegte Geschäftslogik einer Applikation richtig ausgeführt werden kann, muss der ausführende Benutzer zusätzlich die notwendigen Berechtigungsobjekte in der Ablauflogik der OData- Services in seiner Rolle ausgeprägt haben. Werden hier Authority-Checks ausgeführt, um zB Daten auf dem Backend-Server abzufragen oder zu ändern, muss die entsprechende Rolle hierfür berechtigt werden. Diese Berechtigungen werden durch Berechtigungsobjekte, wie in jedem ABAP-Report auch, in einer Rolle ausgeprägt. Wenn Sie diese Schritte beachten, sollten Ihre Launchpad-Nutzer die notwendigen Fiori- Berechtigungen besitzen um das Launchpad zu starten, alle relevanten Kacheln zu sehen und die spezifischen Apps mit ihrer Geschäftslogik ausführen zu können.
Regelmäßig wenden sich Kunden mit einem derartigen Fall an uns. Die Erstellung eines Berechtigungskonzepts von Grund auf ist häufig eine zeitraubende Aufgabe. Weiterhin fehlt oft das Know-how, welche Aspekte in einem Berechtigungskonzept behandelt werden sollten und wie die entsprechenden Prozesse praxistauglich und gleichzeitig revisionssicher aussehen können. Unsere Lösung: toolgestützte Generierung eines individuellen, schriftlichen Berechtigungskonzepts Unseren Kunden haben wir in dieser Situation die toolgestützte Generierung eines schriftlichen Berechtigungskonzepts direkt aus dem SAP-System heraus empfohlen. Hierzu verwenden wir das Werkzeug XAMS Security Architect, mit dem wir gute Erfahrungen gemacht haben. Dieses beinhaltet ein Template für ein revisionssicheres und verständliches, schriftliches Berechtigungskonzept. Darin enthalten sind etablierte Best-Practices für die Rollen- und Berechtigungsverwaltung. Durch das Template werden alle in einem Berechtigungskonzept relevanten Bereiche abgedeckt. Der mitgelieferte Text des Berechtigungskonzeptes ist vollständig individualisierbar, sodass das Konzept passgenau auf Ihre Situation zugeschnitten werden kann, ohne ein Berechtigungskonzept von Grund auf neu zu erstellen. Schriftliches Berechtigungskonzept dynamisch aktualisieren Eine der größten Herausforderungen nach dem Aufbau eines Berechtigungskonzepts ist es, dieses auch langfristig aktuell zu halten und die nachhaltige Umsetzung im System zu messen. Dies erreichen wir durch die Einbindung von Live-Daten wie Konfigurationseinstellungen und definierten Regelwerken direkt aus dem angeschlossenen System. So werden beispielsweise Listen vorhandener Rollen oder Benutzergruppen sowie Tabellen bei jeder Generierung des Dokuments aus dem System ausgelesen und im Berechtigungskonzept aktualisiert. Im folgenden Screenshot können Sie beispielhaft sehen, wie die Darstellung im Konzeptdokument aussehen kann. Einhaltung des Konzepts automatisiert prüfen und überwachen Um die Einhaltung des Konzepts zu prüfen beinhaltet der XAMS Security Architect umfangreiche Prüfwerkzeuge. Diese decken die im Konzept formulierten Regelungen ab und eignen sich, um zu messen, in wieweit die Realität im System den im Konzept formulierten Anforderungen entspricht.
REDUKTION VON KUNDENSPEZIFIKA
Die folgende Liste erklärt die Schritte in der Reihenfolge, wie sie von SPAM durchgeführt werden: PROLOGUE In diesem Schritt wird überprüft, ob Sie berechtigt sind, Support Packages einzuspielen. CHECK_REQUIREMENTS In diesem Schritt werden verschiedene Voraussetzungen für das Einspielen überprüft, zB das Anmelden des Transportsteuerungsprogramms tp an Ihr System. DISASSEMBLE In diesem Schritt werden die Datendateien aus den entsprechenden EPS-Paketen entpackt und im Transportverzeichnis abgelegt. ADD_TO_BUFFER In diesem Schritt wird die Queue in den Transportpuffer Ihres Systems gestellt. TEST_IMPORT In diesem Schritt wird geprüft, ob es Objekte gibt, die während des Einspielens überschrieben werden und sich in noch nicht freigegebenen Aufgaben befinden. IMPORT_OBJECT_LIST In diesem Schritt werden die Objektlisten für die Support Packages, die sich in der Queue befinden, in das System eingespielt. OBJECTS_LOCKED_? In diesem Schritt wird geprüft, ob es Objekte gibt, die während des Einspielens überschrieben werden und sich in noch nicht freigegebenen Aufträgen befinden. SCHEDULE_RDDIMPDP In diesem Schritt wird der Transportdämon (Programm RDDIMPDP) eingeplant. ADDON_CONFLICTS_? In diesem Schritt wird überprüft, ob es Konflikte zwischen Objekten in der Queue und installierten Add-Ons gibt. SPDD_SPAU_CHECK In diesem Schritt wird überprüft, ob ein Modifikationsabgleich (Transaktionen SPDD/SPAU) notwendig ist. DDIC_IMPORT In diesem Schritt werden alle ABAP Dictionary-Objekte der Queue importiert. AUTO_MOD_SPDD In diesem Schritt wird überprüft, ob Modifikationen an ABAP Dictionary-Objekten automatisch angepaßt werden können. RUN_SPDD_? In diesem Schritt werden Sie aufgefordert, Ihre Modifikationen an ABAP Dictionary- Objekten anzupassen, indem Sie die Transaktion SPDD aufrufen. IMPORT_PROPER In diesem Schritt werden alle Repository-Objekte und Tabelleneinträge eingespielt. Anschließend finden Aktionen wie Verteilung, Umsetzung, Aktivierung und Generierung statt. AUTO_MOD_SPAU In diesem Schritt wird überprüft, ob Modifikationen automatisch angepaßt werden können.
Dies ist eine allgemeine Liste. Es gibt noch viele andere Aufgaben, die ein Basis-Berater zu bewältigen hat. Jeden Tag lernt man etwas Neues!
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Ein typisches Beispiel hierfür ist der Schritt TEST_IMPORT.
Durchsuchen Sie dazu im SAP Support Portal bezüglich Ihrer performancekritischen Transaktionen mit dem Schlagwort »Performance« und dem betreffenden Transaktionscode Programm- oder Tabellennamen nach Hinweisen.