Ein kompliziertes Rollenkonstrukt
Rollenzuordnung auf der Benutzerebene konsolidieren
Sie wissen, dass ein Ändern Ihrer SU24-Daten ein Abmischen der betreffenden Rollen mit sich bringt. Bisher mussten sich die Berechtigungsadministratoren die Rollen, z. B. aus der Transaktion SUIM, heraussuchen, um diese dann zu bearbeiten. Oft wird das erneute Abmischen der entsprechenden Rollen auch vergessen. Um zu gewährleisten, dass Sie direkt bei der Pflege der Daten in der Transaktion SU24 für die betreffenden Rollen den Abmischmodus einstellen können, ist die Funktion hier mit den jeweiligen Support Packages, benannt im SAP-Hinweis 1896191, bereitgestellt worden. Über die Korrektur werden die Buttons Abmischmodus für PFCG: Ein/Aus bzw. Rollen zur Verfügung gestellt. Die Funktion weist den Rollen den Abmischmodus zu, was Schritt 2c aus der Transaktion SU25 entspricht (siehe Tipp 43, »Berechtigungen nach einem Upgrade anpassen«). Diese Funktion können Sie über den Wert Y für den Parameter SU2X_SET_FORCE_MIX in der Tabelle PRGN_CUST aktivieren. Den Status des Abmischmodus können Sie über den Button Abmischmodus für PFCG: Ein/Aus abfragen. Standardmäßig ist diese Funktion ausgeschaltet. Mithilfe des Buttons Rollen (Verwendung in Einzelrollen) werden alle Rollen, die die ausgewählte Anwendung beinhalten, ermittelt und direkt in der Transaktion SU24 angezeigt. Sie erhalten eine Liste über alle abzugleichenden Rollen in der Transaktion SUPC über die Option Auch abzugleichende Rollen und können die Rollen nun schrittweise aktualisieren.
Änderungen an den SAP-Benutzerdaten sollten unkompliziert und schnell erfolgen. Benutzer können selbst Anträge für SAP-Systeme stellen. In Ausnahme- und Notfallsituationen sollen SAP-Benutzern schnell und zeitlich befristet erweiterte Berechtigungen zugewiesen werden. Die vereinfachte Vergabe und Kontrolle von Ausnahme-Berechtigungen in SAP-Systemen ist erforderlich. Die Dauer dieser Rechtevergaben können Sie frei und flexibel bestimmen. Entscheidungen können systemübergreifend gesteuert und überwacht werden. Egal, ob es sich um die Rezertifizierung von SAP-Usern handelt, um Urlaubsanträge oder Glückwünsche zum Geburtstag: Alle diese Dinge können nun zentral an einer Stelle bearbeitet und verwaltet werden.
Testen der Berechtigung
Nutzen Sie den Standardreport RSUSR003 (bzw. die dazugehörige Transaktion RSUSR003) zur Prüfung der Standardbenutzer auf Initialpasswörter und zur Sicherstellung der Sicherheitsrichtlinien, die diesen Benutzern zugeordnet sind. Dazu können Sie auf der Startseite ein eigenes Layout definieren und verwenden. Nach der Ausführung des Reports wird Ihnen eine Übersicht der vorhandenen Standardbenutzer in den unterschiedlichen Mandanten angezeigt. Diese beinhaltet den Passwortstatus, ein Sperrkennzeichen, die Gründe für die Sperre, die Anzahl der Falschanmeldungen, die Gültigkeitszeiträume der Benutzer sowie die den Benutzern zugeordneten Sicherheitsrichtlinien. Die Sicherheitsrichtlinien werden Ihnen angezeigt, damit Sie nachvollziehen können, ob für diese Benutzer spezielle Anmeldebedingungen oder Passwortregeln gelten.
Vor allem in komplexen und mehrstufigen Systemlandschaften kann es dazu kommen, dass Rollen einem Benutzer doppelt zugewiesen sind. Zudem können Rollen auch durch die Ausprägung eines Gültigkeitszeitraums abgelaufen sein. Um Ihr Rollenkonzept und Ihre Benutzerverwaltung wartbar und sauber zu halten ist es empfehlenswert, diese obsoleten Rollen zu löschen. Dies können Sie per Klick durch den Report PRGN_COMPRESS_TIMES ausführen. Dieses Programm ist auch über die PFCG unter dem Systemreiter „Hilfsmittel“ und Rubrik „Massenabgleich“ abrufbar.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Sie können den Report, wie bereits beschrieben, für Benutzer, Rollen, Profile und Berechtigungen ausführen.
Zusätzlich können Sie im Report noch die Spalten ID: Vertraglicher Nutzertyp und ID: Wert in Zentrale einblenden, die die technischen Werte zum Benutzertyp beinhalten.