Vorgehen bei der Erstinstallation 

Um Berechtigungen für Ihr SAP-System einzurichten, gehen Sie folgendermaßen vor:

Vorgehensweise

Optional

  1. Verschaffen Sie sich einen Überblick über die verschiedenen Aufgaben Ihrer Mitarbeiter.

Wenn in Ihrem Unternehmen verschiedene Applikationen eingesetzt werden, ist es notwendig, daß Sie mit den Mitarbeitern der Fachabteilungen zusammenarbeiten, um gemeinsam zu vereinbaren, welche Arbeitsplätze in den einzelnen Abteilungen definiert werden sollen und welche Berechtigungen den einzelnen Mitarbeitern gegeben werden sollen. Jeder Arbeitsplatz sollte (möglichst schriftlich) genau definiert werden. Der oder die Berechtigungsverwalter benötigen genaue Informationen, welche Mitarbeiter auf welche Daten zugreifen dürfen, welche Transaktionen und Reports sie ausführen können sollen usw..

  
  1. Richten Sie die Zentrale Benutzerverwaltung ein. (Dieser Schritt ist optional und richtet sich danach, in wievielen Mandanten bzw. Systemen Benutzer gepflegt werden müssen. Es wird empfohlen, die Zentrale Benutzerverwaltung zu verwenden, wenn mehr als ein System mit vielen Benutzern eingesetzt wird).

Informationen finden Sie unter Einrichten der Zentralen Benutzerverwaltung.

   X

  1. Organisieren Sie die Verwaltungsaufgaben.

Richten Sie Systemverwalter für die Berechtigungspflege ein.

Informationen finden Sie unter Benutzer- und Berechtigungspflege organisieren. Beachten Sie auch die Ausführungen im Abschnitt Sicherheit im Systemverbund.

  
  1. Verringern Sie vor der Verwendung des Profilgenerators ggf. den Umfang der Berechtigungsprüfungen.

Bei aktiviertem Profilgenerator werden Berechtigungsprüfungen nur dann durchgeführt, wenn Sie im Quellcode einer Transaktion programmiert sind und nicht explizit von der Prüfung ausgenommen werden.

In der Auslieferung sind SAP-Vorschläge für Prüfkennzeichen und Berechtigungsfeldwerte enthalten, die kopiert werden müssen. Die kopierten Vorschläge können Sie dann nachbearbeiten.

Kopieren Sie in der Transaktion SU25 die SAP-Prüfkennzeichen und die Feldwerte, indem Sie Schritt 1 wählen.

Ändern Sie anschließend (bei Bedarf) die Prüfkennzeichen. Über Prüfkennzeichen steuern Sie, welche Objekte nicht geprüft werden sollen, welche Objekte im Profilgenerator zur Anzeige kommen und welche Feldwerte damit zur Nachbearbeitung vor der automatischen Profilgenerierung angeboten werden.

In der Transaktion SU25 haben Sie außerdem die Möglichkeit, Berechtigungsobjekte global auszuschalten (Punkt 5).

Weitere Informationen finden Sie unter Umfang der Berechtigungsprüfungen verringern.

   X

  1. Legen Sie Rollen im Entwicklungssystem (der Tochtersysteme) an.

Informationen finden Sie unter Rollen anlegen

  
  1. Definieren Sie Testbenutzer, denen Sie, je nach Arbeitsplatzbeschreibung, eine oder mehrere Rollen zuordnen. Testen Sie - mit Hilfe der Fachabteilungen - im Qualitätssicherungssystem (der Tochtersysteme) die definierten Arbeitsplätze. Führen Sie, entsprechend des Testverlaufs, Korrekturen durch.

Informationen finden Sie unter Benutzerstammsätze anlegen und pflegen

  
  1. Legen Sie die Benutzer im Produktiv- bzw. im Zentralsystem an und ordnen Sie Ihnen die vorgesehenen Rollen zu. Wenn Sie die zentrale Benutzerverwaltung einsetzen, führen Sie im Global User Manager vorher den Systemabgleich bzw. die Migration durch.

Informationen finden Sie unter Benutzerstammsätze anlegen und pflegen bzw. unter Funktionen des Global User Managers.

  
  1. Aktualisieren Sie die Gültigkeit der Profile im Benutzerstammsatz.

Dieser Schritt ist nur dann erforderlich, wenn Sie indirekte Zuordnungen von Benutzern zu Rollen über das Organisationsmanagement (HR-Org) oder zeitabhängige Zuordnungen von Rollen zu Benutzern vornehmen.

Die Gültigkeit von Berechtigungsprofilen in einem Benutzerstammsatz können Sie nicht zeitlich eingrenzen.

Sie können jedoch Rollen einem Benutzerstammsatz zeitlich begrenzt zuordnen.

Um die Aktualität der Profile im Benutzerstammsatz zu gewährleisten, müssen Sie diese mit den entsprechenden Rollen periodisch abgleichen. Verwenden Sie dazu den Report PFCG_TIME_DEPENDENCY.

Im Job-Protokoll des Reports PFCG_TIME_DEPENDENCY sollten Sie als Administrator regelmäßig prüfen, ob beim Hintergrund-Job Fehler aufgetreten sind.

Solche Fehler können Sie dann manuell beheben.

  
  1. Erteilen Sie Tabellenpflegeberechtigungen

Sie können festlegen, welche Art von Tabellen von welchen Mitarbeitern gepflegt werden dürfen.

Wählen Sie in der Berechtigungspflege des Profilgenerators (Transaktion PFCG, Register Berechtigungen, Taste "Berechtigungsdaten ändern") folgenden Menüpfad: Bearbeiten ® Einfügen Berechtigung ® Manuelle Eingabe, und geben Sie das Objekt "S_TABU_DIS" ein.

Das ausgewählte Objekt wird samt Berechtigung und Feldern (Aktivität und Berechtigungsgruppe) in die Hierarchiedarstellung der Berechtigungspflege eingefügt.

Jede Tabelle bzw. jeder View kann einer Berechtigungsgruppe zugeordnet werden.

Von SAP werden sowohl Berechtigungsgruppen als auch Zuordnungen der Tabellen/Views zu Gruppen ausgeliefert.

Sie können auch zeilenbezogene Berechtigungen für Tabellen einrichten. Weitere Informationen finden Sie im Abschnitt Zeilenbezogene Berechtigungen.

  
  1. Definieren Sie nicht zulässige Kennwörter.

Sie können verhindern, daß Benutzer bestimmte Kennwörter verwenden, indem Sie die nicht zulässigen Kennwörter in der Tabelle USR40 eintragen.

Nähere Informationen hierzu finden Sie im Abschnitt Nicht zulässige Kennwörter festlegen.

   X

Lesen Sie bitte auch den Abschnitt Sicherheit im Systemverbund.