SAP-Berechtigungsvergabe Best-Practice
Einleitung
Ich bin jetzt seit 2006 mit einem Studienunterbruch im Bereich SAP Berechtigungen tätig. Ich würde gern aus diesen sieben Jahren Berufserfahrung gern ein generelles, für mich bewährtes Vorgehen zur Analyse von Berechtigungsproblemen ableiten.
Anleitung
- Schritt: Als Erstes die Quick-Wins welche aus meiner Erfahrung 80% der Berechtigungsfragen klären. Ein Screenshot oder der Aufruf von der SU53 des Benutzers mit dem Berechtigungsfehler. Mit dem Werten aus der SU53 kann man dann in die SUIM gehen und unter „Benutzer“/“Berechtigungsobjekt“ nach Berechtigungsrollen fragen, in denen das Objekt vorhanden ist. Wenn es eine Rolle gibt, dann kommt der (je nach Unternehmen andere) Prozess zur Rollenvergabe oder wenn nicht der Prozess zum Rollenbau zum Tragen.
- Schritt: Jetzt kommen wir zum interessanten Teil. Was wenn der Zugriff nicht via SAPGui erfolgt sondern mit einer App oder im Web (WebDynpro oder NetWeaver Business Client). Mit STAUTHTRACE (Neu) oder ST22 (Alt) kann man Berechtigungsfehler aufzeichnen die NICHT in der SU53 abrufbar sind.
- Schritt: Immer noch kein Glück? Wenn in der STAUTHTRACE/ST22 keine Fehler auftauchen dann gibt es entweder keine Berechtigungsfehler ODER das Login klappt bereits nicht. Gescheiterte Logins erscheinen NICHT im STAUTHTRACE oder der ST22. Hier hilft die SM19 (Audit Trace) im Audit Trace kann man einen "Dynamischen Trace" für "Anmeldevorgänge" aktivieren und sieht dann, die Art und der Status von Anmeldungen am System.
Ausnahmen
Unterhalb ist noch eine Liste von Ausnahmen oder Besonderheiten die nicht mit den Regeln oberhalb gelöst werden können.
- Systemspezifische Spezialberechtigungen z.B Berechtigungen auf InfoQubes im BI oder InfoTypen im HR haben sind nochmals extra zu behandeln.
- Im CRM sind viele GUI-Elemente Customizing/Entwicklung und sind nicht unbedingt ein Berechtigungsfehler. Am besten sieht man sich das mit einem CRM Entwickler zusammen an.