Berechtigungsobjekte einfacher pflegen
Welche Vorteile haben SAP Berechtigungen?
Customizing wird in den meisten Fällen über die Transaktion SPRO durchgeführt. Dies ist jedoch nur die Einstiegstransaktion für eine sehr umfassende Baumstruktur weiterer Pflegetransaktionen. Die meisten Customizing-Aktivitäten bestehen aber in der indirekten oder direkten Pflege von Tabellen. Daher kann eine stichprobenartige Überprüfung der Berechtigungsstruktur in diesem Umfeld auf Tabellenberechtigungen reduziert werden. Bei abgegrenzten Zuständigkeiten innerhalb des Customizings (z.B. FI, MM, SD etc.) ist hier also auf eine entsprechende Abgrenzung innerhalb der Tabellenberechtigungen zu achten. Unabhängig von vergebenen Transaktionsberechtigungen innerhalb des Customizings entspricht eine Vollberechtigung auf Tabellenebene kombiniert mit einer Tabellenpflegetransaktion wie etwa SM30 praktisch einer Vollberechtigung im Customizing. Normales Customizing der Fachbereiche bezieht sich im Allgemeinen auf mandantenabhängige Tabellen. Der Zugriff auf Systemtabellen sollte also möglichst auf die Basisadministration beschränkt werden.
Über das Konzept teilt der SAP-Administrator den Anwender/innen ihre dedizierten Berechtigungen zu. Hinter diesen verbirgt sich ein Prüfmechanismus, der auf so genannten Berechtigungsobjekten aufsetzt, durch welche die Objekte bzw. Transaktionen geschützt sind. Ein Berechtigungsobjekt kann bis zu zehn Berechtigungsfelder umfassen. Dadurch sind komplexe, an mehrere Bedingungen gebundene Berechtigungsprüfungen möglich.
Ungeklärte Zuständigkeiten, besonders zwischen Fachbereich und IT
Die allgemeinen Berechtigungen sind ganz normale Berechtigungsobjekte im SAP HCM, die den Zugriff auf PA-/PD-Infotypen (Tabellen PAnnnn / HRPnnnn), Cluster für die eigene Person oder für andere Personen regelt. Typische Berechtigungsobjekte sind dabei “P_PERNR”, “P_ORGIN”, “P_ORGXX”, “PLOG” und “P_PLCX”.
Wir empfehlen Ihnen daher, einen Hintergrundjob über die Transaktion PFUD einzuplanen, der einen regelmäßigen Benutzerabgleich durchführt (siehe Trick 17, »Transaktion PFUD regelmäßig einplanen«). Haben Sie übrigens gewusst, dass Sie über den Profilparameter auth/tcodes_not_checked die Transaktionsstartberechtigung für die Transaktionen SU53 und SU56 ausschalten können? Tragen Sie hierzu den Wert SU53, SU56 oder SU53 SU56 für den Profilparameter ein. Damit benötigt der Endanwender nicht mehr die Berechtigungen für die Ausführung dieser Transaktionscodes über das Berechtigungsobjekt S_TCODE.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Jede Abweichung kann zu einer Feststellung führen, die es zu vermeiden gilt.
Dabei sollte der Fokus darauf liegen, das aktuelle Berechtigungskonzept zu retten, da ein Neuaufbau mehr Zeit benötigt als das Bereinigen.