Rollen über das Organisationsmanagement zuordnen
Berechtigungstools – Vorteile und Grenzen
Das Berechtigungskonzept in SAP ERP ermöglicht es normalerweise nicht, Berechtigungen auf einzelne Geschäftsjahre einzugrenzen. Dies ist aber insbesondere bei Steuerprüfungen relevant. Zum 1. Januar 2002 wurde in Deutschland die elektronische Steuerprüfung gesetzlich im § 147 (6) Abgabenordnung verankert. Die Auffassung der Finanzverwaltung dazu ist im BMF-Schreiben vom 16.07.2001 (BStBl. 2001 I) »Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen« (GDPdU) niedergelegt. Die elektronische Steuerprüfung kann in Deutschland auf drei Zugriffsarten erfolgen: Unmittelbarer Zugriff: Die Finanzbehörde hat das Recht, Einsicht in die gespeicherten Daten zu nehmen (Nur-Lesezugriff) und die Hard- und Software des Steuerpflichtigen zur Prüfung der Daten einschließlich der Stammdaten und Verknüpfungen zu nutzen. Mittelbarer Zugriff: Die Finanzbehörde kann vom Steuerpflichtigen verlangen, dass er die Daten nach ihren Vorgaben maschinell auswertet, um den Nur-Lesezugriff durchführen zu können. Datenträgerüberlassung: Alternativ kann die Finanzverwaltung vom Steuerpflichtigen verlangen, dass ihr die gespeicherten Unterlagen auf einem maschinell verwertbaren Datenträger zur Auswertung überlassen werden.
Die Verwendung von Vorschlagswerten bringt nicht nur bei der Erstellung bzw. Pflege von PFCG-Rollen Vorteile, sondern auch bei der Berechtigungspflege als Nacharbeit eines Upgrades. Des Weiteren können diese Werte als Grundlage für Risikodefinitionen herangezogen werden. Vor dem Erstellen von PFCG-Rollen ist die Pflege der Vorschlagswerte für die verwendeten Transaktionen sinnvoll. Hierbei müssen Sie allerdings nicht alle Vorschlagswerte, die von SAP ausgeliefert werden, komplett überarbeiten.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Darüber hinaus müssen Sie beachten, dass Sie diesen Report nicht auf Systemen ausführen dürfen, die als Benutzerquelle für ein Java-System eingesetzt werden. Dies liegt darin begründet, dass bei einer Anmeldung am Java-System nur dann das Datum der letzten Anmeldung im ABAP-System aktualisiert wird, wenn eine passwortbasierte Anmeldung erfolgt ist. Andere Anmeldungsarten am Java-System aktualisieren das Datum der letzten Anmeldung im ABAP-System nicht.
Mitarbeiter sollen in Tabellen nur auf die für ihr Werk, ihr Land oder ihren Buchungskreis relevanten Daten zugreifen können? Richten Sie Organisationskriterien ein, um dies zu gewährleisten. Sie möchten, dass Benutzer bestimmte Tabellen lesen bzw. pflegen können, jedoch nur Zugriff auf die Tabelleninhalte erhalten, die für sie relevant sind? Mithilfe der Berechtigungsobjekte S_TABU_DIS und S_TABU_NAM können Sie zwar den Zugriff auf die Tabellen gewähren, aber wenn ein Anwender nur Teile der Tabelle sehen bzw. pflegen können soll, stoßen diese Berechtigungsobjekte an ihre Grenzen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Abhängig von der Größe des Ringpuffers und der Systemauslastung können je Benutzer bis zu 100 fehlgeschlagene Berechtigungsprüfungen für die letzten drei Stunden angezeigt werden.
Dadurch haben die Berechtigungsadministratoren mehr Zeit, auftretende Fehler zu beheben, anstatt diese erstmal zu suchen.