RSUSR003
Abfrage der Daten aus einem HCM-Personalstammdatensatz
RFC – Verbindungen sind gleichermaßen Schnittstelle für viele lokale und globale Systemprozesse, aber auch eine sicherheitsrelevante Fehlerquelle vieler Unternehmen. Die RFC Schnittstellen und dazugehörige Systembenutzer sind oftmals mit zu starken Berechtigungen ausgeprägt und können schnell von unberechtigten Personen missbraucht werden, um sensible Firmendaten einzusehen. Daher ist es wichtig, diese Systemverbindungen immer im Fokus des globalen Monitorings zu halten und zu prüfen, welche RFC Destinationen, wohin führen und was sie bewirken. Dafür gibt es das Programm RSRFCCHK wodurch Sie gezielte Tests für ihre RFC Systemlandschaft durchführen können. Dabei wird einerseits der Inhalt der Tabelle RFCDES geprüft und anderseits auch die dazugehörigen Benutzereigenschaften der Systembenutzer als Überblick dargestellt. Demzufolge können wichtige Parameter, wie die Zielmaschine, der Mandant, der Hintergrundbenutzer oder auch die Passworteigenschaft überblicksartig geprüft werden.
Eine universal anwendbare Vorlage für ein zuverlässiges und funktionierendes Berechtigungskonzept existiert aufgrund der Individualität und der unterschiedlichen Prozesse innerhalb jedes Unternehmens nicht. Im Rahmen der Erstellung müssen somit die Strukturen des Unternehmens und die relevanten Prozesse genau analysiert werden. Einige Kernelemente des zu erstellenden Berechtigungskonzepts können im Vorfeld definiert werden. Dazu gehören das übergeordnete Ziel, die rechtlichen Rahmenbedingungen, eine Namenskonvention, die Klärung von Verantwortlichkeiten und Prozessabläufen für das Benutzer- wie auch Berechtigungsmanagement sowie die Ergänzung durch Sonderberechtigungen. Nur mit klar definierten Verantwortlichkeiten wird die Wirksamkeit eines Konzepts gewährleistet.
Einführung & Best Practices
Um fehlgeschlagene Berechtigungsprüfungen zentral einzusehen, können Sie ebenfalls die Transaktion SU53 verwenden. Öffnen Sie die Transaktion, und rufen Sie im Menü über den Pfad Berechtigungswerte > Anderer Benutzer oder mit der Taste (F5) die Benutzerauswahl auf. Tragen Sie hier nun den Benutzer, dessen Berechtigungen fehlgeschlagen sind, im gleichnamigen Feld ein. In der Ergebnisliste können Sie für jeden Anwender fehlgeschlagene Berechtigungen einsehen, wie in unserem Beispiel die fehlende Berechtigung zum Anzeigen der Tabelle AGR_1251. Sie sehen, dass in dieser Auswertung mehr als nur ein Berechtigungsobjekt angezeigt wird.
Ihre Systemlandschaft entspricht keiner typischen Dreisystemlandschaft? Erfahren Sie, was Sie in diesem Fall bei Upgradenacharbeiten für die Vorschlagswerte von Rollen beachten sollten. Ihre Systemlandschaft kann sich von den typischen Dreisystemlandschaften z. B. dadurch unterscheiden, dass Sie mehrere Entwicklungssysteme bzw. Entwicklungsmandanten haben. Über Transporte werden dann alle Entwicklungen und Customizing-Einträge in einem Konsolidierungssystem zusammengefügt. Führen Sie Ihre Upgradenacharbeiten in der Transaktion SU25 durch, und transportieren Sie mit Schritt 3 Ihre Vorschlagswerte, d. h. Ihre SU24-Daten. Führen Sie diesen Schritt hingegen in allen Entwicklungssystemen aus, laufen alle Transporte in Ihrem Konsolidierungssystem zusammen, und nur der letzte Import der Tabellen wird verwendet. Gleiche Einträge werden außerdem als zu löschende Einträge erkannt. Ähnlich verhält es sich mit Ihren PFCG-Rollen. Pflegen Sie diese in mehreren Entwicklungssystemen bzw. –mandanten, und möchten Sie nun die Rollen mit ihren generierten Profilen transportieren, besteht die Gefahr, dass die Nummern für die Profile gleichlauten, da sich die Profilnamen aus dem ersten und dritten Zeichen der System-ID des Systems und einer sechsstelligen Nummer zusammensetzen. Stammen nun auch noch die Profile aus demselben System (auch wenn der Mandant ein anderer ist), kann es aufgrund der gleichen Profilnamen zu Importfehlern kommen. Außerdem kann die Herkunft des Profils im Nachhinein nicht mehr nachvollzogen werden. Daher brauchen Sie eine Möglichkeit, um die Daten für die Berechtigungsvorschlagswerte und die PFCG-Rollen in Y-Landschaften transparent und konsistent zu transportieren.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Diese Werkzeuge sind allgemein für alle Operationen im SAP-System da, nicht nur für die Rollenpflege.
Für die Auditstrukturen können unterschiedliche Audits durchgeführt werden; daher müssen Sie immer zuerst ein Audit auswählen.