Show TOC Anfang des Inhaltsbereichs

Hintergrunddokumentation Organisation der Berechtigungsverwaltung  Dokument im Navigationsbaum lokalisieren

Mit dem Berechtigungssystem können Sie die Verwaltung der Benutzerstammsätze und Rollen sehr flexibel organisieren:

      Wenn Ihr Unternehmen klein und zentral organisiert ist, können Sie alle Aufgaben, die mit der Verwaltung der Benutzerstammsätze und Berechtigungskomponenten verbunden sind, von einem einzigen Benutzer, dem Superuser, durchführen lassen.

Nähere Informationen zum Einrichten des Superusers finden Sie unter Sonderbenutzer schützen.

      Je nach Größe und Organisation Ihres Unternehmens sollten Sie die Verwaltung der Benutzerstammsätze und Berechtigungen jedoch auf mehrere Administratoren mit jeweils begrenzten Verantwortungsbereichen verteilen. Dies gilt insbesondere in einer dezentralen Umgebung, in der u. U. auch verschiedene Zeitzonen gelten. Dadurch erreichen Sie außerdem ein Maximum an Systemsicherheit.

Jeder Administrator sollte nur bestimmte Aufgaben durchführen können. Durch die Aufteilung der Aufgaben stellen Sie sicher, dass nicht ein einziger Superuser die absolute Kontrolle über Ihre Benutzerberechtigungen hat. Zudem gewährleisten Sie damit, dass nicht nur eine Person sämtliche Berechtigungen und Profile genehmigt. Definieren Sie zusätzlich Standardvorgehensweisen für das Anlegen und Zuweisen von Berechtigungen.

Da Sie Berechtigungen für die Benutzer- und Berechtigungsverwaltung ganz gezielt vergeben können, müssen diese Administratoren keine privilegierten Benutzer in Ihrer EDV-Organisation sein. Sie können die Verwaltung von Benutzerstammsätzen und Berechtigungen normalen Benutzern übertragen.

Empfehlung

Wir empfehlen Ihnen, die Werkzeuge und Funktionen der Rollenverwaltung (Transaktion PFCG) zur Verwaltung Ihrer Rollen, Berechtigungen und Profile zu verwenden. Diese Funktionen erleichtern Ihre Aufgabe, indem sie verschiedene Prozesse automatisieren und Ihnen bei Ihrem Berechtigungsplan mehr Flexibilität verleihen. Außerdem können Sie mit den Funktionen der Zentralen Benutzerverwaltung die von SAP gelieferten oder eigene, neu angelegte Rollen zentral bearbeiten und beliebig vielen Benutzern zuweisen.

Organisation bei Verwendung des Rollenverwaltungswerkzeugs

Wenn Sie das Werkzeug der Rollenverwaltung (den Profilgenerator) verwenden, können Sie die Administrationsaufgaben innerhalb eines Bereichs (z. B. einer Abteilung, Kostenstelle oder anderer organisatorischer Einheit) auf folgende Administratortypen verteilen:

      Berechtigungsdatenadministrator, der Rollen (Transaktionsauswahl und Berechtigungsdaten) anlegt, Transaktionen auswählt und Berechtigungsdaten bearbeitet. Allerdings darf er im Rollenverwaltungswerkzeug die Daten nur sichern, da er keine Berechtigung zum Generieren des Profils hat. Er übernimmt dabei den vorgeschlagenen Profilnamen T-....

      Berechtigungsprofiladministrator, der die Daten überprüft und genehmigt und das Berechtigungsprofil generiert. Dazu wählt er in Transaktion SUPC Alle Rollen und gibt dann das Kürzel der zu bearbeitenden Rollen an. Auf dem Folgebild kontrolliert er die Daten über Profil anzeigen.

      Benutzeradministrator, der die Benutzerdaten mit der Benutzerverwaltung (Transaktion SU01) bearbeitet und den Benutzern die Rollen zuordnet. Dadurch werden die genehmigten Profile in den Stammsatz der Benutzer eingetragen.

Diese Administratoren eines oder mehrerer Bereiche werden von Superusern verwaltet, die deren Benutzerstammsätze, Profile und Berechtigungen einrichteten. Wir empfehlen Ihnen mit dem Superuser, den Benutzer- und den Berechtigungsadministrator der Gruppe SUPER zuzuweisen. Bei Verwendung der vordefinierten Benutzerverwaltungsberechtigungen gewährleistet diese Gruppenzuweisung, dass Benutzeradministratoren nicht ihre eigenen Benutzerstammsätze oder die anderer Administratoren ändern können. Nur Administratoren mit dem vordefinierten Profil S_A.SYSTEM können Benutzer der Gruppe SUPER bearbeiten.

In der Tabelle im Abschnitt Benutzer- und Berechtigungsadministratoren einrichten stehen die Aufgaben, die Sie den einzelnen Administratoren zuordnen sollten, Aufgaben, die Sie nicht zuordnen sollten, sowie die für diese Aufgaben von uns vordefinierten Vorlagen.

Hinweis

Es darf kein Berechtigungsprofil geben, welches mit „T“ beginnt und kritische Berechtigungen (Objekte S_USER*) enthält.

Ende des Inhaltsbereichs