Arbeitsabläufe/Prozesse und begleitende Maßnahmen für ein SAP Berechtigungskonzept
Ein Berechtigungskonzept ist nicht mit dem Erstellen der Berechtigungen auf Rollenbasis im R/3- System abgeschlossen. Die Gründe dafür sind:
In der „Vorbereitungsphase“ stellt das Projektteam die Weichen für den späteren Einsatz. Je detaillierter hier gearbeitet wird, umso einfacher, schneller und genauer können die Rollen erstellt
werden. Daraus ergibt sich ein geringerer Aufwand für Nacharbeiten in der Einführung und im produktiven Betrieb. In der „Einführungsphase“ ändern sich oft die Anforderungen. Ein Prozess läuft eben doch nicht so
wie zuerst geplant. Die SAP-Benutzeradministration muss jetzt schnell auf die geänderten Anforderungen reagieren können. Ein Unternehmen verändert sich: neue Aufgabenbereiche kommen hinzu oder fallen weg. Mitarbeiter
treten ein, wechseln den Aufgabenbereich oder scheiden aus. In der „Produktionsphase“ bedarf es Regeln um diese Änderungen schnell und sicher in das Produktionssystem zu bringen. Es gibt also viele Aufgaben ausserhalb der Arbeiten mit dem Profilgenerator. Diese müssen, nicht
zuletzt im Hinblick auf die gesetzlichen Anforderungen an ein System mit Buchhaltungsrelevanz, geregelt sein. Umfassen müssen solche Verfahren folgende Szenarien:
Vorbereitungsphase
· Initialanlage von Rollen, Namenskonventionen für Rollen
· Passwortregeln
· besonders schützenswerte Daten identifizieren
· Regeln für Reporting, Drucken, Downloads, Tabellenzugriffe finden
· Berechtigungen durch die Systemlandschaft
Einführungsphase
· Initialanlage der Benutzerstammsätze
· Vorgehensweise bei fehlenden Berechtigungen
· Änderung von Rollen
· Produktivphase
· Erarbeiten einer Vorgehensweise für die spätere Benutzer- und Berechtigungsverwaltung
· Urlaubs- und krankheitsbedingte Vertretungen
· Meldepflicht, beim Wechsel eines Benutzers in anderes Aufgabengebiet (löschen der alten Berechtigungen, erteilen neuer Berechtigungen, Zuordnung zu einer neuen Benutzergruppe)
· Notfallkonzept, Notfallrolle(n)
· Einplanen von Jobs zur Überwachung von Benutzerstammsätzen bezüglich letztem Login,Abgleich von Berechtigungen
Um den Profilgenerator zu nutzen ist im Instanzprofil der folgende Parameter zu setzen: Auth/no_check_in_some_cases = Y
Da Änderungen an Rollen und damit verbundene Transporte in die angeschlossenen Systeme dazu führen, dass die Rollen neu generiert werden müssen, gilt dies für alle Systeme in denen der Profilgenerator genutzt wird. In der Regel für das Entwicklungs-, das Qualitätssicherungs- und das
Produktivsystem Anschließend ist ein Durchstarten des R/3-Systems notwendig. Im Instanzprofil können auch die Einstellungen für die maximalen Anmeldeversuche, die Größe des Benutzerpuffers etc. eingestellt werden. Eine weitere Voraussetzung ist das Generieren des spezifischen Unternehmens-Implemetations-
Guides (IMG). Weitere Hinweise zu diesem Thema finden sich in den Installationsanweisungen für SAP R/3 Systeme.
Nachdem die technische Vorarbeit abgeschlossen ist, oder bereits parallel dazu, ist es die Aufgabe der Projektteams und Fachabteilungen die Prozesse zu definieren. Rollen basieren idealerweise auf bestehenden Prozessen und erlauben einem Benutzer seine Aufgaben im Tagesgeschäft
durchzuführen. Letztendlich bilden die Rollen die Aufgabenbeschreibungen oder Prozessabläufe ab. Hilfreich sind neben den Arbeitsablaufbeschreibungen auch die Stellenbeschreibungen der Personalabteilung. Rollen werden in der Regel mit dem Profilgenerator angelegt. Dieses SAP-Tool vereinfacht das
Erstellen von Rollen. Wichtig: Rollen können sich in Ihren Berechtigungen überschneiden, wenn sie das gleiche Berechtigungsobjekt enthalten. Dann gilt immer die höhere Berechtigung.
Eigenerstellte Rollen dürfen nur außerhalb des SAP Namensraumes, also im kundeneigenen Namensraum liegen. Um die spätere Administration der Rollen zu vereinfachen, sollte die Namensgebung nach unternehmensspezifischen Regeln erfolgen.