Auswertungen von Berechtigungen und Benutzerstammsätzen
Löschen von Änderungsbelegen
Das Berechtigungsobjekt S_RFCACL wird durch das Einspielen des SAP-Hinweises 1416085 aus dem Profil SAP_ALL entfernt. Dieser Hinweis ist in allen neueren Support Packages für die Basiskomponente enthalten; dies betrifft also alle Systeme bis herunter zum Basisrelease 4.6C. Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird. Diese Felder legen fest, aus welchen Systemen und Mandanten bzw. für welche Benutzerkennungen Anmeldungen am Zielsystem erlaubt sein sollen. Die Gesamtberechtigung für diese Felder erlaubt also die Anmeldung aus beliebigen Systemen und Mandanten bzw. für beliebige Benutzer und erzeugt dadurch erhebliche Sicherheitsrisiken.
Den Benutzern sind zu viele Profile zugeordnet? Mithilfe von Referenzbenutzern können Sie dieses Problem umgehen. Im SAP-System wird die Anzahl der Zuordnungen von Profilen zu Benutzern durch eine technische Einschränkung begrenzt. Dies wird schon seit Längerem nicht mehr durch den Kernel verursacht, sondern liegt in der Struktur der verwendeten Datenbanktabellen begründet. Die Tabelle USR04 enthält die Profilzuordnungen zu den Benutzern. Dabei sind pro Benutzer 3.748 Zeichen im Feld PROFS für die Liste der Profilnamen vorgesehen. Profilnamen haben eine maximale Länge von 12 Zeichen; daher können im Feld PROFS maximal 312 Profile pro Benutzer eingetragen werden. Sollten Sie ein Rollenkonzept einsetzen, in dem die Berechtigungen für Teilprozesse jeweils in einer Rolle abgelegt werden, kann dies dazu führen, dass einige Ihrer Benutzer die maximale Anzahl der zugeordneten Profile überschreiten. Wir zeigen Ihnen daher im Folgenden, wie Sie dieses Problem durch den Einsatz von Referenzbenutzern umgehen.
Risikoanalyse mit dem Report »Kritische Berechtigungen« durchführen
Für Benutzer, zu denen in der ZBV kein Benutzertyp definiert wurde, wird entweder der Standardbenutzertyp des Tochtersystems oder der über den lokalen Lauf des Vermessungsprogramms (Transaktion USMM) definierte Benutzertyp in der Spalte Vertraglicher Nutzertyp ausgegeben. In der Spalte Wert in der Zentrale wird in diesem Fall kein Wert ausgegeben. Wurde der Benutzertyp über einen lokalen Lauf des Vermessungsprogramms definiert und ist dieser Benutzertyp nicht in der ZBV hinterlegt, sollten Sie die Lizenzdaten für diesen Benutzer mithilfe der Transaktion SCUG erneut aus dem Tochtersystem in die ZBV übernehmen. Gibt es Benutzer in den Tochtersystemen, für die sich der Wert in den Spalten Vertraglicher Nutzertyp und Wert in ZBV Zentrale unterscheiden, wurde entweder das IDoc der ZBV noch nicht verarbeitet, oder der Benutzertyp wurde lokal geändert. In diesen Fällen sollten Sie prüfen, wodurch die Differenzen begründet sind, und sie ebenfalls bereinigen.
Verwenden Sie den SAP NetWeaver Business Client anstelle von SAP GUI? Dabei wird die Anordnung der Anwendungen auf dem Bildschirm über PFCG-Rollen gesteuert. Der SAP NetWeaver Business Client (NWBC) ist eine Alternative zu SAP GUI, um Zugriff auf SAP-Anwendungen zu erhalten. Hiermit können Sie Anwendungen, die in verschiedenen SAP-Systemen liegen und über verschiedene UI-Technologien verfügen, zentral über eine Oberfläche aufrufen. So können Sie mit dem NWBC nicht nur Transaktionen, sondern auch Web-Dynpro- Anwendungen und externe Serviceanwendungen aufrufen. In diesem Tipp zeigen wir Ihnen, wie Sie den Aufbau der Benutzeroberfläche des NWBC mithilfe von PFCG-Rollen steuern können.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Nachdem der Report erfolgreich durchlaufen worden ist, haben alle TMSADM-Benutzer der Landschaft im Mandanten 000 und deren Destinationen dasselbe neue Passwort.
Repariere defekte Feldliste in SU24-Vorschlagswerten: Diese Funktion überprüft, ob alle in den Berechtigungsvorschlägen verwendeten Berechtigungsobjekte konsistent sind, d. h. zu den Berechtigungsobjektdefinitionen aus Transaktion SU21 passen.