Vorgehen bei der Erstinstallation
Um die Benutzer- und Rollenverwaltung für Ihr SAP-System einzurichten, gehen Sie folgendermaßen vor:
...
1. Lesen Sie den Abschnitt Sicherheit im Systemverbund.
2. Verschaffen Sie sich einen Überblick über die verschiedenen Aufgaben Ihrer Mitarbeiter.
Wenn in Ihrem Unternehmen verschiedene Anwendungen eingesetzt werden, ist es notwendig, dass Sie mit den Mitarbeitern der Fachabteilungen zusammenarbeiten, um gemeinsam zu vereinbaren, welche Rollen in den einzelnen Abteilungen definiert werden sollen und welche Berechtigungen den einzelnen Mitarbeitern gegeben werden sollen. Jeder Arbeitsplatz sollte (möglichst schriftlich) genau definiert werden. Der oder die Berechtigungsadministratoren benötigen genaue Informationen, welche Mitarbeiter auf welche Daten zugreifen dürfen, welche Transaktionen und Reports sie ausführen können sollen usw.
3. Wählen Sie in der Transaktion SU25 den Menüpunkt 1: Initiales Füllen der Kundentabellen.
Beim initialen Füllen der Kundentabellen werden Prüfkennzeichen und Berechtigungswerte, die von SAP voreingestellt sind, in die entsprechenden Kundentabellen kopiert.
Benutzern bzw. Benutzergruppen werden, möglicherweise bereits vordefinierte, Rollen zugeordnet, die die für ihre Arbeit typischen Transaktionen enthalten. Aufgrund der in einer Rolle enthaltenen Transaktionen selektiert das Werkzeug der Rollenverwaltung die Berechtigungsobjekte, die in den Transaktionen geprüft werden. Wird für eine Rolle ein Menü angelegt, sucht das Werkzeug der Rollenverwaltung die zugehörigen Berechtigungen. Diese können dann vom Administrator ergänzt und modifiziert werden.
Je nachdem, wie genau die Vorschlagswerte sind, werden bei der Bearbeitung der einzelnen Rollen entweder grüne (vollständige Berechtigung), gelbe (Berechtigungsadministrator muss nachbearbeiten) oder rote Ampeln (Organisationsebenen nachbearbeiten) angezeigt.
Vorschlagswerte für Berechtigungen werden von SAP in Form der Tabellen USOBX und USOBT ausgeliefert. Mit den Inhalten dieser Tabellen werden die Kundentabellen USOBX_C und USOBT_C initial gefüllt und können dann bei jedem weiteren Upgrade abgeglichen werden.
USOBX |
Definiert, welche Berechtigungsprüfungen innerhalb einer Transaktion stattfinden sollen und welche Berechtigungsprüfungen im Werkzeug der Rollenverwaltung bearbeitet werden sollen. Mit Prüfkennzeichen wird festgelegt, welche Berechtigungsprüfungen im Werkzeug der Rollenverwaltung bearbeitet werden können. Nur die Berechtigungsprüfungen, die mit dem Kennzeichen Prüfen mit Vorschlag Ja (früher „PP") versehen werden, werden zur Nachbearbeitung im Werkzeug der Rollenverwaltung angeboten.
In den genannten Tabellen entspricht das Kennzeichen Prüfen mit Vorschlag Ja (früher „PP"), das in Transaktion SU24 verwendet wird, einem X.
Trotz eines programmierten authority-check-Befehls können Berechtigungsprüfungen unterbunden werden. |
USOBT |
Definiert pro Transaktion und Berechtigungsobjekt, welche Vorschlagswerte im Werkzeug der Rollenverwaltung für die im Menü einer Rolle eingetragenen Transaktionscodes verwendet werden sollen. |
4. Passen Sie vor der Verwendung des Werkzeugs der Rollenverwaltung gegebenenfalls den Umfang der Berechtigungsprüfungen an.
Über Prüfkennzeichen steuern Sie, welche Objekte nicht geprüft werden sollen, welche Objekte im Werkzeug der Rollenverwaltung angezeigt werden und welche Feldwerte damit zur Nachbearbeitung vor der automatischen Profilgenerierung angeboten werden.
Passen Sie die durchzuführenden Berechtigungsprüfungen pro Transaktion nach Ihren Wünschen an. Rufen Sie dazu die Transaktion SU25 auf, und wählen Sie Punkt 4: Prüfkennzeichen in Transaktionen (SU24).
In Transaktion SU25 haben Sie außerdem die Möglichkeit, Berechtigungsobjekte global auszuschalten (Punkt 5). Weitere Informationen finden Sie unter Umfang der Berechtigungsprüfungen verringern.
5. Wählen Sie Punkt 3: Transport der Kundentabellen, um die Tabellen in weitere Systeme Ihres Systemverbunds zu kopieren.
6. Implementieren Sie Ihre Rollenverwaltung entsprechend des folgenden Modells:
Auf der Unternehmensebene (Common Level) wird allen Benutzern des Systems der Zugang zu allgemein verwendeten Transaktionen verschafft. Beispiele für enthaltene Transaktionen sind: Druck, Online-Hilfe, SAP office usw. Legen Sie eine (oder mehrere) Rollen für allgemeine Tätigkeiten in Ihrem Unternehmen an. Änderungen, die an diesen Rollen vorgenommen werden, wirken sich auf alle Mitarbeiter aus. Sind allgemeine Tätigkeiten Bestandteil von spezifischeren Jobrollen, müssen Änderungen in den allgemeinen Berechtigungen in allen Rollen angepasst werden.
Auf der Anwendungsebene sollen allen Benutzern einer bestimmten Anwendung allgemeine Transaktionen dieser Anwendung zugeordnet werden. Diese Vorgehensweise führt insofern zu einer Zeitersparnis, als diese allgemeinen anwendungsspezifischen Rollen in der Regel auch über Upgrades hinweg stabil bleiben. Falls es zu Änderungen kommen sollte, kann auch hier wieder „einmal für alle" geändert werden.
Auf der Arbeitsplatzebene sollen die Transaktionen und Berechtigungen zugeordnet werden, die speziell nur für einen (oder einige) Arbeitsplätze benötigt werden. Werden Rollen in unterschiedlichen Organisationsebenen (z. B. in unterschiedlichen Buchungskreisen) verwendet, können Sie Rollen ableiten und die entsprechende Organisationsebene für die abgeleitete Rolle in einem Dialogfenster ändern.
Da die unteren beiden Ebenen nach der Implementierung der Berechtigungsverwaltung weitgehend stabil bleiben, wird sich die Arbeit des Berechtigungsadministrators nach der Implementierung der Rollen in erster Linie auf die Arbeitsplatzebene beziehen.
Siehe auch:
● Organisation der Berechtigungsverwaltung