Berechtigungsrollen (Transaktion PFCG)
RS_ABAP_SOURCE_SCAN
Ein sorgloser Umgang mit den Berechtigungen bei sensiblen Mitarbeiterdaten kann ganz schön in die Hose gehen. Verhindern Sie einen unkontrollierten und weitreichenden Reporting-Zugriff auf Ihre HCM-Daten, indem Sie das Berechtigungsobjekt P_ABAP richtig nutzen. In vielen Unternehmen ist der korrekte Einsatz von P_ABAP nicht bekannt. Daher kommt es häufig zu falschen Ausprägungen, die im schlimmsten Fall unkontrollierten Reporting-Zugriff auf alle Daten der logischen Datenbank PNPCE (bzw. PNP) erlauben. Auf diesem Weg können Sie also Ihre vorher mühsam in einem Berechtigungskonzept definierten Zugriffsbeschränkungen wieder aushebeln. Daher gilt es, den Einsatz von P_ABAP im Einzelfall zu prüfen und die vorhandenen Einschränkungsmöglichkeiten zu nutzen. Im Folgenden beschreiben wir die Logik, die hinter diesem Berechtigungsobjekt steckt, und welche Ausprägungen Sie unbedingt vermeiden sollten.
Wie bei einer SAP_NEW-Rolle besteht die Möglichkeit, eine SAP_APP-Rolle zu generieren. Wie beim Profil SAP_APP sind hier alle Berechtigungen, außer die Basis- und die HCM-relevanten Berechtigungen enthalten. Die Möglichkeit, diese Rolle mit dem Report REGENERATE_SAP_APP zu erstellen, besteht nach dem Einspielen des SAP-Hinweises 1703299. Dieser Report generiert eine Rolle, die uneingeschränkt für alle Anwendungen zu benutzen ist. Wir empfehlen Ihnen den Einsatz dieser Rolle jedoch nur für Entwicklungs- und Testsystem.
Berechtigungen für den Zugriff auf bestimmte CO-PA-Kennzahlen einrichten
Klicken Sie in der Transaktion SU10 im Bereich Benutzerselektion auf den Button Berechtigungsdaten. An dieser Stelle findet ein Absprung auf den Report RSUSR002 statt. Im dann erscheinenden Selektionsbild des Reports können Sie die Mehrfachselektion zum Feld Benutzer über den Pfeil-Button auswählen und dort über den Button (Upload aus Zwischenablage) die Benutzer aus Ihrer Selektion einfügen.
Im Rahmen des Erkennens von Berechtigungsproblemen sollte dokumentiert werden, was die Gefahren sind, wenn die aktuelle Situation beibehalten wird. Oftmals wollen Verantwortliche im Unternehmen keine Korrektur vornehmen, weil diese Kosten und Arbeit verursacht. Wenn das aktuelle Konzept funktioniert und Sicherheitslücken abstrakt sind, scheuen sich viele Verantwortliche, etwas zu ändern. Aus diesen Gründen sollte zunächst dokumentiert werden, welche Probleme und Gefahren lauern, wenn das aktuelle Konzept nicht korrigiert wird: Zunächst erhöht sich die Gefahr von Betrug, Diebstahl sowie Datenschutz- und Sicherheitsverstößen. Die Dokumentation kann helfen zu erkennen, wo Gefahren liegen. Es besteht grundsätzlich das Problem, dass dem Unternehmen ein finanzieller Schaden entsteht, wenn nicht gehandelt wird. Eine weitere Gefahr besteht darin, dass Anwender mit ihren Berechtigungen experimentieren und Schaden verursachen, der sich durch eine saubere Berechtigungsstruktur vermeiden lässt. Ebenfalls ein Problem ist der erhöhte Administrationsaufwand der Berechtigungsvergabe und -Verwaltung. Der Aufwand steigt an, wenn die aktuelle Rollenzuordnungen nicht transparent und optimal strukturiert sind.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Vergeben Sie hier eine neue Nummer, und tauschen Sie das Objekt P mit dem Objekt CP aus.
Profil und Berechtigungen löschen und neu anlegen Alle Berechtigungen werden neu angelegt.