SAP Jobsuche bei DV-Treff
Francoise
vor 10 Jahre
Guten Tag an die Forumteilnehmer,

ich habe folgende Aufgabe zu lösen:

Nachdem die GoLive-Phase vorbei ist, soll es keinen SAP-User mehr geben, der SAP_ALL Rechte hat.

Ich suche jetzt eine Rolle, die sozusagen eine Stufe unterhalb des SAP_ALL angeordnet ist.

Gibt es bei den ausgelieferten Standard-Rollen von SAP solch eine Rolle?

Wenn Nein, was ist der beste Weg so eine Rolle zu erstellen ?

Vielen Dank im Voraus für eine Lösung!

Francoise

waltersen
vor 10 Jahre
Hallo,

meines Wissens gibt es soetwas nicht.

Du solltest aber ein paar Sachen bedenken:

-Wo soll die Rolle greifen? Auf der Produktion sollte für normale User keine SM30, kein änderndes Debugging, keine SE37 (FuBas) etc geben. Falls SA38 erlaubt ist, dann mit Reportberechtigungsgruppen.

Auf dem Entwicklungssystem muss es natürlich eine Entwicklerrolle geben die obiges darf.

-Da auch auf der Produktion manchmal Eingriffe erforderlich sind, musst Du Dir Gedanken über eine Feuerwehrrolle machen. Die kann dann z.B. SM30. Wichtig wäre dann das organisatorische Umfeld: Wann wird die Rolle vergeben; gibt es User mit der Rolle, die bei Bedarf freigeschaltet werden; Protokollierung der Aktionen des Superusers; wer kontrolliert das etc.?

-Die Berechtigungen aus Rollen sind kumulativ. Hat jemand ganz viele Rollen, kann das schon ein quasi SAP_ALL bedeuten.

-Außerdem würde ich das ganze mit folgenden Leuten abstimmen: Fachbereich, IT (SAP betreuend), IT (für Support / Incident verantwortlich) und Revision.

Gruß

blausieben
vor 10 Jahre
Hallo Francoise,

wie waltersen schon schreibt: wer soll denn diese Rolle haben?

Und was meinst Du mit "eine Stufe unterhalb von SAP_ALL"? Was soll erlaubt sein, was nicht?

Eine anzeigendes SAP_ALL-Profil gibt es nicht im Standard und das umzusetzen ist auch ziemlich aufwendig.

Grüsse

blausieben


Release: SAP 4.6C - ECC 6.0 ||| Module: BC (bisschen MM/PP) ||| Betriebssysteme: Unix, Windows ||| Datenbanken: MaxDB ||| Basis Allgemein, Solutionmanager, Berechtigungen
mas
  • mas
  • SAP Forum - Guru
vor 10 Jahre
Hallo Francoise

kann mich im Wesentlichen den obigen Meinungen anschließen.

Hängt halt auch davon ab, wie euer Berechtigungskonzept aussieht.

Jeder User sollte auch nur die Rollen haben, die er für seine tägliche Arbeit benötigt.

Wir zusätzlich noch ein addon, wo man sich im Fall der Fälle mit einem "Notfalluser" anmelden kann - dieser hat SAP-ALL - beim Anmelden wird jedoch alles was der User macht mit protokolliert und kann dann von einem Admin auf Stimmigkeit geprüft werden. Dient dann auch als Nachweis gegenüber unseren externen Prüfern.

mas

Francoise
vor 10 Jahre
Danke sehr für alle Lösungsvorschläge/Ansätze - Ich werde mich an die Arbeit machen und einen User anlegen mit SAP_ALL Rechten - Diesem solange einzeln Rechte für bestimmte Objekte entziehen, bis er revisionstauglich erscheint?!?

Francoise

waltersen
vor 10 Jahre
Hallo,

bei uns wurde es umgekehrt gemacht. Der Superuser bekommt die Last Level Support Rolle.

Zusätzlich bekommt er eine weitere Rolle, in der die Feuerwehrfunktionalität drin ist.

Der Superuser kann ja durchaus SAP_ALL haben, wichtig ist wie bereits gesagt, dass es ein Verfahren gibt, was Fachbereich und Revision zufriedenstellt.

Bei uns läuft das wie folgt ab. Es gibt eine Störung, diese landet dann bei der IT als Last Level Support (User Help Desk und First Level Support konnten nichts ausrichten). Der Last Level analysiert die Sachlage und stellt fest, dass er einen Superuser braucht.

Dies wird ins Ticket geschrieben. Der Superuser wird von einer anderen IT Abteilung verwaltet und von dieser freigeschaltet.

Falls Tabellenänderungen zu machen sind sind, passiert dies mit einer SM30 Variante mit Protokollierung. Wird natürlich im Ticket dokumentiert.

Der Fachbereich kontrolliert später das Ticket und das Protokoll. Nach Beendigung der Reparatur wird der Superuser wieder gesperrt. Damit sind alle zufrieden.

Falls gleichartige Störungen häufiger auftreten, ist natürlich durch den Fachbereich und die SAP IT Ursachenforschung zu betreiben.

Du musst halt schauen wie das in eure Prozesse passt. Wenn es bei euch Incident Management (ITIL) gibt, lässt sich das sicherlich gut einbauen.

Gruß