[55936] in SAPr3-news
Re: Berechtigungen FI_CO
daemon@ATHENA.MIT.EDU (Raphaela Corall)
Thu Nov 10 05:10:20 2005
To: sapr3-news@mit.edu
Date: Thu, 10 Nov 2005 10:05:02 GMT
From: "Raphaela Corall" <rc@llaroc.de>
Message-ID: <dkv9gu.3vuedt1.1@alphA.llaroc.de>
Peter Postlbauer wrote:
> ich hab die "dankbare" Aufgabe erhalten, im FI_CO die
> Berechtigungen zu bereinigen. Derzeit gibt es noch die SAP_ALL (!!)
> im System, wurde in der Eile ;- ) eingetragen.
Kenn ich, und dann kommt die Revision, und die bestehen dann
darauf, daß allen Usern incl. Admins, Betreuern und SAP* SAP_ALL
weggenommen wird.
> Ich soll die Berechtigungen für die Mitarbeiter auf alle
> Berechtigungen im FI_CO setzen. Gibt es dafür vielleicht eine
> Auftellung, mit welchen Rollen, bzw. Profilen man alle FI_CO
> Berechtigungen erhält?
> Derzeit sind:
> A_ALL, F_BUCH_ALL, F_FICO_ALL, F_SYS_ADMIN, S_A.SYSTEM, S_A.USER
> eingetragen, das ist aber leider zu wenig.
Wer S_A.USER hat, kann genausogut SAP_ALL haben, weil er sich
damit eh alle Berechtigungen selbst zuordnen kann. S_A.SYSTEM
sollte auch sparsam vergeben werden, das sind
Admin-Berechtigungen. Fakt ist auch, daß die Standardprofile im
Allgemeinen nur ungefähr, aber eben nicht genau das leisten, was
ihre Bezeichung vorgibt. Daher bringt Dich Dein Ansatz, SAP_ALL
durch Standardprofile zu ersetzen, nicht wirlich weiter. Auch die
Revision wird das vermutlich nicht akzeptieren.
Du wirst letztlich nicht darum herumkommen, ein gescheites
Konzept zu machen. Das bedeutet, zu untersuchen, welche
Transaktionen wirklich benötigt werden. Basis für die
Zusammenfassung von Transaktionsberechtigungen zu Rollen sollte
IMO die Abteilung sein, nicht der einzelne Benutzer, weil a)
zuviele Unterscheidungen lästig sind, einen Haufen Arbeit machen,
schwierig zu verwalten und zu pflegen sind und b) wenn Urlaub und
Krankheit zusammenkommen personenbezogene Aufgabentrennung und
Vertreterregelungen oft nicht mehr wie geplant funktionieren. Zum
Konzept gehört auch, eine Trennung nach Organisationseinheiten
(Buchungskreis, Kostenrechnungskreis, Kostenstelle, ...)
vorzusehen. Ferner gehört dazu, an kritischen Stellen das
Vier-Augen-Prinzip zu gewährleisten (Revision: Wer Zahlungen
ausführt, darf keine Stammsätze anlegen und das Empfängerkonto im
Stammsatz nicht ändern dürfen). IMO sinnvoll ist auch eine
Standardrolle mit dem, was jeder User braucht, um das nicht in
jeder Abteilungsrolle wieder neu zu definieren (Office mindestens
wegen der vom System generierten Express-Meldungen, eigene
Spoolaufträge bearbeiten, Jobs in den Hintergrund schicken,
Batch-Input, ...)
Du sprichst zwar von Profilen, und das ist auf den ersten Blick
ausreichend und vielleicht etwas weniger Arbeit, dennoch würde
ich Dir empfehlen, wenn Du jetzt erstmalig etwas aufbaust, gleich
mit Rollen zu arbeiten. Rollen sind halt inzwischen state of the
art, und z.B. die Anbieter von Produkten zur zentralen
Berechtigungsverwaltung setzen gerne voraus, daß es sie gibt.
Um Dein akutes Problem erst mal zu lösen, hast Du zwei
Möglichkeiten: Wenn einem User konkret eine Berechtigung fehlt,
soll er die SU53 aufrufen. Das Profil, das die dort angegebene
Berechtigung enthält, findest Du dann im Infosystem unter Profile
nach Berechtigungswerten (Achtung: es gibt in irgendeinem Release
einen Report im Infosystem, der in den erweiterten Selektionen
eine Eingrenzung enthält, die entfernt werden muß). Wenn das zu
holperig wird, kannst Du SAP_ALL temporär wieder zuordnen und
über die ST01 einen Berechtigungstrace mitlaufen lassen. Der
liefert Dir alle geprüften Berechtigungen (und damit gleichzeitig
die Basis für die zu erstellende Rolle).
Gruß
Raphaëla
--
*Satz nochmal les*
Also der hat irgendwie was. Nur wohl leider keinen Sinn.
Könntest Du bitte das lesen, was ich meine und Dich nicht damit
aufhalten, was ich schreibe? <ch5tqf.3vv4ap5.1@sniet.fqdn.th-h.de>
