Rollenpflege: Tips und Tricks 

Aktivitäten zeitlich begrenzen

Auch wenn Sie HR-Org nicht im Einsatz haben, so können Sie dennoch von der Möglichkeit profitieren, Rollen Benutzern nur zeitlich begrenzt zuzuordnen. Sinnvoll ist dies zum Beispiel für das Geschäftsjahresende: Inventuraktivitäten sollen nur für eine begrenzte Zeit erlaubt sein.

Wählen Sie dazu Werkzeuge ® Administration ® Benutzerpflege ® Rollen.

Im Register Benutzer können Sie den Gültigkeitszeitraum für die Zuordnung festlegen.

Damit eine zeitlich begrenzte Zuordnung eines Aktivitätsprofils zu einem Benutzerstammsatz wirksam wird, müssen Sie einen Abgleich durchführen.

Das Berechtigungsprofil wird nur dann automatisch aus dem Benutzerstammsatz entfernt/eingetragen, wenn Sie für einen Abgleich den Batch-Report periodisch eingeplant haben.

Die Einplanung des Jobs ist auch wichtig für die Konsistenz der Rollen nach einem Import.

Es wird empfohlen, für diese Fälle den Hintergrund-Report PFCG_TIME_DEPENDENCY einzuplanen.

Benutzerzuordnung

Tragen Sie generierte Profile nie direkt in den Benutzerstammsatz (SU01) ein. Ordnen Sie dem Benutzer in der Transaktion SU01 im Register Rollen die entsprechende Rolle zu oder wählen Sie in der Rollenpflege (PFCG) den Registerindex Benutzer und tragen Sie dort die Benutzer ein, denen Sie die Rollen bzw. das entsprechende Profil zuordnen möchten.

Wenn Sie anschließend den Abgleich durchführen, wird das generierte Profil in den Benutzerstammsatz eingetragen.

Keine Berechtigungen für noch nicht eingeführte Module vergeben

Wollen Sie Module schrittweise einführen, so sollten Sie keinerlei Berechtigungen für die noch nicht eingeführten Module vergeben. Auf diese Weise verhindern Sie, daß unabsichtlich Daten in Ihrem Produktivsystem geändert werden, die Sie vielleicht erst später benötigen.

Lassen Sie die entsprechenden Berechtigungen oder Organisationsebenen offen. Setzen Sie in der Transaktion SU24 die Prüfkennzeichen nicht auf Nicht prüfen.

Initiale Berechtigungsvergabe

Im Testsystem wollen Sie einen Benutzer anlegen, der "fast alles" darf: Typischerweise dürfen solche Benutzer keine Benutzerstammsätze anlegen und keine Berechtigungsprofile ändern.

Dabei gehen Sie am schnellsten wie folgt vor:

  1. Legen Sie eine Rolle an.
  2. Im Register Berechtigungen wählen Sie Berechtigungsdaten ändern und anschließend Bearbeiten ® Einfügen ® Gesamtberechtigung
  3. Expandieren Sie die Objektklasse Basis-Administration.
    Dort finden Sie die Berechtigungsobjekte, die normalerweise als kritisch angesehen werden.
  4. Deaktivieren Sie alle, die mit Benutzerstammpflege beginnen und weitere, die Sie als kritisch empfinden. Beachten Sie dabei jedoch, daß für die Transaktion SU24 die Berechtigung Benutzerstammpflege: Benutzergruppen (S_USER_GRP) mit dem Wert * in den Feldern CLASS und ACTVT erforderlich ist.
  5. Generieren Sie das Profil und ordnen Sie die Berechtigungen einem Benutzer über das Register Benutzer zu.
  6. In der Benutzerpflege ordnen Sie die soeben erstellte Rolle dem Benutzer zu, indem Sie diese im Register Rolle eintragen.