Festlegen des Umfangs der
Berechtigungsprüfungen
Beim Ausführen von Transaktionen im SAP-System wird häufig eine größere Zahl von Berechtigungsobjekten geprüft, da im Hintergrund andere Arbeitsgebiete aufgerufen werden. Für eine erfolgreiche Prüfung müssen entsprechende Berechtigungen vorhanden sein. Dadurch erhält mancher Anwender mehr Berechtigungen als unmittelbar nötig. Außerdem bedeutet dies erhöhten Pflegeaufwand.
Bei Verwendung des Profilgenerators haben Sie die Möglichkeit, den Umfang der Berechtigungsprüfungen zu reduzieren (Transaktion SU24). Wenn der Profilgenerator ein Profil generiert, wählt er alle zu einer Aktivität gehörigen Berechtigungen. Die generierten Profile sind nicht immer vollständig (besonders in älteren Releases des Profilgenerators), so dass Sie nicht enthaltene Berechtigungen ggf. manuell hinzufügen müssen. (Dies ist hauptsächlich bei Programmen der Fall, die andere Programme aufrufen, wobei das Unterprogramm zusätzliche Berechtigungen erfordert.) Um die Verwaltungsaufgaben mit dem Profilgenerator zu erleichtern, könnten Sie in solchen Fällen erwägen, den Umfang der Berechtigungsprüfungen zu reduzieren.
Wenn ein Benutzer in PA ein Programm aufruft, das wiederum eine HR-Routine aufruft, benötigt der Benutzer die entsprechenden HR-Berechtigungen. Haben Sie die HR-Komponente nicht installiert, wollen Sie den PA-Benutzern u. U. nicht alle HR-Berechtigungen zuweisen, die sie für die Ausführung ihrer PA-Reports benötigen. In diesem Fall könnten Sie die Berechtigungsprüfungen für HR-Berechtigungen in den PA-Transaktionen deaktivieren.
Grundsätzlich werden Berechtigungsprüfungen nur dann durchgeführt, wenn Sie im Quellcode einer Transaktion programmiert sind und nicht explizit von der Prüfung ausgenommen werden.
Für das Unterbinden von Berechtigungsprüfungen sind keine Programmänderungen erforderlich, da Prüfungen über Prüfkennzeichen gesteuert werden. Prüfkennzeichen steuern auch, welche Objekte im Profilgenerator zur Anzeige kommen und welche Feldwerte damit zur Nachbearbeitung vor der automatischen Profilgenerierung angeboten werden.
In der Auslieferung sind SAP-Vorschläge für Prüfkennzeichen und Berechtigungsfeldwerte enthalten, die Sie kopieren sollten. Die kopierten Vorschläge können Sie dann nachbearbeiten. Dies sollten Sie erst dann tun, wenn das Berechtigungskonzept Ihres Unternehmens definiert ist.
Sie können Berechtigungsprüfungen innerhalb einer Transaktion mandantenunabhängig verringern oder ein Berechtigungsobjekt global von der Prüfung ausnehmen. Weitere Informationen erhalten Sie in den folgenden Abschnitten:
● Globales Ausschalten von Berechtigungsprüfungen
● Berechtigungsprüfungen in Transaktionen verringern
● Vorlagen für allgemeine Berechtigungen bearbeiten
● Prüfkennzeichen und Feldwerte bei Release-Wechsel abgleichen
Berechtigungsobjekte aus den Bereichen Basis (S_*) und Personalwirtschaft (P_*, PLOG) können Sie nicht von einer Prüfung ausnehmen. Die zugehörigen Feldwerte dieser Objekte werden immer geprüft.
Bei Parameter- oder Variantentransaktionen können Sie Berechtigungsobjekte nicht direkt, sondern nur über Berechtigungsobjekte der eigentlichen Transaktion von einer Prüfung ausnehmen.
Vorteile des eingeschränkten Umfangs der Berechtigungsprüfungen in SAP-Systemen
Wie bereits erwähnt, vereinfachen Sie durch eine Verringerung des Umfangs von Berechtigungsprüfungen die Verwaltungsaufgaben im Zusammenhang mit dem Profilgenerator. Sie sollten jedoch sorgfältig abwägen, welche Berechtigungsprüfungen Sie unterdrücken wollen. Wenn Sie Berechtigungsprüfungen unterdrücken, gestatten Sie den Benutzern, Aufgaben durchzuführen, für die Sie nicht ausdrücklich berechtigt sind. In den folgenden Fällen ist eine Reduzierung des Umfangs von Berechtigungsprüfungen u. U. zu erwägen:
● Sie verwenden das mit der Berechtigungsprüfung verbundene Berechtigungsobjekt nicht (wie im obigen Beispiel).
● Die Berechtigungsprüfung zu dem Objekt S_TCODE schützt die Kerntransaktion trotzdem. (Beachten Sie jedoch, dass die Berechtigungsprüfung S_TCODE nur einen sehr allgemeinen Schutz bietet. Dies allein ist kein Grund, eine Berechtigungsprüfung zu unterdrücken.)
● Sie wollen vermeiden, dass Sie alle Werte für alle Berechtigungsfelder in dem Berechtigungsobjekt zulassen.
Anstatt den Stern (*) als Wert des Platzhalters zuzuweisen, können Sie Berechtigungsprüfungen für bestimmte Objekte in spezifischen Transaktionen unterdrücken. Für andere Transaktionen können Sie eine Standardberechtigungsprüfung für dasselbe Berechtigungsobjekt verwenden.
Wenn Sie den Umfang von Berechtigungsprüfungen reduzieren, erlauben Sie Benutzern, Aktivitäten durchzuführen, ohne sicherzustellen, dass die Benutzer die erforderliche Berechtigung haben. Dadurch könnten Sie unerwünschte Wirkungen erzielen. Überlegen Sie genau, bevor Sie Berechtigungsprüfungen unterdrücken.