Fehleranalyse bei Berechtigungen (Teil 1)
User- & Berechtigungs-Management mit SIVIS as a Service
Möchten Sie den Benutzern nur Zugriff auf einzelne Tabellenzeilen erlauben, können Sie auf das Berechtigungsobjekt S_TABU_LIN zurückgreifen, das den Zugriff auf bestimmte Zeilen einer Tabelle für dafür definierte Organisationskriterien erlaubt. Voraussetzung für diese Art der Berechtigung ist, dass die Tabellen über Spalten mit solchen organisatorischen Werten, wie z. B. Werk, Land, Buchungskreis usw., verfügen. Diese organisatorischen Werte müssen Sie nun im System als Organisationskriterien, die betriebswirtschaftliche Arbeitsbereiche abbilden, konfigurieren; sie dienen als Brücke zwischen den organisatorischen Spalten in den Tabellen und der Verwendung als Berechtigungsfeld im Berechtigungsobjekt. Da die Organisationskriterien in mehreren Tabellen vorkommen, muss diese Berechtigungsprüfung nicht an bestimmte Tabellen gebunden sein und kann tabellenübergreifend definiert werden.
Sie können mit Ihrem kundeneigenen Programm einen nächtlichen Hintergrundjob zum Abgleich der Zertifikate einrichten. Dies setzt voraus, dass die Zertifikate über ein SAP-Programm abgerufen werden können.
Gewährleistung einer sicheren Verwaltung
Auch die Vergabe von Kombinationen kritischer Berechtigungen (z.B. Rechnung buchen und Zahllauf starten), allgemein bekannt unter dem Begriff „Funktionstrennungskonflikte“, sind zu überprüfen und gegebenenfalls mit den Verantwortlichen in den Fachbereichen zu klären, warum diese im System existieren. Sollten hierfür kompensierende Kontrollen implementiert sein, ist es hilfreich, wenn auch die IT-Abteilung darüber Bescheid weiß, um den IT-Prüfer diese Kontrollen benennen zu können. Dieser kann in weiterer Folge diese Information an seine Prüferkollegen weitergeben.
Die kontextabhängigen Berechtigungen vereinen die allgemeinen und strukturellen Berechtigungen miteinander und vermeiden solche Situationen wie im oben genannten Beispiel. Die kontextabhängigen Berechtigungen sind so fein auseinandersteuerbar, dass eine Funktionstrennung lückenlos ermöglicht werden kann. Im Grunde werden bei den kontextabhängigen Berechtigungen die Berechtigungsobjekte durch strukturelle Berechtigungsprofile ergänzt. Dies führt dazu, dass Berechtigungen nicht mehr allgemein sondern nur noch für die Objekte des Berechtigungsprofil vergeben werden. Durch den Einsatz der kontextabhängigen Berechtigungen werden also die bekannten Berechtigungsobjekte P_ORGIN durch P_ORGINCON und P_ORGXX durch P_ORGXXCON ersetzt. In den neuen Berechtigungsobjekten ist dann ein Parameter für das Berechtigungsprofil enthalten.
Sichern Sie Ihren Go-Live mit "Shortcut for SAP systems" zusätzlich ab. Notwendige SAP Berechtigungen können Sie schnell und unkompliziert direkt im System zuweisen.
Starten Sie dann die Transaktion SECATT.
Rufen Sie dazu die Einstiegstransaktion für die Projektverwaltung des Customizings SPRO_ADMI, auf.