Objekt S_BTCH_ADM (Batch-Administrationsberechtigung)
Berechtigungskonzept – Rezertifizierungsprozess
Nachdem Sie die Daten für die Webseite ermittelt haben, müssen Sie nun das Initialpasswort generieren und per E-Mail verschicken sowie gegebenenfalls den Benutzer entsperren. Dafür gibt es ebenfalls unterschiedliche Lösungen – wir beschreiben eine mögliche Vorgehensweise. Die Generierung eines Passworts können Sie über den Importparameter GENERATE_PWD des BAPIs BAPI_USER_CHANGE veranlassen. Das generierte Passwort wird dann als Initialpasswort gesetzt und muss bei der nächsten Anmeldung durch den Benutzer geändert werden. Außerdem müssen Sie den Importparameter PASSWORDX setzen, um eine Änderung am Passwort anzuzeigen. Über den Exportparameter GENERATED_PASSWORD wird das generierte Passwort zurückgegeben. Dies ist erforderlich, wenn Sie das BAPI BAPI_USER_CHANGE aus einem zentralen System (z. B. aus der ZBV) aufrufen und die betreffende E-Mail aus diesem System verschicken wollen. Sie sollten dieses Passwort niemals speichern, sondern es direkt in Ihrer Anwendung in eine E-Mail einbinden. Anschließend verschicken Sie diese E-Mail an den Benutzer, dessen E-Mail-Adresse Sie entweder direkt im SAP-System ermitteln (Parameter ADDSMTP von BAPI_USER_GET_DETAIL) oder im Rahmen Ihrer Webanwendung (z. B. aus dem AD). Auch wenn Sie die E-Mail-Adresse im AD ermitteln, raten wir Ihnen davon ab, die E-Mail auch von dort aus zu versenden. Initiieren Sie den Versand lieber im Rahmen Ihres zentralen SAPSystems, um zu vermeiden dass das Passwort unnötig übertragen wird. Außerdem raten wir Ihnen dringend, die E-Mails mit den Initialpasswörtern verschlüsselt zu verschicken. Dazu muss die Implementierung Ihres Self-Services bei der Erstellung der E-Mail das Kennzeichen für die Verschlüsselung setzen. Details zur Verschlüsselung von E-Mails und einen alternativen Versand des Initialpassworts direkt aus dem betroffenen SAP-System beschreiben wir in Tipp 98, »E-Mails verschlüsseln«.
Egal welcher Grund es ist, schnell heißt es, dass ein neues Berechtigungskonzept her muss. Das ist aber nicht immer der Fall. Und falls doch, ist die Frage, welches Berechtigungskonzept im SAP HCM das richtige ist. Ja, ganz genau, welches Konzept, denn im SAP HCM Bereich gibt es drei Möglichkeiten, ein Berechtigungskonzept umzusetzen.
WARUM ACCESS CONTROL
Bei der Einplanung eines Jobs kann ein anderer Benutzer als ausführender Benutzer hinterlegt werden. Somit werden die einzelnen Verarbeitungsschritte des Jobs technisch durch den hinterlegten Benutzer mit seinen Berechtigungen durchgeführt. Es könnten also Aktivitäten angestoßen werden, die mit den eigenen Berechtigungen nicht ausführbar wären.
Verwenden Sie den SAP NetWeaver Business Client anstelle von SAP GUI? Dabei wird die Anordnung der Anwendungen auf dem Bildschirm über PFCG-Rollen gesteuert. Der SAP NetWeaver Business Client (NWBC) ist eine Alternative zu SAP GUI, um Zugriff auf SAP-Anwendungen zu erhalten. Hiermit können Sie Anwendungen, die in verschiedenen SAP-Systemen liegen und über verschiedene UI-Technologien verfügen, zentral über eine Oberfläche aufrufen. So können Sie mit dem NWBC nicht nur Transaktionen, sondern auch Web-Dynpro- Anwendungen und externe Serviceanwendungen aufrufen. In diesem Tipp zeigen wir Ihnen, wie Sie den Aufbau der Benutzeroberfläche des NWBC mithilfe von PFCG-Rollen steuern können.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Wenn diese Prüfung in einer AS-ABAP-Installation aktiv geschaltet wird (siehe auch SAP-Hinweis 1413011), wirkt sich dies auf alle Mandanten aus.
Liegen Benutzerdaten in mehreren Systemen vor, ist daher die automatische Erstellung eines Benutzers durch ein Identity-Management-System die erste Wahl, was im SAP Identity Management (ID Management) durch einen HR-Trigger gelöst ist.