Zu Unrecht unterschätzt: Ein einheitliches SAP User Management
SAP Benutzer - Benutzerverwaltung als ständiger Prozess
Ungeachtet dessen, dass dem SYSTEM Benutzer mögliche Anwendungsberechtigungen auf mögliche Schemas, Views, Prozeduren oder weitere Datenbank-Artefakte fehlen, ist der SYSTEM Benutzer im Aufgabenfeld der Administration hoch privilegiert. Dies kann dazu führen, dass dieser Benutzer u. a. für die tägliche Administration der SAP HANA Datenbank oder als Kommunikationsbenutzer in Schnittstellen Anwendung findet. Aus diesem Grund ist es ratsam, mit Hilfe des Benutzers SYSTEM, dedizierte Benutzer und ein eigenständiges Rollenset für die Administration, Entwicklung, Support und Business Anwender zu erstellen. Welche Arten von Rollen in der SAP HANA Datenbank genutzt und erstellt werden können, ist im Blog Beitrag dargestellt.
Der Typ System muss hingegen bei allen anderen RFC Verbindungen verwendet werden - z. B. für den per RFC angebundenen Fax Server. Interessanterweise hat sich das auch bei der SAP noch nicht vollständig rumgesprochen: als ich vor einigen Jahren das erste Mal einen Solution Manager 7.0 aufgesetzt habe hat die SMSY noch alle Benutzer mit Kommunikation generiert - mittlerweile ist dieser Fehler korrigiert.
Professional-Aktivität oder Self Service?
In diesem Beitrag liegt der Schwerpunkt auf der Analyse von Rollen und Berechtigungen. Wenn du hingegen erfahren möchtest, wie sich Einzel- und Sammelrollen zusammensetzen und welche Grundsätze du beim Entwurf von Berechtigungen befolgen solltest, dann schau dir doch den Beitrag Rollen- und Berechtigungskonzept in SAP-Projekten an.
Manche Transaktionen werden in der Transaktion ST03 bzw. ST03N mit dem Programmnamen anstatt dem Transaktionsnamen aufgelistet. Das kann man einfach und schnell mit der Transaktion STAD analysieren. Zuerst ruft man seine Transaktion auf, die in der Auflistung fehlt. Anschließend sucht man anhand des SAP Workloads (Transaktion STAD) den Programmnamen der Transaktion heraus. Daraufhin sucht man anhand des Programmnamens nach einem Eintrag im Transaktionsprofil in der Transaktion ST03N. Der SAP-Hinweis 1929873 liefert nähere Informationen zu dieser Thematik.
Etliche Aufgaben im Bereich der SAP Benutzerverwaltung können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Im Sinne eines wirksamen Berechtigungsmanagements müssen Unternehmen und Konzerne alle Informationen bereitstellen, die es ermöglichen, Berechtigungen abzubilden.
Indirect Access liegt vor, wenn Menschen oder beliebige Geräte oder Systeme das ERP-System indirekt über eine Nicht-SAP-Zwischensoftware zwischen den Benutzern und dem SAP-ERP-System nutzen, wie z. B. ein Nicht-SAP-Frontend, eine kundeneigene Lösung oder eine Drittanwendung.