Wie du Rollen und Berechtigungen im SAP-System analysierst
Notfalluserkonzept
Ebenso verhält es sich mit dem Konzept der Dateneigentümerschaft. Hierbei übernimmt eine Person die Verantwortung für die Daten eines bestimmten Geltungsbereichs (z. B. SAP-System X oder Systemlandschaft Y) und achtet auf diese, als seien sie der eigene, kostbare Besitz. Er beantwortet gewissenhaft Fragen wie „Dürfen Daten verändert / eingesehen / gelöscht werden?“, „Wie wird bei einem Datenabfluss gehandelt?“, „Wer darf wie auf die Daten zugreifen und was mit ihnen machen?“.
Das Profil SAP_NEW dient prinzipiell der Überbrückung der Releaseunterschiede in Berechtigungsprüfungen nach einem Upgrade und stellt sicher, dass die etablierten Geschäftsprozesse nach einem Upgrade weiterausführbar bleiben. Die Berechtigung SAP_NEW sollte nur temporär und nur in Notfällen in einem produktiven SAP-System nach einem Upgrade Benutzern zugewiesen werden.
Berechtigungsobjekte der PFCG-Rolle
Da gewisse Arten von Berechtigungen, wie z. B. Analyseberechtigungen, für SAP BW oder strukturelle Berechtigungen in SAP ERP HCM nicht auf SAPBerechtigungsprofilen beruhen, werden diese Berechtigungen im Berechtigungspuffer auch nicht angezeigt oder aufgefrischt. Für die Analyse solcher Berechtigungsprobleme müssen Sie daher die entsprechenden Werkzeuge nutzen, z. B. die Transaktion HRAUTH für SAP ERP HCM oder die Transaktion RSECADMIN für SAP BW. Dasselbe gilt für den Puffer des Organisationsmanagements für den Fall, dass Sie die indirekte Rollenzuordnung verwenden. Führen Sie hier den Report RHWFINDEXRESET aus, um den Puffer des Organisationsmanagements zurückzusetzen. Eine Voraussetzung zur Aktualität des Benutzerpuffers ist der korrekt ausgeführte Benutzerabgleich (grüne anstatt gelbe Statusampel auf der Registerkarte "Benutzer").
Ein weit aufwendigerer Weg ist die Identifikation über das Business-Rollen- Customizing. Identifizieren Sie hier zuerst den technischen Namen der Bereichsstartseite bzw. des logischen Links im Customizing Ihrer Business-Rolle in der Transaktion CRMC_UI_PROFILE. Bei einer Bereichsstartseite prüfen Sie nun noch den technischen Namen des dazugehörigen logischen Links. Im nächsten Schritt wechseln Sie in das Navigationsleisten-Customizing in der Transaktion CRMC_UI_NBLINKS und identifizieren zu dem technischen Namen Ihres logischen Links die dazugehörige Ziel-ID im View Logischen Link definieren. Wenn Sie die Ziel-ID als Suchparameter in der Tabelle CRMC_UI_COMP_IP verwenden, erhalten Sie als Suchergebnis die Informationen zu Komponentenname, Komponentenfenster sowie Inbound- Plug.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Die eigentlich gelöschten und neu hinzugefügten Werte sehen Sie in den Spalten von Wert und bis Wert (siehe Abbildung nächste Seite).
Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden.