Transaktionsstartberechtigungen beim Aufruf CALL TRANSACTION pflegen
Effizienter SAP-Rollout durch zentrale, tool-gestützte Verwaltung
Erstellen Sie eine Reporttransaktion für den Report, der im Hintergrundjob aufgerufen wird. Legen Sie die Reporttransaktion in der Transaktion SE93 an, und weisen Sie den Report RHAUTUPD_NEW als Programm zu. Starten Sie den Berechtigungstrace, indem Sie den Profilparameter auth/ authorization_trace auf Y setzen bzw. auf F, falls Sie mit Filtern arbeiten möchten (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie nun den Job aus, um Berechtigungsprüfungen im Berechtigungstrace zu sammeln. Ihre Berechtigungsprüfungen sollten nun in der Transaktion STUSOBTRACE sichtbar sein. Pflegen Sie nun die Berechtigungsvorschlagswerte für Ihre Reporttransaktion in der Transaktion SU24, indem Sie den Transaktionscode im entsprechenden Feld eingeben. Sie werden feststellen, dass keine Werte gepflegt sind. Wechseln Sie nun in den Änderungsmodus. Über den Menüpfad Objekt > Objekte aus Berechtigungstrace einfügen > Lokal können Sie Ihre Berechtigungsvorschläge aus dem Trace hinzufügen (siehe Tipp 40, »Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden«). Fügen Sie für jedes angezeigte Berechtigungsobjekt die Vorschlagswerte hinzu. Erstellen Sie nun eine PFCG-Rolle, die die Berechtigung für die Reporttransaktion beinhaltet, und pflegen Sie die noch offenen Berechtigungsfelder. Testen Sie anschließend, ob der Job mit den Berechtigungen aus der PFCG-Rolle ausgeführt werden kann.
Was in solchen Fällen fehlt, ist der Benutzerabgleich. Der Benutzerabgleich prüft, welche PFCG-Rollen einem Nutzer zugewiesen sind und weist ebenfalls die dazugehörigen Profile zu. Jede generierte PFCG-Rolle hat mindestens ein Profil, und der Anwender erhält seine Berechtigungen aus diesem Profil. Ist das Profil nicht zugewiesen bzw. veraltet, besitzt der Anwender auch nicht die darin enthaltenen Berechtigungen. Ähnlich verhält es sich mit Rollentransporten in ein Produktivsystem. Eine vorhandene und zugewiesene PFCG-Rolle wird im Entwicklungssystem geändert und durch die Systemlandschaft transportiert. Wird die PFCG-Rolle nun ins Produktivsystem transportiert, verfügen die der Rolle zugewiesenen Benutzer noch nicht über das aktuelle mittransportierte Profil. Hier muss erst ein Benutzerabgleich erfolgen, der sicherstellt, dass das aktualisierte Profil der geänderten PFCG-Rolle allen ihr zugewiesenen Anwendern zugeordnet wird.
Sicherheit innerhalb des Entwicklungssystems
Mit SAP NetWeaver 7.31 ist ein neues Verfahren zur Bestimmung von betroffenen Anwendungen und Rollen mittels Zeitstempel eingeführt worden (siehe Tipp 45, »Den Zeitstempel in der Transaktion SU25 verwenden«). Mit dem Support Package 12 für das NetWeaver Release 7.31 sowie dem Support Package 4 für das NetWeaver Release 7.40 aus dem SAP-Hinweis 1896191 ist die Funktion Expertenmodus für die Übernahme von SU22- Daten für Schritte 2 hinzugekommen.
Im nächsten Schritt werten Sie die Nutzungsdaten aus; hier reichen typischerweise die Monatsaggregate. Diese beinhalten die Benutzer-ID, den Funktionsbaustein sowie die Anzahl der Aufrufe. Eine Übersicht zu den im System bereits gespeicherten Nutzungsdaten erhalten Sie mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_DIRECTORY (Inputparameter GET_DIR_FROM_CLUSTER = X). Das eigentliche Herunterladen der Nutzungsdaten erfolgt anschließend mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Die künftige Zuordnung solcher Transaktionen im SAP-Rollenkonzept sollte dann kritisch hinterfragt werden.
Alternativ können Sie diese Informationen aus der Transaktion SE93 heraus pflegen, indem Sie zunächst eine Transaktion auswählen.