Vorteile von Berechtigungskonzepten
Berechtigung zum Zugriff auf Web-Dynpro-Anwendungen mit S_START einrichten
Öffnen Sie hierzu in der Transaktion SU24 die Anwendung, die Sie anpassen möchten. Um die fehlenden Vorschlagswerte zu pflegen, können Sie hier nun den Trace starten, indem Sie auf den Button Trace klicken. Sie können selbstverständlich auch den Systemtrace für Berechtigungen über die Transaktionen ST01 oder STAUTHRACE verwenden. Es öffnet sich ein neues Fenster. Klicken Sie hier auf den Button Trace auswerten, und wählen Sie Systemtrace (ST01) > Lokal. Im sich daraufhin öffnenden Fenster haben Sie nun die Gelegenheit, den Trace auf einen bestimmten Benutzer einzuschränken oder ihn auch direkt zu starten. Tragen Sie dafür einen Benutzer ein, der die Anwendung, die Sie aufzeichnen möchten, aufruft, und klicken Sie anschließend auf Trace einschalten. Nun können Sie in einem separaten Modus die Anwendung aufrufen und ausführen, die Sie anpassen möchten. Sobald Sie die Aktivitäten, deren Berechtigungsprüfungen Sie benötigen, ausgeführt haben, d. h. mit dem Trace fertig sind, kehren Sie zu Ihrer Anwendung in der Transaktion SU24 zurück und stoppen den Trace über den Button Trace ausschalten. Um die Auswertung vorzunehmen, klicken Sie nun auf Auswerten. Um die Tracedaten der jeweiligen Berechtigungsobjekte zu erhalten, wählen Sie im linken oberen Bereich in der Auswahlliste Berechtigungsobjekt das Berechtigungsobjekt aus, das Sie anpassen möchten.
Das Objekt S_PROGRAM prüft seit SAP Release 2.x auf das Feld TRDIR-SECU also die Berechtigungsgruppe des Programms. Ab Release 7.40 können Sie optional eine Prüfung auf das Objekt S_PROGNAM einschalten. Weitere Informationen finden Sie in Hinweis 2272827 gibt hierzu weitere Anweisungen. Die Prüfung auf S_PROGNAM MUSS erst im Kundensystem aktiviert werden. Beachten Sie aber, dass sie S_PROGNAM vorher KORREKT berechtigen, da ansonsten nach Aktivierung des SACF Szenarios NIEMAND außer den Notfallbenutzern irgendeinen Report oder eine Reporttransaktion starten kann.
FAQ
EARLYWATCH: Der Benutzer EARLYWATCH existiert nur im Mandanten 066, denn er dient der Fernwartung durch den SAP-Support. EARLYWATCH hat nur Anzeigerechte für Performance- und Monitoring-Funktionen. Schutzmaßnahmen: Sperren Sie den Benutzer EARLYWATCH, und schalten Sie ihn nur frei, wenn er durch den SAP-Support angefragt wird. Ändern Sie das Passwort, ordnen Sie ihn der Benutzergruppe SUPER zu, und protokollieren Sie ihn mit dem Security Audit Log.
Für die Pflege und Zuordnung von HANA-Berechtigungen zu Benutzern steht Ihnen die Anwendung SAP HANA Studio zur Verfügung. Das SAP HANA Studio wird auf Ihrem Arbeitsplatzrechner installiert. Anschließend können Sie sich darüber mit Benutzer und Passwort an einer oder mehreren HANA-Datenbanken anmelden. Das SAP HANA Studio und die HANADatenbank unterliegen aktuell noch umfangreichen Weiterentwicklungen; daher müssen die jeweiligen Versionen des SAP HANA Studios mit den zu verbindenden HANA-Datenbanken kompatibel sein. Aus diesem Grunde empfehlen wir Ihnen, die Informationen zur Nutzung bestimmter Versionen des SAP HANA Studios in den SAP-Hinweisen zu prüfen.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden.
Da vielen Standardtabellen keine Tabellenberechtigungsgruppe zugeordnet ist und diese damit automatisch in der Tabellenberechtigungsgruppe &NC& landen, sollten Sie den Zugriff auf diese Tabellenberechtigungsgruppe einschränken.