Eine zu grobe Sammlung
Zuordnung der Berechtigungsrollen zu den zuvor festgelegten Benutzern
Im Bereich der Konzernkonsolidierung sorgt ein Berechtigungskonzept dafür, dass keine Daten bewusst manipuliert werden können, um z.B. Bilanzen zu verändern. So kann erheblicher finanzieller- oder Reputationsschaden gegenüber Banken und Stakeholdern verhindert werden. Des Weiteren muss der Zugriff auf Finanzdaten von Teilbereichen eines Konzerns, wie einzelne Geschäftsbereiche oder Gesellschaften nur den Mitarbeitern vorbehalten sein, die diese auch aufrufen dürfen, da ihre laufenden Tätigkeiten dies erfordern. Daraus resultiert, dass z.B. ein Controller eines Geschäftsbereichs nur die konsolidierten Zahlen seines Geschäftsbereichs einsehen kann, nicht aber die Zahlen des gesamten Konzerns. Weitere Berechtigungsrollen werden bspw. für externe Wirtschaftsprüfer benötigt. Diese prüfen sämtliche Zahlen des gesamten Konzerns, dürfen somit aber nur einen Lesezugriff auf diese Daten besitzen.
Zusammenfassend lässt sich jedoch sagen, dass das Anwender- oder Transaktionsprofil zwei gute Möglichkeiten sind, schnell und einfach eine Übersicht über verwendete Transaktionen im SAP-System zu erhalten. Dieses Vorgehen kann sowohl für SAP ERP als auch für SAP S/4HANA angewendet werden.
Welche Berechtigungsobjekte werden geprüft (SU22)?
Diese Funktion bietet der Anwendungsentwicklung die Möglichkeit, einen Benutzer einem Business-Objekt zuzuordnen, um z. B. die eigenen Daten dieses Benutzers anzuzeigen. In Transaktion SU01 dient sie eigentlich nur der Anzeige.
Eine weitere Falle bei den Service Benutzern sind SSO Anmeldetickets. Diese werden bei der passwortlosen Anmeldung zwischen SAP Systemen verwendet. Für Service Benutzer werden keine SSO Tickets generiert. Verwenden Sie also die Servicebenutzer nicht für alle Ihre Administratoren, da diese sonst auf ungewöhnliche Anmeldeprobleme stoßen können.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Benutzerverwaltung extrem nützlich.
Berechtigungsobjekte sollten immer im Vorfeld mit dem Nutzerkreis definiert werden und beziehen sich dann auf eine bestimmte Aktion innerhalb des Systems.
Wesentliche Berechtigungen sind mindestens jährlich zu prüfen, besonders kritische mindestens halbjährlich.