Kommentare für SAP Berechtigungen, SAP-Berechtigungskonzepte, Technik | SyBeKlue-Blog http://blog.technik.berechtigung.sybeklue.de Wed, 05 Oct 2011 05:33:32 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Kommentar zu Ratgeber Techniken im Berechtigungswesen von Bernd http://blog.technik.berechtigung.sybeklue.de/allgemein/ratgeber-techniken-im-berechtigungswesen/comment-page-1/#comment-1244 Bernd Wed, 05 Oct 2011 05:33:32 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=434#comment-1244 Hallo Herr Paulsen, es ist natürlich klar, wenn neue Patches eingespielt werden, die Änderungen an den Objektvorschlagswerten enthalten, dann sollten diese natürlich eingepflegt werden, schon alleine um den Standard zu erhalten! Um was es mir geht, sind die oft nicht eindeutigen und nicht adaptieren Vorschläge in der SU24 zu verbessern, damit der "gelbe Ampelhimmel" verschwindet! Das macht enormen Aufwand und behindert so zu sagen zeitlebens! Es gibt gerade in <a href="https://www.xing.com/net/pric62d4ax/sapsecurity/berechtigungskonzeption-451465/nutzung-und-pflege-der-transaktion-su24-27642983/28453575/#28453575" target="_blank" rel="nofollow">XING</a> viele Diskussionen darüber, ob man Anpassungen im Standard machen soll oder nicht! Die Autoren sind natürlich dafür, die Rollenadmins natürlich nicht! Wenn hier Anpassungen gemacht werden, dann sollte dies m.E. der Hersteller via, Patch ausliefern! Ich habe selbst eine Installation beim Kunden gehabt, wo Anpassungen gemacht wurden. Der Umstieg von einem Patch zum anderen hat 3 Monate gedauert! Diesen Zusatzaufwand machen den Aufwand für die "paar" zusätzlichen gelben Ampeln bei jeder Rollenänderung nicht wett! Der Kunde wird in Zukunft diese Anpassungen nicht mehr tun! Gruß Bernd Klüppelberg Hallo Herr Paulsen,
es ist natürlich klar, wenn neue Patches eingespielt werden, die Änderungen an den Objektvorschlagswerten enthalten, dann sollten diese natürlich eingepflegt werden, schon alleine um den Standard zu erhalten!

Um was es mir geht, sind die oft nicht eindeutigen und nicht adaptieren Vorschläge in der SU24 zu verbessern, damit der “gelbe Ampelhimmel” verschwindet! Das macht enormen Aufwand und behindert so zu sagen zeitlebens!
Es gibt gerade in XING viele Diskussionen darüber, ob man Anpassungen im Standard machen soll oder nicht! Die Autoren sind natürlich dafür, die Rollenadmins natürlich nicht!

Wenn hier Anpassungen gemacht werden, dann sollte dies m.E. der Hersteller via, Patch ausliefern! Ich habe selbst eine Installation beim Kunden gehabt, wo Anpassungen gemacht wurden. Der Umstieg von einem Patch zum anderen hat 3 Monate gedauert!
Diesen Zusatzaufwand machen den Aufwand für die “paar” zusätzlichen gelben Ampeln bei jeder Rollenänderung nicht wett! Der Kunde wird in Zukunft diese Anpassungen nicht mehr tun!
Gruß
Bernd Klüppelberg

]]> Kommentar zu Ratgeber Techniken im Berechtigungswesen von Jan Paulsen http://blog.technik.berechtigung.sybeklue.de/allgemein/ratgeber-techniken-im-berechtigungswesen/comment-page-1/#comment-1243 Jan Paulsen Tue, 04 Oct 2011 15:15:32 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=434#comment-1243 Hallo Herr Klüppelberg, ich habe mich heute mit Ihrem e-Book beschäftigt, welches ich übrigens sehr gelungen finde. Hierzu würde ich gerne mal folgende Diskussion in den Raum werfen bzw. Sie um Ihre Meinung bitten :-) Die Autoren Lehnert und Bonitz (ein Buch welches Sie auf Ihren Seiten auch erwähnen) empfehlen m.E ausdrücklich die Änderung von Standardberechtigungsvorschlägen in der SU24 mit der Begründung einer besseren Auditierbarkeit sowie der Upgrade Sicherheit (S.202 ff.) Als QS-Richtwert geben die Autoren an, dass der Status Manuell/ Verändert von Berechtigungsobjekten maximal 10% betragen sollte. (Lassen sich solche Werte ohne das Herumschrauben an der SU24 denn überhaupt realisieren?) Sie hingegen empfehlen in Ihrem e-Book eine Anpassung der SU24 Vorschlagswerte ausschließlich für Z-Transaktionen, mit der Begründung eines erhöhten Pflegeaufwandes bei Releasewechseln. Gerade bei Upgrades sprechen Lehnert und Bonitz hingegen von einem erhöhtem Pflegeaufwand: "...wir haben technische Ausprägungen von Berechtigungskonzepten gesehen, in denen weniger als 2% der Berechtigungsobjekte im Status "standard" oder "gepflegt" waren. Damit wurde jedes Upgrade zu einem Extraprojekt im Berechtigungswesen, mit einem kalkulierten Aufwand, der dem einer regelbasierten Pflege um ein viefaches übertraf..." Verstehe ich hier nun etwas falsch, oder muss die Sache ganz einfach als "2 Autoren, 2Meinungen" akzeptieren? Vielen Dank und viele Grüße Jan Paulsen Hallo Herr Klüppelberg,

ich habe mich heute mit Ihrem e-Book beschäftigt, welches ich übrigens sehr gelungen finde. Hierzu würde ich gerne mal folgende Diskussion in den Raum werfen bzw. Sie um Ihre Meinung bitten :-)

Die Autoren Lehnert und Bonitz (ein Buch welches Sie auf Ihren Seiten auch erwähnen) empfehlen m.E ausdrücklich die Änderung von Standardberechtigungsvorschlägen in der SU24 mit der Begründung einer besseren Auditierbarkeit sowie der Upgrade Sicherheit (S.202 ff.) Als QS-Richtwert geben die Autoren an, dass der Status Manuell/ Verändert von Berechtigungsobjekten maximal 10% betragen sollte. (Lassen sich solche Werte ohne das Herumschrauben an der SU24 denn überhaupt realisieren?)

Sie hingegen empfehlen in Ihrem e-Book eine Anpassung der SU24 Vorschlagswerte ausschließlich für Z-Transaktionen, mit der Begründung eines erhöhten Pflegeaufwandes bei Releasewechseln.
Gerade bei Upgrades sprechen Lehnert und Bonitz hingegen von einem erhöhtem Pflegeaufwand: “…wir haben technische Ausprägungen von Berechtigungskonzepten gesehen, in denen weniger als 2% der Berechtigungsobjekte im Status “standard” oder “gepflegt” waren. Damit wurde jedes Upgrade zu einem Extraprojekt im Berechtigungswesen, mit einem kalkulierten Aufwand, der dem einer regelbasierten Pflege um ein viefaches übertraf…”

Verstehe ich hier nun etwas falsch, oder muss die Sache ganz einfach als “2 Autoren, 2Meinungen” akzeptieren?

Vielen Dank und viele Grüße
Jan Paulsen

]]> Kommentar zu Schnelltransport von Rollen zwischen Mandanten von Bernd http://blog.technik.berechtigung.sybeklue.de/sap-transporte/rollentransport-zwischen-mandanten1/comment-page-1/#comment-1227 Bernd Mon, 11 Jul 2011 15:46:57 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=191#comment-1227 Hallo Herr Felser, dass ein Profil kaputt geht, kenne ich nur, wenn z.B. ein Z-Objekt gelöscht wird, ohne dass die Rolle neu generiert wurde. Dann fallen alle Rollen, die das Objekt haben aus. Ich nehme ja an, dass Sie die Rollen normal transportieren. Was ich dabei auch schon erlebt habe, ist, wenn ich nur den Master transportiere, fallen alle abgeleiteten Rollen aus. Deshalb transportiere ich die abgeleiteten Rollen immer mit. Sonst fällt mir kein Auslöser ein. Aber den SAPPROFC_NEW können Sie gerne als Job periodisch morgens früh laufen lassen. Ich würde aber der Sache im Fall 1 oben doch nachgehen. Gruß Bernd Klüppelberg Hallo Herr Felser,
dass ein Profil kaputt geht, kenne ich nur, wenn z.B. ein Z-Objekt gelöscht wird, ohne dass die Rolle neu generiert wurde. Dann fallen alle Rollen, die das Objekt haben aus. Ich nehme ja an,
dass Sie die Rollen normal transportieren. Was ich dabei auch schon erlebt habe, ist, wenn ich nur den Master transportiere, fallen alle abgeleiteten Rollen aus. Deshalb transportiere ich die
abgeleiteten Rollen immer mit. Sonst fällt mir kein Auslöser ein. Aber den SAPPROFC_NEW können Sie gerne als Job periodisch morgens früh laufen lassen. Ich würde aber der Sache im Fall 1 oben doch nachgehen.

Gruß
Bernd Klüppelberg

]]> Kommentar zu Schnelltransport von Rollen zwischen Mandanten von Johann Felser http://blog.technik.berechtigung.sybeklue.de/sap-transporte/rollentransport-zwischen-mandanten1/comment-page-1/#comment-1226 Johann Felser Mon, 11 Jul 2011 15:08:28 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=191#comment-1226 Tja, da war ich vermutlich zu ungenau. Es geht den Benutzerabgleich sondern um den Status der Berechtigungsprofile, die immer wieder mal auf den Status "Profilabgleich erforderlich" fallen, erkenntlich an der roten Ampel am Karteireiter Berechtigungen in der PFCG. Dazu noch mal meine Fragen: Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)? Besten Dank und viele Grüße, Johann Felser Tja, da war ich vermutlich zu ungenau. Es geht den Benutzerabgleich sondern um den Status der Berechtigungsprofile, die immer wieder mal auf den Status “Profilabgleich erforderlich” fallen, erkenntlich an der roten Ampel am Karteireiter Berechtigungen in der PFCG. Dazu noch mal meine Fragen:
Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)?

Besten Dank und viele Grüße, Johann Felser

]]> Kommentar zu Schnelltransport von Rollen zwischen Mandanten von Bernd http://blog.technik.berechtigung.sybeklue.de/sap-transporte/rollentransport-zwischen-mandanten1/comment-page-1/#comment-1224 Bernd Fri, 01 Jul 2011 12:29:54 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=191#comment-1224 Hallo Herr Felser, vielen Dank für den Kommentar. Dass ein Profilabgleich notwendig wird, ist meist z.B. mit Transporten verbunden. Wenn ein Benutzer aktiv ist und sozusagen unter Ihm die Rolle neu importiert wird, dann kann ein Profilabgleich notwendig werden. Dazu steht entweder in der PFCG unter dem Reiter Benutzer der Profilabgleich zur Verfügung. Oder Sie starten die Transaktion PFCD! Sie können aber auch einen Job definieren der das Programm PFCG_TIME_DEPENDENCY aufruft. Dieser Job sollte mindestens einmal am Tag morgens laufen. Er führt einen kompletten Benutzerabgleich durch. Viele Grüße aus Mannheim Bernd Klüppelberg Hallo Herr Felser,
vielen Dank für den Kommentar.
Dass ein Profilabgleich notwendig wird, ist meist z.B. mit Transporten verbunden. Wenn ein Benutzer aktiv ist und sozusagen unter Ihm die Rolle neu importiert wird, dann kann ein Profilabgleich notwendig werden.
Dazu steht entweder in der PFCG unter dem Reiter Benutzer der Profilabgleich zur Verfügung. Oder Sie starten die Transaktion PFCD! Sie können aber auch einen Job definieren der das Programm PFCG_TIME_DEPENDENCY
aufruft. Dieser Job sollte mindestens einmal am Tag morgens laufen. Er führt einen kompletten Benutzerabgleich durch.

Viele Grüße aus Mannheim
Bernd Klüppelberg

]]> Kommentar zu Schnelltransport von Rollen zwischen Mandanten von Johann Felser http://blog.technik.berechtigung.sybeklue.de/sap-transporte/rollentransport-zwischen-mandanten1/comment-page-1/#comment-1223 Johann Felser Fri, 01 Jul 2011 11:01:25 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=191#comment-1223 Hallo Hr. Klüppelberg! Nachdem ich ich mich mit dem Thema SAP-Berechtigungen beschäftigen (herumschlagen ;-)) darf bin ich u.a. auch auf ihre Seite gestoßen. Ich konnte hier schon einige nützliche Hinweise mitnehmen und auch hatte auch schon einige Aha-Erlebnisse. Herzlichen Dank dafür!! Vielleicht können Sie mir auch eine Antwort auf meine Frage geben: Es kommt auf unseren Systemen immer wieder vor, dass bei Rollen ein Profilabgleich erforderlich wird. Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)? Besten Dank im Voraus! Johann Felser Hallo Hr. Klüppelberg!
Nachdem ich ich mich mit dem Thema SAP-Berechtigungen beschäftigen (herumschlagen ;-) ) darf bin ich u.a. auch auf ihre Seite gestoßen. Ich konnte hier schon einige nützliche Hinweise mitnehmen und auch hatte auch schon einige Aha-Erlebnisse.
Herzlichen Dank dafür!!
Vielleicht können Sie mir auch eine Antwort auf meine Frage geben: Es kommt auf unseren Systemen immer wieder vor, dass bei Rollen ein Profilabgleich erforderlich wird. Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)?

Besten Dank im Voraus!
Johann Felser

]]> Kommentar zu Einführung von neuen Organisationsebenen von Bernd http://blog.technik.berechtigung.sybeklue.de/berechtigungsobjekt/neue-organisationsebenen/comment-page-1/#comment-1220 Bernd Fri, 17 Jun 2011 02:56:33 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=272#comment-1220 Hallo Steefi, danke für den netten Kommentar. Es gibt Möglichkeiten, die sich aber auf Fremdprodukte beziehen, im Standard PFCG werden die Child-Rollen immer von der Masterrolle "überklatscht". Da es sich hier aber um Kontengruppen handelt, wäre mein Vorschlag, es mit Value-Rollen zu probieren. Im Master wird das entsprechende Objekt inaktiviert. Jeder Benutzer erhält entsprechend seiner Zugriffsberechtigung eine Value-Rolle, die nur die Kontengruppe(n) beinhaltet. Durch Ableitung des Masters werden in allen Child-Rollen auch die Objekte inaktiviert, die zugeordnete Value-Rolle aber lässt den Benutzer wieder zu einer Kontengruppe zu. Man kann - zur Vereinfachung der Useradministration - hier mit Sammelrollen vereinfachen. Oder man hat - und das habe ich schon bei einigen Kunden gemacht - sog. Musteruser angelegt, die nur kopiert werden müssen, ansonsten aber gesperrt angelegt sind. Man könnte im Userantrag für besondere Gebiete die Kontengruppen auch ankreuzen lassen, dahinter steht dann, die Zuordnung der entsprechenden Value-Rollen. Der entscheidende Vorteil dieser Methode, ist dass der User-Buffer (SU56) niedlich klein bleibt! Wie gesagt, es gibt auch Fremdprodukte, deren Rollen sich in SAP als Einzelrollen abbilden, im Produkt aber eine Vielzahl von Vererbungsmöglichkeiten unabhängig von Org-Ebenen anbieten. Gruß Bernd Klüppelberg Hallo Steefi,
danke für den netten Kommentar.
Es gibt Möglichkeiten, die sich aber auf Fremdprodukte beziehen, im Standard PFCG werden die Child-Rollen immer von der Masterrolle “überklatscht”.

Da es sich hier aber um Kontengruppen handelt, wäre mein Vorschlag, es mit Value-Rollen zu probieren.

Im Master wird das entsprechende Objekt inaktiviert. Jeder Benutzer erhält entsprechend seiner Zugriffsberechtigung eine Value-Rolle, die nur die Kontengruppe(n) beinhaltet.
Durch Ableitung des Masters werden in allen Child-Rollen auch die Objekte inaktiviert, die zugeordnete Value-Rolle aber lässt den Benutzer wieder zu einer Kontengruppe zu.
Man kann – zur Vereinfachung der Useradministration – hier mit Sammelrollen vereinfachen. Oder man hat – und das habe ich schon bei einigen Kunden gemacht – sog. Musteruser angelegt, die nur kopiert werden müssen, ansonsten aber gesperrt angelegt sind.

Man könnte im Userantrag für besondere Gebiete die Kontengruppen auch ankreuzen lassen, dahinter steht dann, die Zuordnung der entsprechenden Value-Rollen.
Der entscheidende Vorteil dieser Methode, ist dass der User-Buffer (SU56) niedlich klein bleibt!

Wie gesagt, es gibt auch Fremdprodukte, deren Rollen sich in SAP als Einzelrollen abbilden, im Produkt aber eine Vielzahl von Vererbungsmöglichkeiten unabhängig von Org-Ebenen anbieten.

Gruß
Bernd Klüppelberg

]]> Kommentar zu Einführung von neuen Organisationsebenen von Steefi http://blog.technik.berechtigung.sybeklue.de/berechtigungsobjekt/neue-organisationsebenen/comment-page-1/#comment-1219 Steefi Thu, 16 Jun 2011 19:19:57 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=272#comment-1219 Bin ja schon länger in SAP-Berechtigungsangelegenheiten unterwegs, aber heute erstmals hier in diesem Blog gelandet und ganz begeistert. Da wir gerade vor einem ähnlichen Problem stehen, z.B. Berechtigungsgruppen auf Konten neu zu definieren, möchte ich nicht für jede Kontengruppe, die ausgeprägt werden soll, eine neue Mutterrolle aufmachen, damit geht ja der Vorteil der Referenzrollen über die Wupper. Mal eben eine neue Orgebene on the Fly ist angesichts der hohen Anzahl weiterverwendeter Rollen in einem anderen Mandanten auch nicht gerade eine tolle Alternative. Gibt es neben der Verwendung von Werterollen nicht doch irgendeine Möglichkeit, in abgeleiteten Rollen zusätzliche Berechtigungsobjekte zu ergänzen, die man dann in der Mutterrolle vielleicht garnicht aufnimmt o. ä. Bei allen bisherigen Herangehensweisen sind mir meine Anpassungen in der abgeleiteten Rolle gnadenlos überklatscht worden. Bin ja schon länger in SAP-Berechtigungsangelegenheiten unterwegs, aber heute erstmals hier in diesem Blog gelandet und ganz begeistert.
Da wir gerade vor einem ähnlichen Problem stehen, z.B. Berechtigungsgruppen auf Konten neu zu definieren, möchte ich nicht für jede Kontengruppe, die ausgeprägt werden soll, eine neue Mutterrolle aufmachen, damit geht ja der Vorteil der Referenzrollen über die Wupper.
Mal eben eine neue Orgebene on the Fly ist angesichts der hohen Anzahl weiterverwendeter Rollen in einem anderen Mandanten auch nicht gerade eine tolle Alternative.
Gibt es neben der Verwendung von Werterollen nicht doch irgendeine Möglichkeit, in abgeleiteten Rollen zusätzliche Berechtigungsobjekte zu ergänzen, die man dann in der Mutterrolle vielleicht garnicht aufnimmt o. ä. Bei allen bisherigen Herangehensweisen sind mir meine Anpassungen in der abgeleiteten Rolle gnadenlos überklatscht worden.

]]> Kommentar zu Die Rolle für alle Benutzer (FALLE) von Katelin Coppin http://blog.technik.berechtigung.sybeklue.de/rolleninhalte/die-rolle-fuer-alle-benutzer-falle/comment-page-1/#comment-1216 Katelin Coppin Fri, 10 Jun 2011 10:16:27 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=410#comment-1216 Sehr netter & Informativer Post, werde den Blog wieder besuchen! Sehr netter & Informativer Post, werde den Blog wieder besuchen!

]]> Kommentar zu Die Rolle für alle Benutzer (FALLE) von Bernd http://blog.technik.berechtigung.sybeklue.de/rolleninhalte/die-rolle-fuer-alle-benutzer-falle/comment-page-1/#comment-1215 Bernd Wed, 08 Jun 2011 06:47:52 +0000 http://blog.technik.berechtigung.sybeklue.de/?p=410#comment-1215 Hallo Christian, Sie haben natürlich Recht, die SBWP sollte auch noch in die FALLE! Gruß Bernd Klüppelberg Hallo Christian,
Sie haben natürlich Recht, die SBWP sollte auch noch in die FALLE!
Gruß
Bernd Klüppelberg

]]>