SAP Benutzer - Rollen und Berechtigungen im SAP-System analysieren
SAP Benutzer - Wie Sie die SAP Fiori Benutzerverwaltung sicher gestalten
Um Berechtigungen zu vergeben, generiert man Rollen basierend auf Transaktionen, Objekten oder Tätigkeitsmöglichkeiten (Anlegen, Ändern und Anzeigen). Letztere Variante ist dabei eigentlich irrelevant, da bereits ein User mit der günstigsten Lizenz (ESS) Daten anlegen darf, wenn auch nur in bestimmten Objekten. Die Berechtigung „Anlegen“ ist in unterschiedlichen Fällen eine globale Erlaubnis. Damit kann die notwendige Differenzierung der speziellen Berechtigungen zum Anlegen eines ESS-Users so nicht getroffen werden.
Um die Benutzerverwaltung zu vereinfachen, können Benutzer in sogenannten Berechtigungsgruppen untergebracht werden. Die Gruppen enthalten Rollen, die wiederum die jeweiligen Berechtigungen beinhalten. So können Benutzer, welche die gleichen Aufgabenbereiche bearbeiten, der gleichen Gruppe zugewiesen werden. Einzelne Rollen können sowohl einem Benutzer als auch einer Gruppe zugeordnet werden.
Was ist Identity Lifecycle Management?
Wie im vorherigen Abschnitt beschrieben ruft man die Transaktion ST03 bzw. ST03N auf und grenzt die Ansicht auf den gewünschten Zeitraum im SAP-System ein. Nun wählst Du das Transaktionsprofil Standard im Ordner Analysesichten > Transaktionsprofil aus.
Die voreingestellten Berechtigungsrollen des neuen SAP-Systems für die Konsolidierung und Planung, SAP Group Reporting,sind in der folgenden Grafik dargestellt. Hierbei ist es nicht entscheidend, ob der Zugriff auf das System über den Browser (Fiori Launchpad) oder über den lokalen Zugang (SAP GUI) erfolgt. Die in der Grafik dargestellten Berechtigungsrollen zeigen lediglich die durch SAP voreingestellten technischen Spezifikationen. Allerdings können diese als Aufsatzpunkt genutzt und nach der Erstellung einer Kopie entsprechend angepasst werden.
Tools wie z.B. "Shortcut for SAP Systems" sind bei der Benutzerverwaltung extrem nützlich.
Das Problem kann also nur umgangen werden, indem man entweder nach der tatsächlichen Nutzung der SAP-User lizenziert, oder indem man die Rollen nach seinen eigenen Nutzungsverhalten gestaltet und definiert.
Anschließend sucht man anhand des SAP Workloads (Transaktion STAD) den Programmnamen der Transaktion heraus.