Sich einen Überblick über die im System gepflegten Organisationen und ihre Abhängigkeiten verschaffen
Sicherheit innerhalb des Entwicklungssystems
Starten Sie den QuickViewer für die SAP Query mit der Transaktion SQVI. Legen Sie auf dem Einstiegsbild eine neue Query namens ZMYSUIM an. Geben Sie noch eine Beschreibung dazu und – das ist der wichtigste Schritt – als Datenquelle einen Tabellen-Join an. Auf dem Folgebildschirm können Sie nun Ihre Datenquellen konkretisieren. Im Menü über Bearbeiten > Tabelle einfügen (oder über den Button ) können Sie die Tabellen auswählen. In unserem Fall wären dies die Tabelle AGR_ 1251 für die Berechtigungswerte in den Rollen und die Tabelle AGR_USERS für die Benutzerzuweisungen in Rollen. Das System schlägt automatisch eine Verknüpfung (Join) der Tabellen über gemeinsame Datenspalten vor. In unserem Beispiel ist dies der Name der Rolle.
In der Regel greifen Benutzer nicht direkt, sondern über Anwendungen auf die Daten einer Tabelle zu. Falls doch, sollten Sie Vorsorge treffen, und den Zugriff auf sensible Daten einschränken. Endanwender greifen in der Regel nicht direkt auf Daten der Tabellenebene zu, sondern die Daten werden in betriebswirtschaftlichen Anwendungen angezeigt, und ihre Anzeige wird im dortigen Kontext mittels Berechtigungsprüfungen eingeschränkt. Es gibt jedoch Fälle, in denen ein generischer Zugriff auf Tabellen über die Transaktion SE16, SE16N, SM30, SM31 oder SM34 für Administratoren, Key-User, Prüfer usw. erforderlich ist. So soll z. B. ein Prüfer lesenden Zugriff auf sämtliche Customizing-Tabellen erhalten. Sicherheitsrelevante Tabellen möchten Sie jedoch nicht anzeigen lassen. Key-User sollen bestimmte Reports regelmäßig aufrufen, aber nur Informationen lesen dürfen, die für ihr Werk relevant sind. Sie haben mehrere Möglichkeiten, um den Zugriff auf Tabellen über Tabellenwerkzeuge einzuschränken. So kann ein Anwender nur auf Tabellen oder Tabelleninhalte zugreifen, die dieser Benutzer auch sehen soll. Wir weisen allerdings darauf hin, dass die Vergabe von Berechtigungen für diese Werkzeuge im Produktivumfeld als sicherheitskritisch einzustufen ist, da bei fehlerhaften oder zu weitreichenden Berechtigungen sehr leicht der Zugriff auf große sensible Datenmengen erlaubt werden kann. Wenden Sie diese Berechtigungen daher nur eingeschränkt an.
Mit den Standardbenutzern und deren Initialpasswörtern umgehen
Berechtigungen im Berechtigungsbaum mit dem Status Gepflegt werden hingegen nur dann gelöscht, wenn die letzte mit der Berechtigung verbundene Transaktion über das Rollenmenü gelöscht wurde. Profil und Berechtigungen löschen und neu anlegen Alle Berechtigungen werden neu angelegt. Zuvor gepflegte, veränderte oder manuelle Werte gehen verloren und werden gelöscht. Ausnahme stellen hier die Werte dar, die durch die Organisationsebenen gefüllt werden.
Arbeiten Sie auch in einer komplexen Systemlandschaft, in der die Rollen dezentral gepflegt werden? Dann kann es durch den Transport von Profilen aus unterschiedlichen Systemen in ein Zielsystem zu Inkonsistenzen kommen. Wir zeigen Ihnen, wie Sie das verhindern. Bei dezentraler Pflege der Berechtigungsrollen, d. h. einer Pflege der Rollen in unterschiedlichen Systemen bzw. Mandanten, besteht das Risiko, dass sich die Nummernkreise für die Generierung von Berechtigungsprofilen überlappen. Sie können dann zu unterschiedlichen Rollen in unterschiedlichen Mandanten Profile mit gleichem Namen generieren. Sobald Sie diese gleichnamigen Berechtigungsprofile in ein gemeinsames Zielsystem transportieren, wird das bisherige Profil durch das neu importierte Profil überschrieben, und es entstehen Inkonsistenzen. In der Konsequenz kann es passieren, dass Sie beispielsweise einer ERP-Berechtigungsrolle ein SCMBerechtigungsprofil zuweisen. Dies kann dazu führen, dass ein Benutzer, dem die ERP-Rolle zugewiesen ist, nicht die benötigten oder sogar zu viele Berechtigungen erhält. Außerdem haben Sie ein Problem, falls Sie über das Berechtigungsprofil das Quellsystem und den Mandanten ermitteln wollen, in dem dieses Profil generiert wurde. Dies ist nicht möglich, wenn das erste und dritte Zeichen der SAP-System-ID (SID), und der Nummernkreis für die Generierung des Berechtigungsprofils übereinstimmen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Für die nachfolgenden Auswertungen wird die Tabelle AGR_1251 genutzt, in der zu den Rollen die Berechtigungsobjekte mit ihren Werten gespeichert werden.
Was in solchen Fällen fehlt, ist der Benutzerabgleich.