Vorgehen beim
Upgrade
Nach dem Upgrade müssen hinsichtlich der Benutzer- und Rollenverwaltung Nacharbeiten durchgeführt werden. Welche dies sind, hängt davon ab, ob Sie im Ausgangs-Release den Profilgenerator bereits im Einsatz haben oder nicht.
In den folgenden Ausführungen wird davon ausgegangen, dass Sie den Profilgenerator noch nicht verwendet haben bzw. Ihr Ausgangs-Release kleiner 3.0F ist.
Wurde der Profilgenerator bereits im
letzten Release eingesetzt, lesen Sie den Abschnitt Ausgangs-Release mit Profilgenerator
(>3.0F)
Entscheiden Sie sich zunächst für eine der beiden folgenden Möglichkeiten:
...
1. Konvertieren Sie die Profile, die von Ihnen manuell erstellt wurden, in Rollen. Wählen Sie dazu Schritt 6 in der Transaktion SU25.
Dies hat den Vorteil, dass der Verwalter alle vorhandenen und sorgfältig geprüften Profile den entsprechenden Rollen zuordnen kann. Ein Benutzermenü zu der Rolle kann allerdings nur erzeugt werden, wenn entsprechende Berechtigungen zum Berechtigungsobjekt S_TCODE im Profil enthalten sind. Auch können die Konfigurationstabellen (USOBX_C, USOBT_C ), in denen die voreingestellten Berechtigungswerte enthalten sind, nicht genutzt werden.
Wenn Sie mit Transaktion SU25 (Option 6.) Profile in Rollen umwandeln, die Sie danach ableiten wollen, wählen Sie unbedingt die Option optimiert, um den Status der in den Profilen enthaltenen Organisationsebenenfelder korrekt in die Rolle zu übernehmen. Möglicherweise müssen Sie anschließend die Werte in den Organisationsebenenfeldern nachpflegen, weil Transaktion SU25 die Feldwerte aus allen Berechtigungsobjekten sammelt, zu denen die betreffende Organisationsebene gehört. In jedem Berechtigungsobjekt steht also nach Abschluss der Migration die Summe aller im Profil für diese Organisationsebene auftretenden Feldwerte. Damit wird der einheitliche Zustand der Organisationsebenen in allen Berechtigungsobjekten gewährleistet, was die Voraussetzung zur Pflege der Organisationsebenenfelder über das Dialogfenster Organisationsebenen festlegen ist.
Bei Migration der Profile über die Option Identisch mit Profil werden zwar nur die im Profil enthaltenen Werte der Organisationsebenenfelder in die Rolle übernommen, eine Organisationsebenenpflege über das Dialogfenster Orgebenen festlegen ist jedoch nicht mehr möglich.
2. Führen Sie eine Neuimplementierung der Berechtigungsverwaltung mit Hilfe des Profilgenerators durch.
Dies hat folgende Vorteile:
· Erfahrungen beim Kunden haben deutlich gemacht, dass die Zeit, die in die Neuimplementierung der Berechtigungsverwaltung investiert wird, sich durch eine große Zeitersparnis bei der weiteren Pflege der Benutzer- und Berechtigungsdaten auszahlt.
· Ihre Mitarbeiter können anwendungsfreundliche Benutzermenüs verwenden
SAP empfiehlt die zweite Variante. Neben den bereits genannten Vorteilen können Sie das im Abschnitt Vorgehen bei der Erstinstallation dargestellte 3-Schichten-Modell bei der Implementierung von Rollen verwenden. Ein Redesign der Berechtigungsverwaltung anhand des 3-Schichten-Modells ist langfristig insofern sinnvoll, als die Arbeitzeit, die ein Berechtigungsverwalter für die Pflege der Rollen aufwenden muss, wesentlich verkürzt werden kann.
Wenn Sie sich für die zweite Variante (Redesign der Berechtigungsverwaltung) entschieden haben, lesen Sie den Abschnitt Vorgehen bei der Erstinstallation und die folgenden Ratschläge:
· Planen Sie die Umstellung von Profilen auf Rollen. Fertigen Sie eine Liste mit den Transaktionen und den zugehörigen Profilen an, für die Sie Rollen einrichten wollen. Verwenden Sie das Infosystem (Transaktion SUIM). Sie können die Listen des Infosystems in ein Microsoft-Excel-Sheet herunterladen und als Arbeitsgrundlage für die durchzuführende Migration verwenden. Setzen Sie sich mit den Fachabteilungen in Verbindung und besprechen Sie, welche Rollen für welche Abteilung zur Verfügung gestellt werden sollen.
· Bei der Umstellung auf Rollen können Sie überlegen, ob die von Ihnen gewählten Namenskonventionen sich bewährt haben. Gegebenenfalls können Sie andere Namenskonventionen festlegen.
· Legen Sie die neuen Rollen im Entwicklungssystem an.
Folgende Vorgehensweise könnte bei der Übernahme der Berechtigungswerte aus den alten Profilen hilfreich sein:
Eröffnen Sie drei Modi im SAP-System.
· Im ersten Modus starten Sie die Transaktion SU02 und wählen ein Profil, welches Sie in eine Rolle konvertieren möchten.
· Im zweiten Modus rufen Sie die Transaktion PFCG auf und legen dort die neue Rolle an.
·
Im dritten Modus starten Sie als Hilfsmittel für
die Pflege der Berechtigungen die Transaktion SUIM. Wählen Sie dort Berechtigungsobjekte ® Berechtigungsobjekte nach
komplexen Selektionskriterien. Geben Sie den Namen eines
Berechtigungsobjektes ein. Sie möchten z.B. wissen, in welchen Profilen das
Objekt S_TABU_DIS verwendet wird. Klicken Sie auf die Drucktaste Verwendungsnachweis. Wählen Sie das Profil,
für das Sie gerade eine Rolle anlegen. Markieren Sie das Profil und wählen Sie
Teilbaum expandieren.
Jetzt können Sie nach dem gewünschten Berechtigungsobjekt (in diesem Fall
S_TABU_DIS) suchen und die Berechtigungswerte in die Rolle eintragen.
· Rufen Sie Schritt 2C der Transaktion SU25 auf, wenn Sie die Konvertierung von Profilen in Rollen beendet haben.
Alle Rollen, die von neu hinzukommenden Berechtigungsprüfungen betroffen sind, müssen entsprechend ergänzt werden. Die zugehörigen Berechtigungsprofile sollten daher überarbeitet und erneut generiert werden. Die betroffenen Rollen bekommen den Status Profilabgleich erforderlich. Schritt 2C zeigt die nach dem Upgrade zu überprüfenden Rollen über Ampeln an. Bei überarbeiteten Rollen ist die Ampel grün. Bei nicht überarbeiteten Rollen ist die Ampel rot. Sie können den Report mehrfach aufrufen, ohne dass bereits durchgeführte Anpassungen überschrieben werden.
Die Transaktion SU25 hätte für Profile keine Ausgabe geliefert. Um zu erfahren, für welche Transaktionen Berechtigungsprüfungen hinzugekommen sind, ist es sinnvoll, die Rollen vorher anzulegen.
· Rufen Sie Schritt 2D auf, um zu erfahren, ob Transaktionscodes im neuen Release geändert wurden. Auch diese Liste können Sie in ein Microsoft-Excel-Sheet laden und die alten Transaktionscodes dann während der Testphase entfernen, wenn die Tester mit den neuen Transaktionen zufrieden sind.
Schritt 2D zeigt über Ampeln an, welche Rollen nach dem Upgrade bereits überarbeitet wurden. Bei überarbeiteten Rollen ist die Ampel grün. Bei nicht überarbeiteten Rollen ist die Ampel rot. Per Doppelklick können Sie die Ampel von rot auf grün umschalten. Sie können den Report mehrfach aufrufen, ohne dass bereits durchgeführte Anpassungen überschrieben werden.
Um in Schritt 2D neue Transaktionen in Rollen einzufügen oder gegen alte auszutauschen, stehen Ihnen folgende Drucktasten zur Verfügung:
§ Menü manuell anpassen
Sie können die Transaktionen manuell austauschen oder hinzufügen.
§ Menü automatisch anpassen
Die alten Transaktionen werden automatisch durch die neuen ersetzt.
§ Menü automatisch hinzufügen
Mit dieser Funktion können Sie die neuen Transaktionen je Rolle hinzufügen. Das System prüft, ob die jeweilige Transaktion bereits in der Rolle enthalten ist. Nur wenn dies nicht der Fall ist, wird sie hinzugefügt. Dadurch können die Benutzer zunächst mit den alten Transaktionen weiterarbeiten und haben Zeit, den Umgang mit den neuen Transaktionen zu erlernen.
Siehe auch:
Vorgehen bei der Erstinstallation
Ausgangsrelease mit Profilgenerator (>3.0F)