Verfahren Sie wie folgt:
Vorlage: |
Verwalter: |
SAP_ADM_PR |
Berechtigungsprofilverwalter |
SAP_ADM_AU |
Berechtigungsdatenverwalter |
SAP_ADM_US |
Benutzerverwalter |
Verwenden Sie einen Profilnamen, der NICHT mit 'T' beginnt.
Beim Benutzerverwalter können Sie die Berechtigung noch auf bestimmte Benutzergruppen einschränken.
Beim Profilverwalter können Sie weitere Berechtigungsobjekte herausnehmen, beispielsweise für HR-Daten. Wollen Sie Ihre generierten Berechtigungsprofile mit anderen Buchstaben außer 'T' beginnen lassen, so müssen Sie das beim Profilverwalter berücksichtigen.
Beispiel für die Arbeit der drei Verwalter
Der Berechtigungsdatenverwalter legt eine Rolle an, wählt Transaktionen aus und pflegt die Berechtigungsdaten. Im Profilgenerator sichert er die Daten nur, da er keine Berechtigung zum Generieren des Profils hat. Er übernimmt dabei den vorgeschlagenen Profilnamen T-....
Der Berechtigungsprofilverwalter startet die Transaktion SUPC und wählt Alle Rollen. Anschließend schränkt er die Selektion ein, beispielsweise durch Eingabe des Kürzels der zu bearbeitenden Rolle. Auf dem Folgebild wählt er Profil anzeigen, um die Daten kontrollieren zu können. Wenn alle Daten stimmen, so generiert er das Berechtigungsprofil.
Der Benutzerverwalter ordnet anschließend diese Rolle einem Benutzer zu (aus der Benutzerpflege heraus). Das Profil wird beim Benutzer eingetragen.
Es darf kein Berechtigungsprofil geben, welches mit 'T' beginnt und kritische Berechtigungen (Objekte S_USER*) enthält.