Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Aufgabe & Funktionsweise vom SAP Berechtigungskonzept
Spielen Sie den SAP-Hinweis 1695113 in Ihr System ein. Mit diesem Hinweis werden die Reports RSUSR200 und RSUSR002 um die Selektion verschiedener Benutzersperren oder -gültigkeiten erweitert. Dabei können Sie nun in der Selektion unterscheiden, ob Sie Benutzer mit Administrator- oder Passwortsperren in der Auswahl berücksichtigen oder diese ausschließen möchten. Zusätzlich können Sie im Report RSUSR200 selektieren, ob die Benutzer am Tag der Selektion gültig sein sollen oder nicht. Wählen Sie dazu im Selektionsbild des Reports RSUSR200 im Abschnitt Selektion nach Sperren im Feld Benutzersperren (Administrator) aus, ob Sie die Benutzersperren als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren wollen. Dabei werden lokale und globale Administratorsperren berücksichtigt. Auch können Sie im gleichen Abschnitt im Feld Kennwortsperren (Falschanmeldungen) diese als gesetzt (01 gesetzt) oder nicht gesetzt (02 nicht gesetzt) selektieren. Dies bewirkt ein Filtern nach Benutzern, die aufgrund falscher Passwortanmeldungen gesperrt sind und für die eine Passwortanmeldung nicht mehr möglich ist. Diese Selektionskriterien können Sie gemeinsam oder separat auswählen. Alternativ können Sie auch die Option Nur Benutzer ohne Sperren verwenden und zusätzlich im Abschnitt Selektion nach Gültigkeit des Benutzers zwischen Benutzer heute gültig und Benutzer heute nicht gültig wählen.
Im SAP-System werden Passwörter gesperrt, wenn die maximale Anzahl erlaubter Fehlversuche bei der Passwortanmeldung erreicht ist. Dieser Zähler wird bei jeder erfolgreichen Anmeldung mit einem Passwort wieder zurückgesetzt. Darüber hinaus kann ein Initialpasswort gesperrt werden, wenn seine Gültigkeit abgelaufen ist. Sowohl die Gültigkeit des Initialpassworts als auch der Maximalwert für Fehlversuche bei der Passwortanmeldung werden über Profilparameter gesetzt. Details hierzu finden Sie in Tipp 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«. Eine Passwortsperre verhindert nur die weitere Anmeldung eines Benutzers über sein Passwort, da die Anzahl der Fehlversuche nur dann ausgewertet wird, wenn die Anmeldung mittels Passwort erfolgt. Erfolgt also nun eine Anmeldung über andere Authentifizierungsverfahren (wie z. B. SSO), sind diese nicht von der Passwortsperre betroffen. Dies gilt ebenso für interne Ablaufverfahren (wie z. B. Hintergrundjobs) da bei Ihnen ebenfalls keine Passwortanmeldung notwendig ist. Dies verhindert z. B. sogenannte Denial-of-Service-Attacken, die zunächst die Sperre eines Passworts bewirken, um darüber interne Prozesse zu blockieren.
Werte des Berechtigungstrace ins Rollenmenü übernehmen
Viele Werkzeuge, die anbieten, Pflegeoperationen der Transaktion PFCG zu vereinfachen, arbeiten Excel-basiert. Dabei werden die kompletten Rollendaten in Excel vorgehalten und dort bearbeitet. Anschließend wird die Excel-Datei mit einem speziellen Programm hochgeladen und generiert Rollen bzw. Rollenänderungen. Dies sieht zwar alles sehr bequem aus (und ist es vermutlich zunächst auch), hat aber langfristig seine Tücken.
Zu guter Letzt hilft Ihnen eine gut geführte Vorschlagswertepflege bei Upgradenacharbeiten an Vorschlagswerten und PFCG-Rollen. Hier wird sichergestellt, dass Ihre Änderungen und die Verbindungen zu den jeweiligen PFCG-Rollen erhalten bleiben und neue Berechtigungsprüfungen für das neue Release zu den Anwendungen hinzukommen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Gerade in wachsenden Systemlandschaften kann es vorkommen, dass die einmal definierten Konzepte nicht mehr zu den aktuellen Anforderungen passen oder die eingeübten Prozesse in der Rollenund Berechtigungsverwaltung mit der Zeit immer aufwendiger und umständlicher werden.
Auf diese Weise werden die rechtlichen Rahmenbedingungen festgelegt, welche eine juristische Notwendigkeit zur erfolgreichen Umsetzung darstellen.