Eigenschaften von Berechtigungsdefinitionen und ihren Werten
Die Funktionsweise des Berechtigungseditors ist an den Berechtigungseditor der SAP GUI angelehnt. Die einzelnen Spalten im Berechtigungseditor haben folgende Bedeutung.
Tabelle 16: Eigenschaften einer Berechtigungsdefinition
|
Funktionsdefinition / Berechtigungsobjektklasse / Berechtigungsobjekt / Funktionselement |
Hierarchie der Funktionsdefinition. Es werden die Berechtigungsobjekte und Funktionselemente in einer Baumstruktur abgebildet. |
|
Bearbeitungsstatus |
Bearbeitungsstatus der Objekte der Baumstruktur.
 : Für das Funktionselement ist kein Wert festgelegt.
 : Für das Funktionselement ist ein Wert festgelegt.
|
|
Hinzufügen |
Klicken Sie +, um weitere Objekte der Berechtigungsdefinition hinzuzufügen. Es wird ein untergeordnetes Objekt hinzugefügt.
Klicken Sie C, um das Funktionselement zu duplizieren. |
|
Entfernen |
Klicken Sie -, um Objekte aus der Berechtigungsdefinition zu entfernen. |
|
Beschreibung |
Beschreibung des Objekts. |
|
Beliebig |
Klicken Sie *, um den Wert eines Funktionselements auf * (beliebiger Wert) festzulegen. |
|
Wert / Untere Bereichsgrenze |
Zulässige Werte für das Funktionselement. Beispielsweise können Sie die SAP Berechtigungen auf konkrete SAP Gruppen einschränken. Wenn Sie einen Wertebereich festlegen, geben Sie hier den unteren Grenzwert an.
Werte können als Variablen eingefügt werden. Es können auch Systemvariablen genutzt werden.
In den Werten können Platzhalter genutzt werden. Weitere Informationen finden Sie unter Syntaxbeispiele für Werte. |
|
Obere Bereichsgrenze |
Oberer Grenzwert für den Wertebereich eines Funktionselements. Werte können als Variablen eingefügt werden.
Mit , verknüpfte Werte und * sind nicht zulässig.
Wenn Wert / Untere Bereichsgrenze mit , verknüpfte Werte oder * enthält, kann keine obere Bereichsgrenze erfasst werden. |
|
Funktionsargument |
Name des Funktionsarguments für das Berechtigungsobjekt. Der Name wird entsprechend dem Namensmuster im Konfigurationsparameter TargetSystem | SAPR3 | SAPRights | AbilityNamePattern automatisch gebildet. Er kann manuell geändert werden. |
Tabelle 17: Syntaxbeispiele für Werte
|
* |
beliebige Werte
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
ab oder 1234 |
|
beliebige Zeichenkette (ab) |
exakt den angegebenen Wert |
ab |
|
[*] |
den Wert * |
* |
|
Zeichenkette[*] (ab[*]) |
Werte, die exakt diese Zeichenkette und * enthalten |
ab* |
|
Zeichenkette* (ab*) |
Werte, die mit der angegebenen Zeichenkette beginnen und mit einer beliebigen Zeichenkette enden
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
abcd oder ab* |
|
Oder-Verknüpfung (01,02,78) |
einen der in der Liste enthaltenen Werte
Oder-Verknüpfungen können nicht für die obere Bereichsgrenze genutzt werden.
Kann nur als Einzelwert genutzt werden. Es kann keine obere Bereichsgrenze angegeben werden. |
01 oder 02 oder 78 |
|
Variable ($Var$) |
die in der Variable hinterlegten Werte |
|
|
Systemvariable ($Var) |
die in der Systemvariable hinterlegten Werte |
|
Um die Eigenschaften eines Funktionselements zu bearbeiten
Tabelle 18: Eigenschaften eines Funktionselements
|
Typ |
Angabe, ob es sich bei dem ausgewählten Funktionselement um eine Aktivität oder ein Berechtigungsfeld handelt. |
|
Bezeichnung |
Bezeichnung des Funktionselements. |
|
Untere Bereichsgrenze, Obere Bereichsgrenze |
Zulässige Werte für das Funktionselement. Wenn Sie einen Wertebereich festlegen, geben Sie den unteren und oberen Grenzwert an. Werte können als Variablen eingefügt werden.
Klicken Sie  , um Variablen aus den vorhandenen Variablesets auszuwählen. |
|
Beschreibung |
Detaillierte Beschreibung des Funktionselements. |
Detaillierte Informationen zum Thema
Verwenden von Variablen
Für Funktionselemente können in der Berechtigungsdefinition konkrete Werte angegeben werden. Um die Funktionsdefinition für verschiedene Funktionsausprägungen zu nutzen, können Sie stattdessen Variablen einsetzen. Dafür gelten folgende Festlegungen.
Neben den selbstdefinierten Variablen können in der Berechtigungsdefinition auch Systemvariablen verwendet werden. Systemvariablen haben folgende Syntax: ${character}+ (Beispiel: $AUFART).
Variablen müssen bei der Berechtigungsprüfung eindeutig identifizierbar sein. Daher dürfen die Variablennamen selbstdefinierter Variablen nicht den Systemvariablen entsprechen oder mit dem Namen von Systemvariablen beginnen.
Arbeitskopien aktivieren
SAP Berechtigungen werden nur anhand aktivierter SAP Funktionen überprüft. Mit der Aktivierung einer neuen Arbeitskopie wird eine aktive Funktionsdefinition angelegt. Änderungen an einer bestehenden Arbeitskopie werden durch die Aktivierung an die aktive Funktionsdefinition übernommen.
Um Änderungen an einer Arbeitskopie in eine Funktionsdefinition zu übernehmen
-
Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Arbeitskopien von Funktionsdefinitionen.
-
Wählen Sie in der Ergebnisliste die Funktionsdefinition.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren.
-
Bestätigen Sie die Sicherheitsabfrage mit OK.
Funktionsdefinitionen bearbeiten
Für jede Funktionsdefinition wird in der Datenbank eine Arbeitskopie angelegt. Um Funktionsdefinitionen zu ändern, bearbeiten Sie deren Arbeitskopien. Mit Aktivierung der Arbeitskopie wird die Funktionsdefinition produktiv nutzbar. SAP Berechtigungen werden nur anhand aktivierter Funktionsdefinitionen überprüft.
HINWEIS: One Identity Manager Benutzer mit der Anwendungsrolle Identity & Access Governance | Identity Audit | Pflege SAP Funktionen können bestehende Arbeitskopien bearbeiten, für die sie als Verantwortliche in den Stammdaten eingetragen sind.
Um eine bestehende Funktionsdefinition zu bearbeiten
-
Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Arbeitskopien von Funktionsdefinitionen.
-
Wählen Sie in der Ergebnisliste eine Arbeitskopie.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
- ODER -
Wählen Sie im Manager die Kategorie Identity Audit > SAP Funktionen > Funktionsdefinitionen.
-
Wählen Sie in der Ergebnisliste eine Funktionsdefinition.
-
Wählen Sie die Aufgabe Arbeitskopie erstellen.
Die Daten der bestehenden Arbeitskopie werden auf Nachfrage mit den Daten der aktiven Funktionsdefinition überschrieben. Die Arbeitskopie wird geöffnet und kann bearbeitet werden.
-
Bearbeiten Sie die Stammdaten der Arbeitskopie.
- Speichern Sie die Änderungen.
-
Wählen Sie die Aufgabe Arbeitskopie aktivieren und bestätigen Sie die Sicherheitsabfrage mit OK.
Die Änderungen an der Arbeitskopie werden auf die aktive Funktionsdefinition übertragen.
