Rollenpflege im Betrieb
Bereits enthaltene Berechtigungsobjekte
Klare Berechtigungen an die Mitarbeiter zu vergeben, ist kein Zeichen von Misstrauen, sondern bietet einen hohen Schutz – sowohl für das Unternehmen als auch für die Mitarbeiter selbst. Durch die rollenspezifische Vergabe der SAP Berechtigungen erhält jeder Mitarbeiter entsprechend seiner Aufgabe Zugriff auf das System.
Wir stellen Ihnen hier verschiedene Szenarien für den Prozess des Zurücksetzens von Passwörtern vor. In allen Szenarien wählt der Benutzer das System und den Mandanten, in denen ein Passwort zurückgesetzt werden soll, über eine Webseite aus. Es sollten nur Systeme und Mandanten angezeigt werden, in denen dieser Benutzer bereits existiert und eine Berechtigung zugewiesen hat. Anschließend wird ein Initialpasswort generiert und an die E-Mail-Adresse des Benutzers verschickt. Nur für den Fall, dass eine Benutzersperre durch Falschanmeldungen gesetzt ist, muss der Benutzer zusätzlich entsperrt werden. Bei einer Administratorsperre sollte der Benutzer entsprechend informiert werden. Bevor Sie den Self-Service implementieren, sollten Sie sich Gedanken über die in Ihren Systemen eingestellten Passwortregeln und den Einsatz von Sicherheitsrichtlinien machen. Denn über diese Einstellungen können Sie steuern, wie Passwörter in Ihren Systemen generiert werden. Wir empfehlen Ihnen, dazu die Erläuterungen in den Tipps 4, »Passwortparameter und gültige Zeichen für Passwörter einstellen«, und 5, »Sicherheitsrichtlinien für Benutzer definieren«, zu lesen.
Abfrage der Daten aus dem Active Directory
Im SAP Berechtigungskonzept wird darüber hinaus die Organisation der Berechtigungen innerhalb des SAP-Systems abgebildet. Die Aufbauorganisation definiert Verantwortlichkeiten und die Genehmigungshierarchie, die Ablauforganisation legt Prozessschritte und dafür erforderliche Aktivitäten und Berechtigungsobjekte in SAP fest. Das Berechtigungskonzept muss daher flexibel genug sein, um künftige Änderungen in der Organisation schnell und regelkonform umsetzen zu können.
Damit Sie diesen Tabelleneintrag transportieren können, müssen Sie in der Transaktion SE09 in die Objektliste des Transportauftrags gehen und dort manuell einen Eintrag mit dem Objektschlüssel R3TR TABU KBEROBJ anlegen. Per Doppelklick gelangen Sie dann zum Pflegebild für die Schlüsselliste, in der Sie einen Eintrag mit * anlegen müssen. Dies bewirkt, dass alle Einträge der Tabelle KBEROBJ transportiert werden, die mit einem Leerzeichen beginnen. Anschließend müssen Sie noch das Feld RESPAREA zur Organisationsebene erheben. Folgen Sie dazu bitte der Anleitung in unserem Tipp 49, »Neue Organisationsebenen hinzufügen«. Wenn Sie mehr als eine Kostenstellen- oder Profit-Center-Hierarchie mit Vererbungslogik für die Berechtigungen nutzen, müssen Sie dies im Customizing der Kostenrechnungskreise über die Transaktion OKKP einstellen. Dort können Sie in den jahresunabhängigen Grunddaten entscheiden, welche Hierarchien Sie verwenden möchten. In den jahresabhängigen Grunddaten definieren Sie dann, welche Hierarchien pro Geschäftsjahr verwendet werden sollen. Sie können für die Kostenstellen und Profit-Center jeweils bis zu drei Hierarchien für die Berechtigungsvergabe nutzen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Da der Umgang mit SAP_NEW nicht immer transparent ist und sich z. B. die Frage stellt, wann das Profil zugewiesen sein soll und wann nicht, erläutern wir hier die Hintergründe.
Handelt es sich bei einem dieser Felder um das Feld ACTVT (Aktivität), können Sie über den Button Zulässige Aktivitäten alle zu prüfenden Aktivitäten auswählen.