Sicherheitsleitfaden SAP ERP Central Component - Marie Wagener

Sicherheitsleitfaden SAP ERP Central Component

Release 5.0

01.02.2005

Copyright © Copyright 2004 SAP AG. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die von SAP AG oder deren Vertriebsfirmen angebotenen Softwareprodukte können Softwarekomponenten auch anderer Softwarehersteller enthalten. Microsoft, Windows, Outlook, und PowerPoint sind eingetragene Marken der Microsoft Corporation. IBM, DB2, DB2 Universal Database, OS/2, Parallel Sysplex, MVS/ESA, AIX, S/390, AS/400, OS/390, OS/400, iSeries, pSeries, xSeries, zSeries, z/OS, AFP, Intelligent Miner, WebSphere, Netfinity, Tivoli, und Informix sind Marken oder eingetragene Marken der IBM Corporation in den USA und/oder anderen Ländern. Oracle ist eine eingetragene Marke der Oracle Corporation. UNIX, X/Open, OSF/1, und Motif sind eingetragene Marken der Open Group. Citrix, ICA, Program Neighborhood, MetaFrame, WinFrame, VideoFrame, und MultiWin sind Marken oder eingetragene Marken von Citrix Systems, Inc. HTML, XML, XHTML und W3C sind Marken oder eingetragene Marken des W3C®, World Wide Web Consortium, Massachusetts Institute of Technology. Java ist eine eingetragene Marke von Sun Microsystems, Inc. JavaScript ist eine eingetragene Marke der Sun Microsystems, Inc., verwendet unter der Lizenz der von Netscape entwickelten und implementierten Technologie. MaxDB ist eine Marke von MySQL AB, Schweden. SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver und weitere im Text erwähnte SAPProdukte und -Dienstleistungen sowie die entsprechenden Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und anderen Ländern weltweit. Alle anderen Namen von Produkten und Dienstleistungen sind Marken der jeweiligen Firmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. Die vorliegenden Angaben werden von SAP AG und ihren Konzernunternehmen („SAP-Konzern“) bereitgestellt und dienen ausschließlich Informationszwecken. Der SAP-Konzern übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Der SAP-Konzern übernimmt lediglich diejenige Garantie für Produkte und Dienstleistungen, die in den gegebenenfalls mit den jeweiligen Produkten und Dienstleistungen gelieferten ausdrücklichen Garantiererklärungen festgelegt sind. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Garantie.


5.0

2

01.02.2005

Symbole im Text Symbol

Bedeutung Achtung Beispiel Hinweis Empfehlung Syntax

In der SAP-Dokumentation werden weitere Symbole verwendet, die verdeutlichen, welche Art von Informationen ein Text enthält. Weitere Informationen finden Sie auf der Startseite jeder Version der SAP-Bibliothek unter Hilfe zur Hilfe → Allgemeine Informationsklassen und Informationsklassen für das Business Information Warehouse.

Typografische Konventionen Format

Beschreibung

Beispieltext

Wörter oder Zeichen, die vom Bildschirmbild zitiert werden. Dazu gehören Feldbezeichner, Bildtitel, Drucktastenbezeichner sowie Menünamen, Menüpfade und Menüeinträge. Querverweise auf andere Dokumentationen

Beispieltext

hervorgehobene Wörter oder Ausdrücke im Fließtext, Titel von Grafiken und Tabellen

BEISPIELTEXT

Namen von Systemobjekten. Dazu gehören Reportnamen, Programmnamen, Transaktionscodes, Tabellennamen und einzelne Schlüsselbegriffe einer Programmiersprache, die vo n Fließtext umrahmt sind, wie z.B. SELECT und INCLUDE

Beispieltext

Ausgabe auf der Oberfläche. Dazu gehören Datei- und Verzeichnisnamen und ihre Pfade, Meldungen, Quelltext, Namen von Variablen und Parametern sowie Namen von Installations-, Upgradeund Datenbankwerkzeugen.

Beispieltext

exakte Benutzereingabe. Dazu gehören Wörter oder Zeichen, die Sie genau so in das System eingeben, wie es in der Dokumentation angegeben ist.

variable Benutzereingabe. Die Wörter und Zeichen in spitzen Klammern müssen Sie durch entsprechende Eingaben ersetzen, bevor Sie sie in das System eingeben.

BEISPIELTEXT

Tasten auf der Tastatur, wie z.B. die Funktionstaste F2 oder die ENTER-Taste


5.0

3

01.02.2005

Sicherheitsleitfaden SAP ERP Central Component ............................................................. 8 Einführung .................................................................................................................... 8 Bevor Sie anfangen ....................................................................................................... 9 Technische Systemlandschaft ...................................................................................... 10 Benutzerverwaltung und -authentifizierung .................................................................... 11 Benutzerverwaltung.................................................................................................. 11 Synchronisierung der Benutzerdaten ......................................................................... 13 Integration in Single-Sign-On-Umgebungen ............................................................... 14 Berechtigungen........................................................................................................... 14 Netzwerk- und Kommunikationssicherheit..................................................................... 15 Sicherheit der Kommunikationskanäle ....................................................................... 16 Netzwerksicherheit................................................................................................... 17 Kommunikationsdestinationen................................................................................... 17 Sicherheit der Datenablage .......................................................................................... 17 Sicherheit weiterer Anwendungen ................................................................................ 18 Trace- und Protokolldateien ......................................................................................... 18 Anwendungsübergreifende Komponenten..................................................................... 18 Arbeitszeitblatt (CA-TS) ............................................................................................ 18 Berechtigungen .................................................................................................... 18 Kommunikationsdestinationen ............................................................................... 19 Self-Services ........................................................................................................... 20 Bevor Sie anfangen .............................................................................................. 20 Benutzerverwaltung .............................................................................................. 21 Berechtigungen .................................................................................................... 21 Rechnungswesen ........................................................................................................ 24 Finanzwesen ........................................................................................................... 24 Berechtigungen im Finanzwesen ........................................................................... 24 Berechtigungen in der Hauptbuchhaltung (FI-GL) ................................................... 27 Konsolidierung .................................................................................................. 28 Berechtigungen in der Kreditorenbuchhaltung (FI-AP)............................................. 29 Berechtigungen in der Debitorenbuchhaltung (FI-AR).............................................. 30 Berechtigungen in der Bankbuchhaltung (FI-BL) ..................................................... 31 Anlagenbuchhaltung (FI-AA).................................................................................. 32 Reisemanagement (FI-TV) .................................................................................... 33 Berechtigungen in den Speziellen Ledger (FI-SL) ................................................... 34 Treasury .............................................................................................................. 35 Berechtigungen................................................................................................. 35 Controlling ............................................................................................................... 37 Berechtigungen im Controlling ............................................................................... 40 Sicherheitsleitfaden SAP ERP Central Component

5.0

4

01.02.2005 Berechtigungen der Profitcenter-Rechnung ............................................................ 44 Netzwerk- und Kommunikationssicherheit .............................................................. 45 Kommunikationsdestinationen ............................................................................ 45 SAP Banking ........................................................................................................... 46 SAP Geschäftspartner für Financial Services (FS-BP)............................................. 46 Berechtigungen................................................................................................. 46 Sicherheit der Datenablage ................................................................................ 46 Bankenkontokorrent (BCA) .................................................................................... 47 Berechtigungen................................................................................................. 47 Netzwerk- und Kommunikationssicherheit........................................................... 47 Sicherheit der Datenablage ................................................................................ 48 Wichtige SAP Hinweise ..................................................................................... 48 Darlehensverwaltung (FS-CML)............................................................................. 48 Berechtigungen................................................................................................. 48 Sicherheit der Datenablage ................................................................................ 51 Strategic Enterprise Management (SEM) für Banken............................................... 51 Berechtigungen................................................................................................. 51 Netzwerk- und Kommunikationssicherheit........................................................... 52 Kommunikationsdestinationen ............................................................................ 53 Sicherheit der Datenablage ................................................................................ 53 Provisionsmanagement (ICM) ................................................................................... 53 Immobilienmanagement ........................................................................................... 54 Public Sector Management ....................................................................................... 54 Berechtigungen .................................................................................................... 54 Netzwerk- und Kommunikationssicherheit .............................................................. 56 Sicherheit der Datenablage ................................................................................... 56 Weitere sicherheitsrelevante Informationen ............................................................ 56 Logistik ....................................................................................................................... 58 Materialwirtschaft (MM) ............................................................................................ 58 Einkauf und Dienstleistungen (MM-PUR, MM-SRV) ................................................ 58 Berechtigungen................................................................................................. 58 Netzwerk- und Kommunikationssicherheit........................................................... 60 Sicherheit der Datenablage ................................................................................ 62 Bestandsführung (MM-IM): Berechtigungen ............................................................ 62 Logistik-Rechnungsprüfung (MM-IV): Berechtigungen............................................. 64 Product Lifecycle Management (PLM) ....................................................................... 65 Berechtigungen .................................................................................................... 65 Kommunikationsdestinationen ............................................................................... 75 Wichtige SAP-Hinweise......................................................................................... 75 Manufacturing .......................................................................................................... 77


5.0

5

01.02.2005 Berechtigungen .................................................................................................... 77 Kommunikationsdestinationen ............................................................................... 81 Logistics Execution (LE) ........................................................................................... 81 Dezentrale Lagerwirtschaft (LE-IDW), Versand (LE-SHP), Transport (LE-TRA)......... 81 Berechtigungen................................................................................................. 81 Netzwerk- und Kommunikationssicherheit........................................................... 84 Warehouse-Management-System (LE-WMS) ......................................................... 85 Berechtigungen................................................................................................. 85 Netzwerk- und Kommunikationssicherheit........................................................... 86 Task and Resource Management (LE-TRM), Yard-Management (LE-YM), CrossDocking (LE-WM-CDK), Logistische Zusatzleistungen............................................. 87 Berechtigungen................................................................................................. 87 Netzwerk- und Kommunikationssicherheit........................................................... 88 Retail ...................................................................................................................... 90 Netzwerk- und Kommunikationssicherheit .............................................................. 90 Berechtigungen .................................................................................................... 92 Global Trade............................................................................................................ 95 Netzwerk- und Kommunikationssicherheit .............................................................. 95 Vertrieb (SD)............................................................................................................ 96 Personalwirtschaft ....................................................................................................... 98 Personalmanagement (PA) ....................................................................................... 98 Bevor Sie anfangen .............................................................................................. 98 Benutzerverwaltung .............................................................................................. 99 Berechtigungen .................................................................................................. 101 Sicherheit der Kommunikationskanäle.................................................................. 103 Kommunikationsdestinationen ............................................................................. 104 Sicherheit der Datenablage ................................................................................. 105 Sicherheit weiterer Anwendungen ........................................................................ 107 Weitere sicherheitsrelevante Informationen .......................................................... 107 Personalzeitwirtschaft (PT) ..................................................................................... 108 Benutzerverwaltung ............................................................................................ 108 Berechtigungen .................................................................................................. 109 Kommunikationsdestinationen ............................................................................. 110 Personalabrechnung (PY)....................................................................................... 111 Bevor Sie anfangen ............................................................................................ 111 Benutzerverwaltung ............................................................................................ 111 Berechtigungen .................................................................................................. 112 Sicherheit der Kommunikationskanäle.................................................................. 113 Kommunikationsdestinationen ............................................................................. 114 Sicherheit der Datenablage ................................................................................. 114


5.0

6

01.02.2005 Sicherheit weiterer Anwendungen ........................................................................ 114 Weitere sicherheitsrelevante Informationen .......................................................... 115 SAP Learning Solution ........................................................................................... 116 Technische Systemlandschaft ............................................................................. 116 Persistenz....................................................................................................... 116 Lernportal (LSOFE) ......................................................................................... 118 Content Player (LSOCP) .................................................................................. 119 Offline Player (LSOOP).................................................................................... 120 Autorenumgebung (LSOAE)............................................................................. 121 Umgebung für den Trainingsadministrator ......................................................... 122 Benutzerverwaltung ............................................................................................ 123 Berechtigungen .................................................................................................. 126 Sicherheit der Kommunikationskanäle.................................................................. 127 Weitere sicherheitsrelevante Informationen .......................................................... 131 SAP E-Recruiting ................................................................................................... 132 Bevor Sie anfangen ............................................................................................ 132 Technische Systemlandschaft ............................................................................. 132 Benutzerverwaltung ............................................................................................ 134 Berechtigungen .................................................................................................. 136 Sicherheit der Kommunikationskanäle.................................................................. 138 Kommunikationsdestinationen ............................................................................. 139 Sicherheit der Datenablage ................................................................................. 140 Verteidigungskräfte & Öffentliche Sicherheit................................................................ 141 Berechtigungen...................................................................................................... 141 Anhang..................................................................................................................... 143


5.0

7

01.02.2005

Sicherheitsleitfaden SAP ERP Central Component Der folgende Leitfaden umfasst Informationen, die Sie zum sicheren Betreiben der SAP ERP Central Component benötigen. Zur besseren Übersicht sind die Informationen in einen allgemeinen Teil, der auf alle Komponenten zutreffende Informationen enthält, und einen für die Anwendungsbereiche und deren Anwendungskomponenten spezifischen Teil untergliedert.

Einführung Der vorliegende Leitfaden ist kein Ersatz für ein Handbuch für den täglichen produktiven Betrieb, wie es SAP empfiehlt.

Zielgruppe •

Technologieberater

•

Systemadministratoren

Die im vorliegenden Dokument enthaltenen Informationen sind in den Installations- und Konfigurationsleitfäden sowie den technischen Handbüchern und Upgrade-Leitfäden der im Folgenden genannten Komponenten nicht enthalten. Diese Leitfäden sind nur für eine bestimmte Phase des Software-Lebenszyklus relevant, während ein Sicherheitsleitfaden Informationen liefert, die alle Phasen betreffen.

Warum ist Sicherheit notwendig? Der zunehmende Einsatz verteilter Systeme und des Internets bei der Verwaltung von Geschäftsdaten führt auch zu steigenden Anforderungen an die Sicherheit. Bei einem verteilten System müssen Sie sicher sein, dass Ihre Daten und Prozesse die Bedürfnisse Ihres Unternehmens unterstützen, ohne unberechtigten Zugriff auf kritische Informationen zu ermöglichen. Fehler der Anwender, Nachlässigkeit oder Manipulationsversuche an Ihrem System dürfen nicht Informations- oder Verarbeitungsverluste nach sich ziehen. Diese Sicherheitsanforderungen gelten entsprechend auch für die SAP ERP Central Component. Das vorliegende Dokument soll Ihnen helfen, die SAP ERP Central Component abzusichern.

Über dieses Dokument Der Sicherheitsleitfaden bietet einen Überblick über Informationen zum sicheren Betreiben der SAP ERP Central Component. Die SAP ERP Central Component umfasst die Kernkomponenten Rechnungswesen, Logistik und Personalwirtschaft sowie weitere Komponenten, die über diese Kernkomponenten übergreifend Einsatz finden. Wo bereits vorhanden, verweist der Leitfaden auf die bereits existierenden Sicherheitsleitfäden oder die entsprechende Dokumentation, in der Sicherheitsaspekte erörtert werden. Da die SAP ERP Central Component auf der Technologie von SAP NetWeaver basiert und diese einsetzt, beachten Sie unbedingt den Sicherheitsleitfaden von SAP NetWeaver auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → Release/Language → SAP NetWeaver → Sicherheit → SAP NetWeaver Security Guide. Alle von SAP veröffentlichten Sicherheitsleitfäden finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide. Überblick über die Hauptabschnitte Der Sicherheitsleitfaden besteht aus folgenden Hauptabschnitten: •

Bevor Sie anfangen Dieser Abschnitt enthält Informationen darüber, warum Sicherheit erforderlich ist, wie


5.0

8

01.02.2005 das Dokument einzusetzen ist und Verweise auf andere Sicherheitsleitfäden, die die Grundlage für diesen Sicherheitsleitfaden bilden. •

Technische Systemlandschaft Dieser Abschnitt bietet einen Überblick über die technischen Komponenten und Kommunikationspfade, welche die SAP ERP Central Component verwendet.

•

Benutzerverwaltung und –authentifizierung Dieser Abschnitt bietet einen Überblick über folgende Aspekte der Benutzerverwaltung und -authentifizierung: ¡

für die Benutzerverwaltung empfohlene Werkzeuge

¡

für die SAP ERP Central Component erforderliche Benutzertypen

¡

mit der SAP ERP Central Component ausgelieferte Standardbenutzer

¡

Überblick über die Benutzersynchronisationsstrategie, wenn mehrere Komponenten oder Produkte eingebunden sind

¡

Überblick über die Integrationsmöglichkeiten in Single-Sign-On-Umgebungen

•

Berechtigungen Dieser Abschnitt bietet einen Überblick über das Berechtigungskonzept, das für die SAP ERP Central Component gilt.

•

Netzwerk- und Kommunikationssicherheit Dieser Abschnitt bietet einen Überblick über die Kommunikationspfade, welche die SAP ERP Central Component verwendet, sowie über die anzuwendenden Sicherheitsmechanismen. Er umfasst auch unsere Empfehlungen für die Netzwerktopologie, um den Zugriff auf die Netzwerkebene einzuschränken.

•

Sicherheit der Datenablage Dieser Abschnitt bietet einen Überblick über alle kritischen Daten, welche die SAP ERP Central Component verwendet, sowie über die anzuwendenden Sicherheitsmechanismen.

•

Sicherheit für Anwendungen externer Hersteller oder zusätzliche Anwendungen Dieser Abschnitt enthält Sicherheitsinformationen, die für Anwendungen externer Hersteller oder zusätzliche Anwendungen gelten, die zusammen mit der SAP ERP Central Component eingesetzt werden.

•

Trace- und Protokolldateien Dieser Abschnitt bietet einen Überblick über die Trace- und Protokolldateien, die sicherheitsrelevante Informationen enthalten, und die Ihnen z. B. bei einem Sicherheitsverstoß eine Reproduktion der Aktivitäten ermöglichen.

•

Anhang Dieser Abschnitt enthält Verweise auf weiterführende Informationen.

Bevor Sie anfangen Zu Grunde liegende Sicherheitsleitfäden Die SAP ERP Central Component baut auf SAP NetWeaver auf. Daher gilt der Sicherheitsleitfaden von SAP NetWeaver auch für die SAP ERP Central Component. Sofern weitere Leitfäden zu berücksichtigen sind, finden Sie einen entsprechenden Hinweis in der Dokumentation zu den einzelnen Komponenten im vorliegenden Leitfaden. Eine vollständige Liste aller verfügbaren SAP-Sicherheitsleitfäden erhalten Sie im SAP Service Marketplace unter dem Quick Link securityguide.


5.0

9

01.02.2005

Wichtige SAP-Hinweise SAP-Hinweis 783758 aktualisiert den vorliegenden Leitfaden nach seiner Veröffentlichung und ergänzt wichtige Informationen. SAP-Hinweis 138498 enthält Informationen zu Single-Sign-On-Lösungen. Sicherheitsrelevante Hinweise zu den Teilkomponenten der SAP ERP Central Component finden Sie in der Dokumentation zu den einzelnen Komponenten im vorliegenden Leitfaden. Weitere SAP-Hinweise zum Thema Sicherheit finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/security → SAP Security Notes.

Zusatzinformationen Weitere Informationen zu Spezialthemen erhalten Sie unter den in der nachfolgenden Tabelle genannten Quick Links. Quick Links zu weiterführenden Informationen Inhalt

Quick Link zum SAP Service Marketplace

Sicherheit

service.sap.com/security

Sicherheitsleitfäden, Sicherheitsleitfaden SAP NetWeaver

service.sap.com/securityguide

Dokumentation SAP NetWeaver

help.sap.com → Documentation → SAP NetWeaver

Installationsleitfaden SAP NetWeaver

service.sap.com → SAP Support Portal → Tools & Methods → Installation Guides → SAP NetWeaver

Verwandte SAP-Hinweise

service.sap.com/notes

Zulässige Plattformen

service.sap.com/platforms

Netzwerksicherheit

service.sap.com/network

Technische Infrastruktur

service.sap.com/ti

SAP Solution Manager

service.sap.com/solutionmanager

Technische Systemlandschaft Einen Überblick über die Systemlandschaft der SAP ERP Central Component finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/ti. Weitere Informationen zur technischen Systemlandschaft erhalten Sie in den Quellen, die in nachfolgender Tabelle aufgeführt sind. Weitere Informationen zur technischen Systemlandschaft Thema

Leitfaden/Werkzeug

Quick Link zum SAP Service Marketplace

Technische Beschreibung der SAP ERP Central Component und der zu Grunde liegenden technologischen Komponenten, wie SAP NetWeaver

Master Guide

service.sap.com/instguides → mySAP Business Suite Solutions → mySAP ERP → mySAP ERP → SAP ECC 5.0


5.0

10

01.02.2005

Technische Konfiguration Hochverfügbarkeit

Technical Infrastructure Guide

service.sap.com/ti service.sap.com/security

Sicherheit

Benutzerverwaltung und -authentifizierung Die SAP ERP Central Component verwendet die Benutzerverwaltungs- und Benutzerauthentifizierungsmechanismen der Plattform SAP NetWeaver und insbesondere des SAP Web Application Server. Daher gelten die Sicherheitsempfehlungen und –richtlinien der Benutzerverwaltung und –authentifizierung, wie sie im SAP Web AS Security Guide for ABAP Technology beschrieben sind auch für die SAP ERP Central Component. Zusätzlich zu diesen Richtlinien geben wir Ihnen in folgenden Abschnitten Informationen zur Benutzerverwaltung und -authentifizierung, die speziell für die Teilkomponenten der SAP ERP Central Component gelten: •

Benutzerverwaltung Dieser Abschnitt führt die Werkzeuge der Benutzerverwaltung, die erforderlichen Benutzertypen und die Standardbenutzer auf, die SAP ausliefert.

•

Synchronisierung der Benutzerdaten Die Komponenten der SAP ERP Central Component können Benutzerdaten gemeinsam mit anderen Komponenten verwenden. Dieser Abschnitt beschreibt, wie die Benutzerdaten mit diesen anderen Quellen synchronisiert werden.

•

Integration in Single-Sign-On-Umgebungen Dieser Abschnitt beschreibt, wie die SAP ERP Central Component Single-Sign-OnMechanismen unterstützt.

Benutzerverwaltung Verwendung Die Benutzerverwaltung der SAP ERP Central Component verwendet die durch den SAP Web Application Server für ABAP angebotenen Mechanismen, wie Werkzeuge, Benutzertypen und Kennwortkonzept. Einen Überblick darüber, wie diese Mechanismen die SAP ERP Central Component betreffen, erhalten Sie in den nachfolgenden Abschnitten. Außerdem erhalten Sie eine Liste der Standardbenutzer, die zum Betrieb der Teilkomponenten der SAP ERP Central Component erforderlich sind. Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung der SAP ERP Central Component. Werkzeuge der Benutzerverwaltung Werkzeug

Beschreibung

Benutzerpflege für ABAP-basierte Systeme (Transaktion SU01)

Weitere Informationen zu den durch die Teilkomponenten der SAP ERP Central Component bereitgestellten Berechtigungsobjekten finden Sie im vorliegenden Dokument unter der entsprechenden Komponente im Abschnitt Berechtigungen.


5.0

11

01.02.2005

Rollenpflege mit dem Profilgenerator für ABAP-basierte Systeme (PFCG)

Weitere Informationen zu den durch die Teilkomponenten der SAP ERP Central Component bereitgestellten Rollen finden Sie im vorliegenden Dokument unter der entsprechenden Komponente im Abschnitt Berechtigungen.

Central User Administration (CUA) für die Pflege multipler ABAP-basierter Systeme User Management Engine (UME)

Administrationskonsole zur Pflege von Benutzern, Rollen und Berechtigungen in Java-basierten Systemen und im Enterprise Portal Die UME bietet auch Persistenzoptionen, wie die ABAP Engine.

Weitere Informationen zu den Werkzeugen, die SAP für die Benutzerverwaltung mit SAP NetWeaver bereitstellt, finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → User Administration and Authentication. Benutzertypen Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für die SAP ERP Central Component erforderliche Benutzertypen sind z. B.: •

•

einzelne Benutzer: ¡

Dialogbenutzer Dialogbenutzer werden für SAP GUI for Windows verwendet.

¡

Internetbenutzer für Web-Anwendungen Für sie gelten dieselben Konzepte wie für Dialogbenutzer, aber sie werden für Internetverbindungen verwendet.

technische Benutzer ¡

Service-Benutzer sind Dialogbenutzer, die einem größeren Kreis anonymer Benutzer zur Verfügung stehen (z. B. für einen anonymen Systemzugang über einen ITS-Service).

¡

Kommunikationsbenutzer dienen der dialogfreien Kommunikation zwischen Systemen.

¡

Hintergrundbenutzer werden bei der Hintergrundverarbeitung eingesetzt.

Weitere Informationen zu diesen Benutzertypen erhalten Sie im Sicherheitsleitfaden von SAP NetWeaver unter User Types. Standardbenutzer Nachfolgende Tabelle zeigt die Standardbenutzer, die für den Betrieb der SAP ERP Central Component erforderlich sind.


5.0

12

01.02.2005 Standardbenutzer System

Benutzerkennung

Typ

Kennwort

Beschreibung

SAP Web AS adm

Administrator SAP-System

muss eingegeben werden


SAP Web AS SAP Service

Service Administrator SAP-System



SAP Web AS SAP Standard

siehe Sicherheitsleitfaden SAP NetWeaver


service.sap.com/security guide → SAP NetWeaver Security Guide → Security Guides for the SAP NetWeaver Products → SAP Web Application Server Security Guide → SAP Web AS Security Guide for ABAP Technology → User Authentication → Protecting Standard Users



Dieser Benutzer findet bei Applikationen Verwendung, die Web Dynpro nutzen.

Dialogbenutzer


Die Anzahl der Benutzer hängt vom Einsatzgebiet und den zu verarbeitenden Geschäftsdaten ab.

ABAP Benutzer (SAP*, DDIC, EARLYWATC H, SAPCPIC)

SAP Web AS SAP Standard SAP Web AS JavaBenutzer SAP ECC

SAP Benutzer

Weitere Informationen zu Standardbenutzern in SAP NetWeaver finden Sie auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → Release xx/Sprache → Sicherheit → Identity Management → Benutzer und Rollen (BC-SEC-USR) → Benutzerpflege → Anmelde- und Kennwortschutz im SAP-System → Kennwortregeln. Informationen zu Benutzertypen finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → User Administration and Authentication → User Management im Absatz User Types. Die genannten Benutzer werden mit der SAP ERP Central Component ausgeliefert.

Synchronisierung der Benutzerdaten Verwendung Durch die Synchronisierung von Benutzerdaten können Sie den Aufwand für die Benutzerverwaltung in Ihrer Systemlandschaft reduzieren. Da die SAP ERP Central Component auf SAP NetWeaver basiert, stehen Ihnen hier auch alle Mechanismen zur Benutzersynchronisierung von SAP NetWeaver zur Verfügung. Weitere Informationen finden Sie im Sicherheitsleitfaden von SAP NetWeaver auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → User Administration and Authentication → Integration of User Management in Your System Landscape.


5.0

13

01.02.2005

Benutzerdaten können Sie verteilt nutzen, indem Sie die Daten z. B. in ein zentrales Verzeichnis, wie LDAP, replizieren.

Integration in Single-Sign-On-Umgebungen Verwendung Die SAP ERP Central Component unterstützt die durch den SAP Web Application Server for ABAP Technology bereitgestellten Single-Sign-On-Mechanismen (SSO-Mechanismen). Daher gelten die Sicherheitsempfehlungen und –richtlinien für die Benutzerverwaltung und – authentifizierung, wie sie im Security Guide des SAP Web Application Server beschrieben sind auch für die SAP ERP Central Component. Die unterstützten Mechanismen sind im Folgenden aufgeführt. Secure Network Communications (SNC) SNC ist für die Benutzerauthentifizierung verfügbar und stellt bei Verwendung des SAP GUI for Windows oder Remote Function Calls eine SSO-Umgebung bereit. Weitere Informationen erhalten Sie im SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → Security Guides for the SAP NetWeaver Products → SAP Web Application Server Security Guide → SAP Web AS Security Guide for ABAP Technology → User Authentication → Authentication and Single Sign-On → Secure Network Communications (SNC) . SAP-Anmeldetickets Bei Verwendung eines Web-Browsers als Frontend-Client unterstützt die SAP ERP Central Component den Einsatz von Anmeldetickets für SSO. In diesem Fall kann den Benutzern ein Anmeldeticket ausgestellt werden, nachdem sie sich am ursprünglichen SAP-System authentifiziert haben. Das Ticket kann dann anderen Systemen (SAP- oder externen Systemen) als Authentifizierungstoken vorgelegt werden. Der Benutzer muss zur Authentifizierung weder Benutzerkennung noch Kennwort eingeben, sondern kann direkt auf das System zugreifen, nachdem dieses sein Anmeldeticket überprüft hat. Weitere Informationen erhalten Sie im Sicherheitsleitfaden des SAP Web Application Server unter SAP Logon Tickets. Client-Zertifikate Alternativ zu einer Benutzerauthentifizierung mit Benutzerkennung und Kennwörtern können Benutzer, die einen Web-Browser als Frontend-Client verwenden, auch ein X.509-ClientZertifikat zur Authentifizierung vorlegen. In diesem Fall erfolgt die Benutzerauthentifizierung auf dem Web-Server unter Verwendung des Secure-Sockets-Layer-Protokolls (SSLProtokolls). Dabei werden keine Kennwörter übertragen. Die Benutzerberechtigungen gelten gemäß dem Berechtigungskonzept im SAP-System. Weitere Informationen erhalten Sie im Sicherheitsleitfaden des SAP Web Application Server unter Client Certificates .

Berechtigungen Verwendung Die SAP ERP Central Component verwendet die durch den SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP beschrieben sind, auch für die SAP ERP Central Component. Mit Hilfe von Berechtigungen können Sie den Zugriff der Benutzer auf das System einschränken und somit Transaktionen und Programme vor unberechtigtem Zugriff schützen.


5.0

14

01.02.2005 Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG) und auf dem SAP Web AS Java die Benutzerverwaltungskonsole der User Management Engine (UME). Mit Hilfe von Rollen können Sie benutzerspezifische Menüs definieren. Standardrollen und Standardberechtigungsobjekte SAP liefert Standardrollen aus, welche die häufigsten Geschäftsvorfälle abdecken sollen. Nutzen Sie diese Rollen als Vorlage für eigene Rollen. Eine Liste der Standardrollen und Standardberechtigungsobjekte, welche die Teilkomponenten der SAP ERP Central Component verwenden, finden Sie im vorliegenden Dokument im Abschnitt zur jeweiligen Komponente. Informationen zu Rollen und Berechtigungen im Reisemanagement (FI-TV) finden Sie im vorliegenden Leitfaden im Kapitel Rechnungswesen unter Finanzwesen.

Bevor Sie die gelisteten Rollen einsetzen, prüfen Sie, ob die durch SAP ausgelieferten Standardrollen Ihren Anforderungen genügen. Weitere Informationen zum Berechtigungskonzept bei SAP erhalten Sie:

§

im SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide im SAP NetWeaver Security Guide → Security Guides for the SAP NetWeaver Products → SAP Web Application Server Security Guide → SAP Web AS Security Guide for ABAP Technology → SAP Authorization Concept

§

im SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → Release/Sprache → Sicherheit → Identity-Management → Benutzer und Rollen (BC-SEC-USR) → SAPBerechtigungskonzept → Organisation der Berechtigungsverwaltung → Organisation bei Verwendung des Profilgenerators → Rollenpflege

Netzwerk- und Kommunikationssicherheit Ihre Netzwerkinfrastruktur ist für den Schutz Ihres Systems äußerst wichtig. Ihr Netzwerk muss die für Ihr Unternehmen und Ihre Anforderungen erforderliche Kommunikation unterstützen, ohne unberechtigten Zugriff zu gestatten. Eine klar definierte Netzwerktopologie kann viele auf Softwarefehlern basierende Sicherheitsrisiken (auf Ebene des Betriebssystems wie auch auf Anwendungsebene) oder Angriffe auf das Netzwerk, wie Abhören, beseitigen. Wenn sich an Ihren Anwendungs- oder Datenbankservern auf Betriebssystem- oder Datenbankebene kein Benutzer anmelden kann, haben Eindringlinge keine Möglichkeit, die Maschinen zu missbrauchen und auf die Datenbank oder Dateien eines Backend-Systems zuzugreifen. Wenn sich die Benutzer nicht mit dem Server-LAN (Local Area Network) verbinden können, können Sie außerdem keine bekannten Fehler und Sicherheitslücken in Netzwerkdiensten auf den Servern ausnutzen. Die Netzwerktopologie für die SAP ERP Central Component basiert auf der von der SAPNetWeaver-Plattform verwendeten Topologie. Daher gelten die Sicherheitsrichtlinien und empfehlungen, die im Sicherheitsleitfaden für SAP NetWeaver beschrieben sind, auch für die SAP ERP Central Component. Details, die speziell die SAP ERP Central Component betreffen, werden in den folgenden Abschnitten beschrieben: •

Sicherheit des Kommunikationskanals Unter dieser Überschrift finden Sie im Folgenden eine Beschreibung der Kommunikationspfade und -protokolle, welche die Teilkomponenten der SAP ERP Central Component verwenden.


5.0

15

01.02.2005 •

Netzwerksicherheit Unter dieser Überschrift finden Sie im Folgenden Informationen zu der für die Teilkomponenten der SAP ERP Central Component empfohlenen Netzwerktopologie. Der Abschnitt zeigt die entsprechenden Netzwerksegmente der verschiedenen Clientund Serverkomponenten und wo Firewalls als Zugriffsschutz zu verwenden sind. Außerdem enthält er eine Liste der Ports, die für den Betrieb der Teilkomponenten der SAP ERP Central Component erforderlich sind.

•

Kommunikationsdestinationen Unter dieser Überschrift finden Sie im Folgenden die für die verschiedenen Kommunikationspfade erforderlichen Daten, z. B. welcher Benutzer für welche Kommunikation verwendet wird.

Weitere Informationen erhalten Sie in folgenden Abschnitten des Sicherheitsleitfadens von SAP NetWeaver: •

Network and Communication Security

•

Security Aspects for Connectivity and Interoperability

Sicherheit der Kommunikationskanäle Verwendung Da Kommunikationskanäle die verschiedensten Geschäftsdaten übertragen, sollten sie vor unerlaubtem Zugriff geschützt werden. SAP gibt allgemeine Empfehlungen und stellt Technologien zum Schutz Ihrer Systemlandschaft basierend auf SAP NetWeaver bereit. Nachfolgende Tabelle zeigt die Kommunikationspfade, welche die SAP ERP Central Component verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Kommunikationspfade Kommunikationspfade

Verwendetes Protokoll

Art der übertragenen Daten

Besonders zu schützende Daten

Anwendungsserver an Anwendungsserver

RFC, HTTP(S)

Integrationsdaten

Geschäftsdaten

Anwendungsserver an Anwendung eines Drittanbieters

HTTP(S)

Anwendungsdaten

z. B. Passwörter, Geschäftsdaten

DIAG- und RFC-Verbindungen können Sie mit Secure Network Communications (SNC) schützen. HTTP-Verbindungen werden mit dem Secure-Sockets-Layer-Protokoll (SSLProtokoll) geschützt. Weitere Informationen erhalten Sie im Sicherheitsleitfaden von SAP NetWeaver auf dem SAP Service Marketplace unter der Adresse service.sap.com/securityguide im Abschnitt Transport Layer Security. Informationen zu Aspekten der Sicherheit bei der Integration der SAP ERP Central Component mit dem SAP Business Information Warehouse und dem SAP Supply Chain Management finden Sie auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide: •

SAP Supply Chain Management → Authorizations/Communication Channel Security/Communication Destinations

•

SAP Business Information Warehouse Security Guides → Communication Security → Communication Destinations


5.0

16

01.02.2005

Netzwerksicherheit Da die SAP ERP Central Component auf der Technologie von SAP NetWeaver basiert, beachten Sie zum Thema Netzwerksicherheit die folgenden Kapitel des Sicherheitsleitfadens von SAP NetWeaver auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → Network and Communication Security: •

Network Services Hier finden Sie Informationen zu den Diensten und Ports, die SAP NetWeaver verwendet.

•

Using Firewall Systems for Access Control Hier finden Sie Informationen zu Firewall-Einstellungen.

•

Using Multiple Network Zones Hier finden Sie Informationen dazu, in welchen Netzwerksegmenten die einzelnen Teile Ihrer Anwendung eingerichtet werden sollten.

Sofern Sie Services im Internet anbieten, sollten Sie Ihre Netzwerkinfrastruktur mindestens durch eine Firewall schützen. Sie können die Sicherheit Ihres Systems (oder Gruppen von Systemen) noch erhöhen, indem Sie die „Gruppen“ in verschiedenen Netzwerksegmenten ansiedeln, die Sie je durch eine Firewall vor unberechtigtem Zugriff schützen. Bedenken Sie, dass unerlaubte Zugriffe auch von innen kommen können, wenn ein Eindringling bereits die Kontrolle über eines Ihrer Systeme gewonnen hat.

Kommunikationsdestinationen Verwendung Benutzer und Berechtigungen können bei unverantwortlichem Umgang ein Sicherheitsrisiko darstellen. Beachten Sie bei der Kommunikation zwischen ERP-Systemen deshalb die folgenden Sicherheitsmaßregeln: •

Verwenden Sie die Benutzertypen System und Kommunikation.

•

Statten Sie einen Benutzer nur mit den Mindestberechtigungen aus.

•

Wählen Sie ein sicheres Passwort und geben Sie dieses nicht an andere Personen weiter.

•

Speichern Sie benutzerspezifische Anmeldedaten nur für Benutzer vom Typ System und Kommunikation.

•

Nutzen Sie, soweit möglich, Trusted-System-Funktionalität, anstatt benutzerspezifische Anmeldedaten zu speichern.

Weitere Informationen entnehmen Sie dem anwendungsspezifischen Teil des vorliegenden Leitfadens.

Sicherheit der Datenablage Verwendung Informationen zur Sicherheit der Datenablage finden Sie im Sicherheitsleitfaden von SAP NetWeaver unter der Internetadresse service.sap.com/securityguide im Abschnitt Operating System and Database Platform Security Guides.


5.0

17

01.02.2005

Sicherheit weiterer Anwendungen Beachten Sie die entsprechenden Abschnitte im anwendungsspezifischen Teil des vorliegenden Leitfadens.

Trace- und Protokolldateien Verwendung Die Trace- und Protokolldateien der SAP ERP Central Component benutzen die Standardmechanismen von SAP NetWeaver. Weitere Informationen finden Sie im Sicherheitsleitfaden von SAP NetWeaver unter der Internetadresse service.sap.com/securityguide.

Anwendungsübergreifende Komponenten

Arbeitszeitblatt (CA-TS)

Berechtigungen Das Arbeitszeitblatt verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP beschrieben sind, auch für das Arbeitszeitblatt. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG).

Standardrollen Nachfolgende Tabelle zeigt beispielhaft Standardrollen, die das Arbeitszeitblatt verwendet. Standardrollen Rolle

Beschreibung

SAP_EMPLOYEE

Employee Self-Service

SAP_HR_PT_TIME-ADMINISTRATOR

Zeitbeauftragter

SAP_ISR_RETAIL_STORE

SAP Retail Store Nutzer

SAP_PS_CONFIRM

Rückmelden

SAP_HR_PT_TIME-SUPERVISOR

Zeitverantwortlicher

SAP_ISR_STORE_PERSONNEL

Personalverantwortlicher in einer Filiale

SAP_HR_PT_TIME-MGMT-SPECIALIST

Spezialist Zeitmanagement


5.0

18

01.02.2005

Standardberechtigungsobjekte Im Umfeld des Arbeitszeitblattes benötigen Sie nur die allgemeinen Berechtigungen für die jeweiligen Zielanwendungen. Orientieren Sie sich bei der Vergabe der Berechtigungen an den Berechtigungen für die Transaktionen CAT*. Siehe auch: Beachten Sie die Besonderheiten, die in folgendem Abschnitt der SAP-Bibliothek beschrieben sind: Anwendungsübergreifende Komponenten → Arbeitszeitblatt → Vergabe von Berechtigungen.

Kommunikationsdestinationen Verwendung Für die Komponente Arbeitszeitblatt stehen Ihnen Kommunikationsdestinationen zur Verbuchung der erfassten Daten in den Zielanwendungen zur Verfügung. Kommunikation mit der Personalzeitwirtschaft Für die Verbuchung der erfassten Zeitdaten in der Personalzeitwirtschaft verwenden Sie BAPIs, die die Daten in die PT-Schnittstellentabellen PTEXDIR, PTEX2000 und PTEX2010 stellen. Die Kommunikation erfolgt mittels der BAPIs über IDocs: •

Wenn Sie Ihr Personalwirtschaftssystem in dem gleichen System wie das Arbeitszeitblatt betreiben, erfolgt die Verbuchung synchron.

•

Wenn Sie Ihr Personalwirtschaftssystem in einem anderen System als das Arbeitszeitblatt betreiben, erfolgt die Verbuchung asynchron.

Über diese BAPIs können Sie Daten der Personalzeitwirtschaft anlegen, ändern oder löschen.

Mit diesen BAPIs können Sie in der Personalzeitwirtschaft keine Daten des Arbeitszeitblattes lesen oder verändern. Technische Benutzer Für die Durchführung der Kommunikation benötigen Sie folgende technische Benutzer: •

Für das Füllen der Schnittstellentabellen benötigen Sie einen Benutzer mit Berechtigungen für die Kommunikation über ALE mit einem SAP-System und die entsprechenden Tabellenberechtigungen. Diese technischen Benutzer benötigen keine spezifischen Berechtigungen für die SAPPersonalwirtschaftslösung.

•

Für die anschließende Überleitung der Daten von den Schnittstellentabellen in die Datenbanken der Infotypen benötigen Sie einen technischen Benutzer für die Hintergrundverarbeitung mit Berechtigungen, wie Sie für die Transaktion CAT6 (Überleitung von Zeitangaben in die Personalzeitwirtschaft) benötigt werden.

Für die Erfassung von Arbeitszeitblattdaten können Sie Informationen zu den Zeitdaten aus der Personalzeitwirtschaft einlesen. Hierfür sind keine speziellen Benutzer erforderlich. Sie können sich für die Berechtigungsvergabe für Ihre Mitarbeiter an den Berechtigungen für die Transaktion CAT2 orientieren. Verbuchung der Daten in den anderen Zielanwendungen Für die Verbuchung der Daten in die anderen Zielanwendungen stehen keine besonderen Kommunikationsdestinationen zur Verfügung.


5.0

19

01.02.2005 Siehe auch: Weitere Informationen finden Sie in der SAP-Bibliothek •

Informationen zu der Überleitung der Arbeitszeitblattdaten in die Zielanwendungen erhalten Sie unter Anwendungsübergreifende Komponenten → Arbeitszeitblatt → Versorgung der Zielkomponenten.

•

Informationen zu den ALE-Szenarien der Personalzeitwirtschaft und der Arbeit mit verteilten Systemen erhalten Sie unter Szenarios in den Anwendungen → ALE / EDIGeschäftsprozesse.

Self-Services Bevor Sie anfangen In diesem Abschnitt des Sicherheitsleitfadens finden Sie Informationen zu den Komponenten Employee Self-Service (ESS) und Manager Self-Service (MSS). Die sicherheitsrelevanten Einstellungen zur Benutzerverwaltung und zu Berechtigungen gelten in der Regel für beide Komponenten, wenn nicht anders vermerkt.

Wichtige SAP-Hinweise Nachfolgende Tabelle führt die für die Sicherheit der Self-Services wichtigsten SAP-Hinweise auf: Wichtige SAP-Hinweise SAP-Hinweis-Nr.

Titel

Kommentar

785345

Kopieren von Berechtigungsvorschlagswerten für Services

Mit dem Report in diesem Hinweis kopieren Sie BerechtigungsPrüfkennzeichen und -Vorschlagswerte für Services aus den SAP-Tabellen (USOBX, USOBT) in die Kundentabellen (USOBX_C, USOBT_C).

798967

MSS: Berechtigungen und Rollen für Web Dynpro

Dieser Hinweis enthält die Berechtigungsobjekte und die dafür gepflegten Vorschlagswerte für die Web-Dynpro-Services für MSS – Mein Team (Komponente EP-PCT-MGRHR)

612585

Neu: Berechtigungsvorschlagswerte für ext. Services

Dieser Hinweis beschreibt, wie die Rollenpflege (Transaktion PFCG) für externe Services erweitert wurde.

Zusatzinformationen Spielen Sie zuerst den Hinweis 785345 ein und anschließend, nach Bedarf, den Hinweis 798967, noch bevor Sie die Berechtigungsprofile für die von Ihnen benötigten Rollen generieren. Siehe auch: Berechtigungen [Seite 21]


5.0

20

01.02.2005

Benutzerverwaltung Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung für die Self-Services: Werkzeuge der Benutzerverwaltung Werkzeug

Genaue Beschreibung

Benutzer- und Rollenpflege (Transaktion PFCG)

Die Transaktion PFCG zur Rollenpflege können Sie verwenden, um für Ihre Anwender der Self-Services Profile zu generieren.

Voraussetzungen

Benutzertypen Weitere Informationen zu Benutzertypen erhalten Sie im Sicherheitsleitfaden des SAP Web AS ABAP unter User Types. Diese Informationen finden Sie auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → SAP NetWeaver '04 () → Sprache → SAP Bibliothek → SAP NetWeaver → Sicherheit → SAP NetWeaver Security Guide → Security Guides for the SAP NetWeaver Products → SAP Web Application Server Security Guide → SAP Web AS Security Guide for ABAP Technology → User Authentication → User Types.

Standardbenutzer Für Employee Self-Service und Manager Self-Service werden keine Standardbenutzer ausgeliefert.

Berechtigungen Die Self-Services verwenden das vom SAP Web Application Server angebotene Berechtigungskonzept. Daher gelten die Sicherheitsempfehlungen und -richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP WEB AS Java beschrieben sind, auch für die Self-Services. Die relevanten Sicherheitsleitfäden finden Sie auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → SAP NetWeaver '04 () → → SAP Bibliothek → SAP NetWeaver → Sicherheit → SAP NetWeaver Security Guide → Security Guides for the SAP NetWeaver Products → SAP Web Application Server Security Guide → SAP Web AS Security Guide for ABAP Technology sowie SAP Web AS Security Guide for JAVA Technology . Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG).

Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die im Rahmen der Self-Services verwendet werden.


5.0

21

01.02.2005

Standardrollen für Employee Self-Service (ESS): Rolle

Beschreibung

SAP_ESSUSER_ERP

Einzelrolle, die alle nicht-länderspezifischen Funktionen enthält. Die zugehörige Sammelrolle ist SAP_ESSUSER_ERP.

SAP_EMPLOYEE_ERP_xx_ERP

Einzelrolle mit den länderspezifischen Funktionen. Für jede Landesversion existiert eine eigene Rolle (mit xx = Länderkürzel). Die zugehörige Sammelrolle ist SAP_EMPLOYEE_ERP.

Das Profil wurde jeweils aus der vordefinierten Sammelrolle übernommen. Diese Rolle wurde um die für ERP erforderlichen Angaben sowie um die zugehörigen Basis-Berechtigungen ergänzt. Die Sammelrolle ist dem jeweiligen Mitarbeiter zugeordnet. Standardrollen für Manager Self-Service (MSS): Für Manager Self-Service (MSS) werden keine Standardrollen ausgeliefert.

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die speziell die Self-Services verwenden. Standardberechtigungsobjekte für die Self-Services: Berechtigungsobjekt

Feld

Wert

Beschreibung

S_SERVICE

SRV_NAME

*

Zusätzliches Objekt für die WebDynproAnwendungen. Prüfung beim Start von externen Services. Dieses Berechtigungsobjekt ist erforderlich, wenn ein Mitarbeiter die Self-Services starten möchte.

Mit dem Wert * für das Berechtigungsobjekt S_SERVICE vergeben Sie die Berechtigung zum Starten aller Anwendungen. Sie können auch Berechtigungen nur für einzelne Anwendungen vergeben. Die Syntax lautet in diesem Fall S_SERVICE-SRV_NAME = //, z.B. sap.com/pcui_gp~xssexamples/AttendanceExample.

Berechtigungen für Web-Dynpro-Services Um Rollen für die Web-Dynpro-Services von ESS und MSS anzulegen, gehen Sie wie folgt vor: ...

1. Rufen Sie die Transaktion PFCG auf. 2. Geben Sie Ihre Rolle ein und sichern Sie. 3. Wählen Sie die Registerkarte Menü. 4. Klicken Sie dort auf Berechtigungsvorschlag. Sie gelangen in das Dialogfenster Service.


5.0

22

01.02.2005 5. Markieren Sie dort Typ des ext. Service. 6. Wählen Sie im Eingabefeld dahinter über die Eingabehilfe WEBDYNPRO aus. 7. Wählen Sie im Eingabefeld hinter Service über die Wertehilfe einen Web-DynproService aus, den Sie für ESS oder MSS verwenden möchten. 8. Wählen Sie Sichern. Die für den Service gepflegten Berechtigungsobjekte und Vorschlagswerte werden anschließend im Menübaum angezeigt. 9. Wählen Sie die Registerkarte Berechtigungen, um die Berechtigungsobjekte und Werte gemäß Ihren Anforderungen zu pflegen. 10. Wählen Sie auf dieselbe Art alle ESS und MSS Web-Dynpro-Services aus, die Sie verwenden möchten.

Berechtigungen für E-Recruiting-Services Um Berechtigungen für die ESS- und MSS-Services aus der Komponente SAP E-Recruiting anzulegen, gehen Sie wie folgt vor: Kopieren Sie im SAP E-Recruiting-Backend-System, das Sie für die Self-Services verwenden, über die Transaktion PFCG für ESS die Standardrolle SAP_RCF_INTERNAL_CANDIDATE und für MSS die Standardrolle SAP_RCF_MANAGER.

Berechtigungen für BW-iViews (MSS) Für die BW-iViews des Business Package for Manager Self-Service benötigt der Benutzer die Standard-BW-Berechtigungen zum Ausführen von Queries. Weitere Informationen hierzu finden Sie auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → SAP NetWeaver '04 () → → SAP Bibliothek → SAP NetWeaver → Information Integration → SAP Business Information Warehouse → Data Warehousing → Data Warehouse Management → Berechtigungen → Berechtigungen zum Arbeiten mit dem Business Explorer → Berechtigungen für das Arbeiten mit einer Query → Berechtigungsprüfung beim Ausführen einer Query. HR-spezifisch ist, dass die BW-Queries eine BW-Variable für die Personalisierung verwenden. Die Daten werden hierbei aus dem ODS-Objekt zur Personalisierung 0Pers_VAR gelesen, welches, wenn gewünscht, aus den strukturellen Berechtigungen (siehe ODS 0PA_DS02 bzw. 0PA_DS03) gefüllt werden kann. Weitere Informationen hierzu finden Sie auf dem SAP Help Portal unter der Internetadresse help.sap.com → Documentation → SAP NetWeaver → SAP NetWeaver '04 () → → SAP Bibliothek → SAP NetWeaver → Information Integration → BI Content → Personalwirtschaft → Organisationsmanagement → ODS-Objekte. Für ESS müssen Sie in diesem Bereich keine Einstellungen vornehmen.


5.0

23

01.02.2005

Rechnungswesen Finanzwesen Netzwerk- und Kommunikationssicherheit Die Kommunikation mit externen Systemen erfolgt über die durch die SAP-Basistechnologie bereitgestellten Standardkanäle: •

Application Link Enabling (ALE)

•

Standardschnittstellen zu BW-, CRM- und SRM-Systemen

•

Batch-Input

•

Remote Function Call (RFC)

•

Business Application Programming Interface (BAPI)

•

IDOC

•

SAP Exchange Infrastructure (XI)

•

E-Mail, Fax So verfügt das Finanzwesen über Schnittstellen zu Taxware und Vertex, in denen Steuerberechnungen durchgeführt werden. Ferner steht eine Schnittstelle für die elektronische Umsatzsteuervoranmeldung über Elster zur Verfügung. Hier erfolgt die Kommunikation über XI oder den SAP Business Connector. Der Versand von Avisen und Zahlungen erfolgt per IDOC, der Versand von Mahnungen per E-Mail oder Fax.

Kommunikationsdestinationen Es kommen die allgemein zur Verfügung stehenden technischen Benutzer zum Einsatz. Zu Zahlungsanordnungen aus anderen Komponenten beachten Sie den SAP-Hinweis 303205. Sicherheit der Datenablage Viele Transaktionen des Finanzwesens greifen auf sensible Daten zu. Der Datenzugriff auf diese Daten, wie Bilanzen, ist durch die Standard-Berechtigungsobjekte geschützt. Wichtige SAP-Hinweise Beachten Sie die SAP-Hinweise 303205 und 497712.

Berechtigungen im Finanzwesen Berechtigungsobjekte des Finanzwesens Objekt

Bezeichnung

FAGL_INST

Kundenerweiterungen für Hauptbuch

F_ACE_DST

Accrual Engine: Abgrenzungsobjekte

F_ACE_PST

Accrual Engine: Abgrenzungsbuchungen


5.0

24

01.02.2005

F_BKPF_BES

Buchhaltungsbeleg: Kontenberechtigung für Sachkonten

F_BKPF_BLA

Buchhaltungsbeleg: Berechtigung für Belegarten

F_BKPF_BUK

Buchhaltungsbeleg: Berechtigung für Buchungskreise

F_BKPF_BUP

Buchhaltungsbeleg: Berechtigung für Buchungsperioden

F_BKPF_GSB

Buchhaltungsbeleg: Berechtigung für Geschäftsbereiche

F_BKPF_KOA

Buchhaltungsbeleg: Berechtigung für Kontoarten

F_BKPF_VW

Buchhaltungsbeleg: Vorschlagswerte Belegart/Bschl ändern/anzeigen

F_FAGL_LDR

Hauptbuch: Berechtigung für Ledger

F_FAGL_SEG

Hauptbuch: Berechtigung für Segment

F_IT_ALV

Einzelpostenanzeige: Ändern und Sichern von Layouts

F_KMT_MGMT

Kontierungsmuster: Berechtigung zur Pflege und Verwendung

F_SKA1_AEN

Sachkonto: Änderungsberechtigung für bestimmte Felder

F_SKA1_BES

Sachkonto: Kontenberechtigung

F_SKA1_BUK

Sachkonto: Berechtigung für Buchungskreise

F_SKA1_KTP

Sachkonto: Berechtigung für Kontenpläne

F_T011

Bilanz: Generelle Pflegeberechtigung

F_T011E

Berechtigung für Finanzkalender

F_T011_BUK

Planung: Berechtigung für Buchungskreise

F_T060_ACT

Infosystem: Kontenart/Aktivität für Auswertungssicht

F_AVIK_AVA

Zahlungsavis: Berechtigung für Avisarten

F_AVIK_BUK

Zahlungsavis: Berechtigung für Buchungskreise

F_BKPF_BED

Buchhaltungsbeleg: Kontenberechtigung für Debitoren

F_BKPF_BEK

Buchhaltungsbeleg: Kontenberechtigung für Kreditoren

F_BL_BANK

Berechtigung für Hausbanken und Zahlwege

F_BNKA_BUK

Banken: Berechtigung für Buchungskreise

F_FBCJ

Kassenbuch: Generelle Berechtigung

F_FEBB_BUK

Bankkontoauszug Buchungskreis

F_FEBC_BUK

Scheckeinreichung/Lockbox Buchungskreis


5.0

25

01.02.2005

F_KNA1_AEN

Debitor: Änderungsberechtigung für bestimmte Felder

F_KNA1_APP

Debitor: Anwendungsberechtigung

F_KNA1_BED

Debitor: Kontenberechtigung

F_KNA1_BUK

Debitor: Berechtigung für Buchungskreise

F_KNA1_GEN

Debitor: Zentrale Daten

F_KNA1_GRP

Debitor: Kontengruppenberechtigung

F_KNA1_KGD

Debitor: Änderungsberechtigung für Kontengruppen

F_KNB1_ANA

Debitor: Berechtigung für Kontoanalyse

F_KNKA_AEN

Kreditmanagement: Änderungsberechtigung für bestimmte Felder

F_KNKA_KKB

Kreditmanagement: Berechtigung für Kreditkontrollbereich

F_BNKA_MAN

Banken: Generelle Pflegeberechtigung

F_KNKK_BED

Kreditmanagement: Kontenberechtigung

F_LFA1_AEN

Kreditor: Änderungsberechtigung für bestimmte Felder

F_LFA1_APP

Kreditor: Anwendungsberechtigung

F_LFA1_BEK

Kreditor: Kontenberechtigung

F_LFA1_BUK

Kreditor: Berechtigung für Buchungskreise

F_LFA1_GEN

Kreditor: Zentrale Daten

F_LFA1_GRP

Kreditor: Kontengruppenberechtigung

F_MAHN_BUK

Maschinelles Mahnen: Berechtigung für Buchungskreise Die Dokumentation hierzu verweist auf die Transaktion F150.

F_MAHN_KOA

Maschinelles Mahnen: Berechtigung für Kontoarten

F_PAYRQ

Berechtigungsobjekt für Zahlungsanordnungen

F_PAYR_BUK

Scheckmanagement: Aktionsberechtigung für Buchungskreise

F_REGU_BUK

Automatische Zahlung: Aktionsberechtigung für Buchungskreise Es wird auf die Transaktion F110 verwiesen.

F_REGU_KOA

Automatische Zahlung: Aktionsberechtigung für Kontoarten

F_RPCODE

Repetitive Code

F_RQRSVIEW

Bank Ledger: Viewer für Request-ResponseNachrichten

F_T042_BUK

Customizing Zahlprogramm: Berechtigung für Buchungskreise


5.0

26

01.02.2005

S_BTCH_JOB

Batch-Verarbeitung: Operationen auf BatchJobs Benutzer, die Sie mit der Berechtigung zum Starten von Batch-Prozessen ausstatten möchten, müssen über die Berechtigung zur Aktivität RELE verfügen.

P_ABAP

HR-Reporting Schützt Zahlungen aus der Personalabrechnung. Beachten Sie auch den SAP-Hinweis 303205. Er beschreibt auch eine Erweiterung der Prüfungen per Funktionsbaustein.

F_WEB_EBPP

Teilnahme an EBPP-Prozess über WebInterface

Berechtigungen in der Hauptbuchhaltung (FI-GL) Standardrollen der Hauptbuchhaltung Rolle

Bezeichnung

SAP_AUDITOR_BA_FI_GL

AIS - Hauptbuch (GLT0)

SAP_FI_GL_ACCOUNT_CHANGE_REQUE

Antrag auf Sachkontenänderung oder anlage

SAP_FI_GL_ACCT_MASTER_DATA

Sachkontenstammdatenpflege

SAP_FI_GL_BALANCE_CARRYFORWARD

Saldovortrag

SAP_FI_GL_CHANGE_PARKED_DOCUM

Vorerfasste Sachkontenbelege ändern

SAP_FI_GL_CLEAR_OPEN_ITEMS

Ausgleich offener Posten Sachkonten

SAP_FI_GL_CONS_PREPARATIONS

Konsolidierungsvorbereitungen

SAP_FI_GL_CURRENCY_VALUATION

Fremdwährungsbewertung Sachkonten

SAP_FI_GL_DISPLAY_ACCT_BALANCE

Sachkontensalden und Posten anzeigen

SAP_FI_GL_DISPLAY_DOCUMENTS

Sachkontenbelege anzeigen

SAP_FI_GL_DISPLAY_MASTER_DATA

Sachkontenstammdaten anzeigen

SAP_FI_GL_DISPLAY_PARKED_DOCUM

Vorerfasste Belege anzeigen

SAP_FI_GL_EXCHANGE_RATE_TABLE

Währungsumrechnungskurse pflegen

SAP_FI_GL_FIN_STATEMENT_REPORT

Bilanzberichte

SAP_FI_GL_INTEREST_CALCULATION

Saldenverzinsung Sachkonten

SAP_FI_GL_INTEREST_RATE_TABLES

Zinssätze pflegen

SAP_FI_GL_KEY_REPORTS

Wichtige Berichte: Hauptbuchhaltung

SAP_FI_GL_PARK_DOCUMENT

Sachkontenbelege vorerfassen

SAP_FI_GL_PERIOD_END_CLOSING

Abschlussarbeiten: Hauptbuchhaltung

SAP_FI_GL_PERIODIC_ENTRIES

Erfassung regelmäßiger Sachkontenbuchungen

SAP_FI_GL_POST_ENTRY

Erfassung von Sachkontenbuchungen


5.0

27

01.02.2005

SAP_FI_GL_POST_PARKED_DOCUMENT

Vorerfassten Beleg buchen

SAP_FI_GL_RECURRING_DOCUMENTS

Dauerbelege bearbeiten

SAP_FI_GL_REVERSE-CHANGE

Sachkontenbelege stornieren / ändern

SAP_FI_GL_SAMPLE_ACCT_MASTER_D

Musterkonten

SAP_FI_GL_SAMPLE_DOCUMENTS

Musterbelege bearbeiten

Konsolidierung Berechtigungen Berechtigungsobjekte der Konsolidierung Berechtigungsobjekt

Beschreibung

E_CS_BUNIT

Konsolidierungseinheit

E_CS_CACTT

Konsolidierungsmaßnahmen

E_CS_CONGR

Konsolidierungskreis

E_CS_DEFRM

SAP-Konsolidierung: Erfassungslayout

E_CS_DIMEN

Sicht

E_CS_ITCLG

Positionsplan

E_CS_JEFRM

SAP Konsolidierung: Einzelpostenlayout

E_CS_PERMO

Monitor, Öffnen/Schließen von Perioden

E_CS_RPTNG

Reporting mit ReportWriter/Painter und Recherche

E_CS_RVERS

Version

Berechtigungsprofile der Konsolidierung Berechtigungsprofil

Beschreibung

E_CS_ALL

Komplettberechtigung für EC-CS

E_CS_DISPLAY

Anzeigeberechtigung für EC-CS

Standardrollen der Konsolidierung Rolle

Bezeichnung

SAP_AUDITOR_BA_EC_CS

AIS – Konsolidierung

SAP_AUDITOR_BA_EC_CS_A

AIS – Konsolidierung (Berechtigungen)

SAP_EC_CS_FUNCTIONS_DETAIL

Konsolidierung – Detailfunktionen

SAP_EC_CS_FUNCTIONS_GENERAL

Konsolidierung – Allgemeine Funktionen

SAP_EC_CS_OFFLINE_DATA_ENTRY

Konsolidierung – Offline-Erfassung mit MS ACCESS

SAP_EC_CS_RECONCILIATION

Konsolidierung – Abstimmung integrierter Daten


5.0

28

01.02.2005

SAP_EC_CS_REPORT_ALL

Konsolidierung – Alle Berichte

SAP_EC_CS_REPORT_CONSDATA

Konsolidierung – Berichte konsolidierter Daten

Netzwerk- und Kommunikationssicherheit Die Konsolidierung ermöglicht eine Offline-Erfassung mit Microsoft ACCESS®. Die Kommunikation erfolgt per Remote Function Call (RFC). Sicherheit der Datenablage Die durch die Konsolidierung bei der Erstellung des Konzernabschlusses verarbeiteten Daten werden durch die oben genannten Berechtigungsobjekte geschützt.

Berechtigungen in der Kreditorenbuchhaltung (FIAP) Standardrollen der Kreditorenbuchhaltung Rolle

Bezeichnung

SAP_FI_AP_BALANCE_CARRYFORWARD

Kreditoren Saldovortrag

SAP_FI_AP_CHANGE-REVERSE_INV

Kreditorenrechnungen ändern / stornieren

SAP_FI_AP_CHANGE_LINE_ITEMS

Kreditoren Einzelposten ändern

SAP_FI_AP_CHANGE_PARKED_DOCUM

Vorerfasste Kreditorenbelege ändern

SAP_FI_AP_CHECK_MAINTENANCE

Scheckabwicklung

SAP_FI_AP_CLEAR_OPEN_ITEMS

Kreditorenposten ausgleichen

SAP_FI_AP_CORRESPONDENCE

Korrespondenz - Kreditoren

SAP_FI_AP_DISPLAY_BALANCES

Kreditorensalden und Posten anzeigen

SAP_FI_AP_DISPLAY_CHECKS

Schecks anzeigen

SAP_FI_AP_DISPLAY_DOCUMENTS

Kreditoren Belege anzeigen

SAP_FI_AP_DISPLAY_MASTER_DATA

Kreditorenstammdaten anzeigen

SAP_FI_AP_DISPLAY_PARKED_DOCUM

Vorerfasste Kreditorenbelege anzeigen

SAP_FI_AP_INTEREST_CALCULATION

Kreditorenverzinsung

SAP_FI_AP_INTERNET_FUNCTIONS

Internet-Funktionen in der Kreditorenbuchhaltung

SAP_FI_AP_INVOICE_PROCESSING

Erfassung Kreditorenrechnungen

SAP_FI_AP_KEY_REPORTS

Wichtige Berichte aus der Kreditorenbuchhaltung

SAP_FI_AP_MANUAL_PAYMENT

Manuelle Zahlung

SAP_FI_AP_PARK_DOCUMENT

Kreditorenbelege vorerfassen

SAP_FI_AP_PAYMENT_BILL_OF_EXCH

Zahlungsverkehr mit Wechsel

SAP_FI_AP_PAYMENT_CHECKS

Zahlprogramm mit Scheckabwicklung

SAP_FI_AP_PAYMENT_PARAMETERS

Anzeigen von Parametern des Zahllaufs


5.0

29

01.02.2005

SAP_FI_AP_PAYMENT_PROPOSAL

Vorschlag für einen Zahllauf anlegen und bearbeiten

SAP_FI_AP_PAYMENT_RUN

Echtlauf des Zahllaufs ohne Zahlungsträger drucken

SAP_FI_AP_PCARD

Zahlungskarte (Beschaffungskarte)

SAP_FI_AP_PERIOD_END_ACTIVITY

Kreditorenbuchhaltung Periodenschluss

SAP_FI_AP_POST_PARKED_DOCUM

Vorerfassten Kreditorenbeleg buchen

SAP_FI_AP_RECURRING_DOCUMENTS

Kreditoren Dauerbelege

SAP_FI_AP_SAMPLE_DOCUMENTS

Musterbelege bearbeiten: Kreditorenbuchhaltung

SAP_FI_AP_VENDOR_MASTER_DATA

Kreditoren Stammdatenpflege

SAP_FI_AP_WITHHOLDING_TAX

Quellensteuerbearbeitung

Berechtigungen in der Debitorenbuchhaltung (FIAR) Standardrollen in der Debitorenbuchhaltung Rolle

Bezeichnung

SAP_FI_AR_BALANCE_CARRYFORWARD

Debitoren Saldovortrag

SAP_FI_AR_BILL_OF_EXCHANGE

Wechsel bearbeiten

SAP_FI_AR_CHANGE-REVERSE

Debitorenbuchungen Ändern / Stornieren

SAP_FI_AR_CHANGE_LINE_ITEMS

Debitorenposten ändern

SAP_FI_AR_CHANGE_PARKED_DOCUM

Vorerfassten Beleg ändern

SAP_FI_AR_CLEAR_OPEN_ITEMS

Debitoren Posten ausgleichen

SAP_FI_AR_CREDIT_MASTER_DATA

Kreditmanagement Stammdaten

SAP_FI_AR_CUST_DOWN_PAYMENTS

Bearbeitung von Kundenanzahlungen

SAP_FI_AR_DISPLAY_CREDIT_INFO

Kreditdaten anzeigen

SAP_FI_AR_DISPLAY_CUST_INFO

Kundeninformationen anzeigen

SAP_FI_AR_DISPLAY_DOCUMENTS

Debitoren Belege anzeigen

SAP_FI_AR_DISPLAY_MASTER_DATA

Kundenstammdaten anzeigen

SAP_FI_AR_DISPLAY_PARKED_DOCUM

Vorerfassten Debitorenbeleg anzeigen

SAP_FI_AR_DUNNING_PROGRAM

Mahnprogramm

SAP_FI_AR_INTEREST_CALCULATION

Debitorenverzinsung

SAP_FI_AR_INTERNET_FUNCTIONS

Internet-Funktionen für die Debitorenbuchhaltung

SAP_FI_AR_KEY_REPORTS

Wichtige Berichte zur Debitorenbuchhaltung

SAP_FI_AR_MASTER_DATA

Debitoren Stammdatenpflege

SAP_FI_AR_PARK_DOCUMENT

Debitorenbelege vorerfassen

SAP_FI_AR_PAYMENT_CARD_PROCESS

Zahlungskartenbearbeitung


5.0

30

01.02.2005

SAP_FI_AR_PERIOD_END_PROCESS

Abschlussarbeiten Debitorenbuchhaltung

SAP_FI_AR_POST_ENTRIES

Debitorenrechnungen und Gutschriften buchen

SAP_FI_AR_POST_MANUAL_PAYMENTS

Zahlungseingänge manuell buchen

SAP_FI_AR_POST_PARKED_DOCUMENT

Vorerfassten Debitorenbeleg buchen

SAP_FI_AR_PRINT_CORRESPONDENCE

Korrespondenz mit Debitoren

SAP_FI_AR_RECURRING_DOCUMENTS

Debitoren Dauerbelege

SAP_FI_AR_SAMPLE_DOCUMENTS

Debitoren Musterbelege

SAP_FI_AR_VALUATION

Bewertung von Debitorenposten

Berechtigungen in der Bankbuchhaltung (FI-BL) Standardrollen der Bankbuchhaltung Rolle

Bezeichnung

SAP_FI_BL_ACCOUNT_REPORTS

Finanzstatusinformationen

SAP_FI_BL_BANK_MASTERDAT_DISPL

Anzeige Bankstammdaten

SAP_FI_BL_BANK_MASTER_DATA

Pflege Bank Stammdaten

SAP_FI_BL_BANK_STATEMENT

Kontoauszug verarbeiten

SAP_FI_BL_BILL_OF_EX_PRESENT

Wechseleinreichung

SAP_FI_BL_BILL_OF_EX_REPORTS

Reports zum Wechselbestand

SAP_FI_BL_CASHED_CHECKS

Scheckrücklauf

SAP_FI_BL_CASH_JOURNAL

Kassenbuch

SAP_FI_BL_CHECK_DELETE

Löschen von Schecks

SAP_FI_BL_CHECK_DEPOSIT

Scheckeinreichung

SAP_FI_BL_CHECK_MANAGEMENT

Scheckverwaltung

SAP_FI_BL_CHECK_MGMENT_DISPLAY

Anzeige der verwalteten Schecks

SAP_FI_BL_INTRADAY_STATEMENT

Intraday Kontoauszugsinformationen einlesen (USA)

SAP_FI_BL_LOCKBOX

Verarbeiten der Lockbox - Daten

SAP_FI_BL_ONLINE_PAYMENT

Online Zahlungen durchführen

SAP_FI_BL_PAYMENT_TRANSACTIONS

Zahlungsabwicklung

SAP_FI_BL_PAYME_ADVICE_REPORTS

Berichte zu Zahlungsavisen

SAP_FI_BL_POR_PROCEDURE

Zahlungseingang über ESR-Verfahren (Schweiz)

SAP_FI_BL_RETURNED_BILL_OF_EX

Wechselrücklauf

Kreditkartendaten werden in der Bankbuchhaltung (FI-BL) über Berechtigungsobjekte mit dem technischen Namen F_FRCD_* geschützt.


5.0

31

01.02.2005

Anlagenbuchhaltung (FI-AA) Berechtigungen Standardrollen in der Anlagenbuchhaltung Rolle

Bezeichnung

SAP_AUDITOR_BA_FI_AA

AIS-Sachanlagen

SAP_AUDITOR_BA_FI_AA_A

AIS-Sachanlagen (Berechtigungen)

SAP_FI_AA_ASSET_ARCHIVING

Archivierungsaktivitäten

SAP_FI_AA_ASSET_CAPITALIZATION

Aktivierung AiB

SAP_FI_AA_ASSET_ENVIRONMENT

Arbeitsvorrat und Werkzeuge Anlagenbuchhaltung

SAP_FI_AA_ASSET_EXPLORER

Asset Explorer

SAP_FI_AA_ASSET_INFOSYSTEM

Informationssystem Anlagenbuchhaltung

SAP_FI_AA_ASSET_MASTER_DATA

Stammdatenpflege Anlagen

SAP_FI_AA_ASSET_REVALUATION

Aufwertungsaktivitäten

SAP_FI_AA_ASSET_TRANSACTIONS

Bewegungen auf Anlagen

SAP_FI_AA_CURRENT_SETTINGS

Laufende Einstellungen

SAP_FI_AA_EVERY_MANAGER

Aktivitäten für Kostenstellenverantwortliche

SAP_FI_AA_GROUP_ASSET

Anlagenkomplex pflegen

SAP_FI_AA_KEY_REPORTS

Wichtige Berichte aus der Anlagenbuchhaltung

SAP_FI_AA_PERIODIC_PROCESSING

Periodische Arbeiten

SAP_FI_AA_PROBLEM_ANALYSIS

Werkzeuge zur Problemanalyse

SAP_FI_AA_YEAR_END_CLOSING

Jahresabschlussarbeiten

Netzwerk- und Kommunikationssicherheit Für die Kommunikation mit externen Systemen stellt die Anlagenbuchhaltung BAPIs bereit. Kommunikationsdestinationen Für Workflow-Aufgaben benötigen Sie zum Teil den Benutzer WF-BATCH oder alternativ den Benutzer, den Sie für derartige Hintergrundschritte nutzen. Die vorab erforderlichen Entscheidungsschritte sind mit explizit zugeordnetem Benutzer durchzuführen. Wichtige SAP-Hinweise Nummer

Kurztext

38957

Felder werden nicht angezeigt / Eingabebereitschaft

335170

Berechtigungsprüfung AW01 / AW01N

372724

Pflege von Reportvarianten


5.0

32

01.02.2005

460548

Bewertungsbereiche werden nicht angezeigt

540785

FAQ Hinweis Reporting Anlagenbuchhaltung

141876

Berechtigungsprüfungen im Anlagenreporting

544703

FAQ Massenänderung / Massenabgang

Reisemanagement (FI-TV) Berechtigungen Standardrollen im Reisemanagement Rolle

Bezeichnung

SAP_FI_TV_TRAVELER

Reisender

SAP_FI_TV_TRAVEL_ASSISTANT

Reiseassistent

SAP_FI_TV_ADMINISTRATOR

Reisesachbearbeiter

SAP_FI_TV_MANAGER_GENERIC

Reisegenehmigender

SAP_FI_TV_ADVANCE_PAYER

Barauszahler für Reisevorschüsse

SAP_FI_TV_TRAVEL_MANAGER

Reisemanager

Berechtigungsprofile SAP stellt das Reiseprofil FI-TV (Infotyp 0470 der Personalwirtschaft (HR)) bereit. Alternativ können Sie das Berechtigungsprofil aufgrund der organisatorischen Zugehörigkeit über das Merkmal TRVCP erstellen. Berechtigungsobjekte Für alle allgemeinen Funktionen nutzt das Reisemanagement das Berechtigungsobjekt P_TRAVL. Die Übertragung der Ergebnisse der Reisekostenabrechnung in das Rechnungswesen ist durch das Berechtigungsobjekt F_TRAVL geschützt. Netzwerk- und Kommunikationssicherheit Das Reisemanagement nutzt die folgenden externen Schnittstellen zu Reservierungssystemen: •

Hotel Reservation Service (HRS) Die Kommunikation mit dem Web-Service erfolgt über HTTPS. In eigener Verantwortung können Sie auch HTTP für die Kommunikation nutzen.

•

Deutsche Bahn Die Kommunikation mit dem Web-Service erfolgt über HTTPS und wird mit PGP verschlüsselt.

•

Amadeus Das Betreiben des Gateways liegt in der Verantwortung des Partners.

•

Sabre Die Kommunikation mit dem Web-Service erfolgt über HTTPS oder alternativ über ein Gateway, das in der Verantwortung des Partners liegt.

•

Galileo Das Gateway liegt in der Verantwortung des Partners.


5.0

33

01.02.2005 Sicherheit der Datenablage Das Reisemanagement übermittelt Kreditkarteninformationen an die genannten Partner. Ein Zugriff auf die Daten im SAP-System ist nicht möglich. In den Systemeinstellungen (IMG) des Reisemanagement werden Passwörter und Kreditkarteninformationen derzeit noch im Klartext abgespeichert. Die Einstellungen sind durch die Standardberechtigungsobjekte des SAP Customizing Einführungsleitfadens geschützt.

Berechtigungen in den Speziellen Ledger (FI-SL) Standardrollen der Speziellen Ledger Rolle

Bezeichnung

SAP_AUDITOR_BA_FI_SL

AIS - Spezielle Ledger

SAP_AUDITOR_BA_FI_SL_A

AIS - Spezielle Ledger (Berechtigungen)

SAP_FI_SL_ACTUAL_ASSESSMENT

SL Istumlage

SAP_FI_SL_ACTUAL_DISTRIBUTION

SL Istverteilung

SAP_FI_SL_ACTUAL_POSTINGS

SL Istbuchungen

SAP_FI_SL_BATCH_JOBS

SL Hintergrundjobs ausführen

SAP_FI_SL_CURRENCY_TRANSLATION

SL Währungsumrechnung

SAP_FI_SL_DISPLAY_DOCUMENTS

SL Salden und Belege anzeigen

SAP_FI_SL_DISPLAY_PLAN

SL Plan anzeigen

SAP_FI_SL_MODIFY_PLAN

SL Planung bearbeiten

SAP_FI_SL_PLAN_ASSESSMENT

Planumlage bearbeiten

SAP_FI_SL_PLAN_DISTRIBUTION

Planverteilung

SAP_FI_SL_ROLLUP

SL Rollup

Berechtigungsobjekte der Speziellen Ledger Objekt

Bezeichnung

G_022_GACT

Spezielle Ledger - Customizing: Vorgänge

G_800S_GSE

Spezielle Ledger - Sets: Set

G_802G_GSV

Spezielle Ledger - Sets: Variable

G_806H_GRJ

Spezielle Ledger - Rollup

G_820_GPL

Spezielle Ledger - Planung: Planparameter

G_821S_GSP

Spezielle Ledger - Planung: Verteilungsschlüssel

G_880_GRMP

Spezielle Ledger - Customizing: Gesellschaften

G_881_GRLD

Spezielle Ledger - Customizing: Ledger

G_888_GFGC

Spezielle Ledger - Customizing: Feldübertragungen

G_ADMI_CUS

Spezielle Ledger - Zentrale administrative Werkzeuge


5.0

34

01.02.2005

G_ALLOCTN

Spezielle Ledger - Umlage/Verteilung

G_GLTP

Spezielle Ledger - Datenbank (Ledger, Satzart, Version)

G_REPO_GLO

Spezielle Ledger - Berichtswesen global (Gesellschaft)

G_REPO_LOC

Spezielle Ledger - Berichtswesen lokal (Buchungskreis)

Treasury Netzwerk- und Kommunikationssicherheit Die Kommunikation mit externen Systemen kann per Standardschnittstellen über BAPI und IDOC erfolgen. Kommunikationsdestinationen Beim Einsatz von BAPIs kann im Einzelfall ein technischer Benutzer erforderlich sein. Sicherheit der Datenablage Im Treasury wird auf Daten von Finanztransaktionen zugegriffen, die besonders sensibel sein können. Der Zugriff ist über die im Abschnitt Berechtigungen beschriebenen Rollen geschützt. Weitere sicherheitsrelevante Informationen Alle Berechtigungen sind über Rollen und Profile zu steuern. Darüber hinaus können Sie die Sicherheit des Systems durch einige Customizing-Einstellungen, wie die Händlerberechtigung und Buchungsfreigabe, weiter erhöhen. Die eigentliche Berechtigungsprüfung muss jedoch immer über Rollen und Profile erfolgen. Wichtige SAP-Hinweise Beachten Sie die SAP-Hinweise 445148 (Zugriff der Finanzbehörde auf gespeicherte Daten) und 683810 (CFM-TM Steuersenkungsgesetz: Gesonderte Berechtigungsprüfung) zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

Berechtigungen Standardrollen im Corporate Finance Management Rolle

Bezeichnung

SAP_CFM_ADMINISTRATOR

Administrator

SAP_CFM_DEALER

Händler

SAP_CFM_IHC_SUPERVISOR

In-House Cash Supervisor

SAP_CFM_LIMIT_MANAGER

Limit Manager

SAP_CFM_RISK_CONTROLLER

Risk Controller

SAP_CFM_TM_BACKOFFICE_PROCES

Abwickler

SAP_CFM_TM_FUND_MANAGER

Disponent

SAP_CFM_TM_STAFF_ACCOUNTANT

Buchhalter

SAP_CFM_TM_TRADE_CONTROLLER

Handelscontroller

SAP_CFM_TREASURY_MANAGER

Leiter Treasury


5.0

35

01.02.2005 Standardrollen im Treasury Rolle

Bezeichnung

SAP_TR_ADMINISTRATOR

Administrator

SAP_TR_LO_CREDIT_ANALYST

Kreditanalyst

SAP_TR_LO_DEPARTM_MANAGER

Leiter Darlehensabteilung

SAP_TR_LO_LOANS_OFFICER

Darlehenssachbearbeiter

SAP_TR_LO_ROLLOVER_OFFICER

Prolongationssachbearbeiter

SAP_TR_LO_STAFF_ACCOUNTANT

Darlehensbuchhalter

SAP_TR_TM_BACKOFFICE_PROCES

Abwickler

SAP_TR_TM_CASH_MANAGER

Cashmanager

SAP_TR_TM_FUND_MANAGER

Disponent

SAP_TR_TM_RISK_CONTROLLER

Risikocontroller

SAP_TR_TM_STAFF_ACCOUNTANT

Buchhalter

SAP_TR_TM_TRADER

Händler

SAP_TR_TM_TRADE_CONTROLLER

Handelscontroller

SAP_TR_TREASURY_MANAGER

Leiter Treasury

Transaktionsrollen Rolle

Funktion

SAP_AUDITOR_BA_CFM

Ermöglicht eine Sammlung, Strukturierung und Voreinstellung von Auswertungen im Treasury

(AIS - Audit Information System)

Das dafür notwendige Menü ist Bestandteil dieser Rolle. Die passende Berechtigungsrolle ist SAP_AUDITOR_BA_CFM_A (AIS Berechtigungen für SAP-Anwendungen (außer HR)). SAP_AUDITOR_TAX_TR (AIS - Audit Information System Transaktionsrolle)

Bietet eine Sammlung, Strukturierung und Voreinstellung von Auswertungen für die Steuerprüfung im Treasury Das dafür notwendige Menü ist Bestandteil dieser Rolle. Die passenden Berechtigungsrollen sind SAP_AUDITOR_TAX_TR_A (AIS Steuerprüfer TR (Berechtigungen)) und SAP_AUDITOR_TAX_A (AIS - Steuerprüfer Zentrale Funktionen (Berechtig.)). Weiter Informationen finden Sie im SAPHinweis 503678.


5.0

36

01.02.2005 Berechtigungsrollen Rolle

Funktion

SAP_AUDITOR_BA_CFM_A

Ermöglicht den Lesezugriff zum kaufmännischen Audit im Treasury

(AIS - Audit Information System)

Die passende Transaktionsrolle ist SAP_AUDITOR_BA_CFM /AIS Transaktionen für SAP-Anwendungen (außer HR)). SAP_AUDITOR_TAX_TR_A (AIS - Audit Information System)

Ermöglicht den Lesezugriff für den Steuerprüfer Die passende Transaktionsrolle ist SAP_AUDITOR_TAX_TR (AIS Steuerprüfung Treasury) Weiter Informationen finden Sie im SAPHinweis 503678.

Für die Rollen SAP_AUDITOR_TAX_TR und SAP_AUDITOR_TAX_TR_A erfolgt eine erweiterte Berechtigungsprüfung. Lesen Sie hierzu auch die SAP-Hinweise 445148 und 683810.

Controlling Wichtige SAP-Hinweis Beachten Sie die folgenden SAP-Hinweise zu Berechtigungen im Controlling, die sich nicht auf Programmkorrekturen beziehen: Nummer

Kurztext

15211

CO-Standardberichte: Berechtigungskonzept

16371

Berechtigung für Vert.schlüssel und Planparameter

39140

Meldung KB015 unberechtigt

49640

Verfeinerte Berechtigung für Verdichtungsobjekte

51731

Fehlende Berechtigungen für Innenaufträge

60522

Berechtigungsprüfung B_USERSTAT bei Vorgang

74676

CO-Berichte: Berechtigungen für Extrakte

75970

Fehlende Berechtigungen für Innenaufträge: Bericht

80065

Recherche: Keine Einzelposten zu Berichtszeile

93695

Berechtigung bei Aufträgen mit 'sofort freigeben'

98580

Recherche: Fehlermeldung KH702

123022

Vorablösung Berechtigung Reporting Prozeßkstrechn.


5.0

37

01.02.2005

136325

ReportWriter: Berechtigungsgruppe Standardberichte

155752

Recherche: Berechtigungsprüfung Massendruck

159408

CJ41/CJ43: Berechtigung für Detailplanung fehlt

164166

CO-PA: Planung: Lange Laufzeit bei Berechtigungsprüfung

165087

Recherche: Berechtigungsprüfung für Intervalle

175063

Meldung 5A252 bei Standardhierarchie anzeigen / ändern

211991

Berechtigungsobjekte, Generierung Unternehmensorganisation

313077

Falscher Langtext zu Fehlermeldung KC 040

317824

Recherche: Berechtigungsprüfung und Hierarchien

319858

Gruppenpflege: Profilgenerator mit S_PROGRAM = '*'

337885

ALLOCATION: Zykluspflege-Berechtigung aus Easy-Access

359664

Probleme mit alten Personalisierungsprofilen (KEPM

370082

Berechtigungen: Wissenswertes zum Verantwortungsbereich

378687

Berechtigungen: Eingabe des Feldes CO_ACTION

386065

Bericht zeigt je nach Benutzer unterschiedl. Daten

390214

KEPM: Aufteilung der Berechtigungen "Änderung"

402757

Recherche: Berechtigungsobjekt K_CKBOB nicht berücksichtigt

412570

Anzeige Einzelposten trotz fehlender Berechtigung

425703

KP06ff: Berechtigungsobjekt K_KA09_KVS

435072

Berechtigungen: Ergänzung zum Verantwortungsbereich

438079

K_COSTCTR_BAPI_GETLIST muß Berechtigungen genauer prüfen

438492

Ändern Merkmalsausprägungen möglich obwohl nur Anzeige

448765

KPR6 - Dump SAPSQL_INVALID_FIELDNAME

451621

Berechtigungskonzept in der KEPM


5.0

38

01.02.2005

459864

Gruppenpflege: Berechtigung G_800S_GSE

487762

KE21N: Berecht.-Verprobung bzgl. eingegebener Merkmalswerte

500012

Neue Berechtigungsprüfung für Steuersenkungsgesetz

506164

ALLOCATION: Infomeldung GA185 bei Listausgabe

515483

Gruppenpflege: Berechtigungen

520193

CO-PA Berichte transportieren ohne Berechtigungsobjekt

545223

Retraktor: Fehlermeldung RD403

554340

ReportWriter: Erweiterung GRWTAUTH ohne Beispielcoding

556090

Recherche: fehlerhafter Berichtskopf (grafische Ausgabe)

560803

Abschließen von Fakturierungselementen mit Warnmeldung

564757

Steuersenkungsgesetz im CO: Absprung per BBS

578105

Gruppenpflege: Berechtigung G_800S_GSE, Teil II

594899

Berechtigungsprüfung bei Innenaufträgen K_ORDER RESPAREA

602445

Gruppenpflege: Berechtigung G_800S_GSE für 4.5

604107

MPO_PERS_FILL_CC: Auflösen der Kostenstellenhierarchie

611798

ALLOCATION: Infomeldung GA185 bei Listausgabe

616112

KKA2, KKAJ: Erweiterung für Berechtigungen

616338

RESPAREA: Gruppen-Berechtigungen als Intervalle pflegen

616580

ALLOCATION: Berechtigungen beim Storno von Zyklen

623650

ISR-Formular bricht ab: Berechtigungen fehlen

625873

KSA3/KSA8: Verprobung auf Berechtigungsobjekt K_CCA

638364

KJH3: Anzeigemodus und Berechtigungen

667123

ALLOCATIONS: Fehlermeldung GA 776 unverständlich

673260

KBxxN: Berechtigungsobjekt K_PVARIANT fehlt im Profil


5.0

39

01.02.2005

Berechtigungen im Controlling Standardrollen im Controlling Rolle

Bezeichnung

SAP_CO_DAILY

Applikationsübergreifende Tagesgeschäfte

SAP_CO_DAILY_CATS

Applikationsübergreifende Tagesgeschäfte - CATS

SAP_CO_DOCUMENT_LIST

Rechnungswesenbelege anzeigen

SAP_CO_EASY_COST_PLANNING

Easy Cost Planning and Execution Services

SAP_CO_ENTERPRISE_ORGANISATION

Unternehmensorganisation pflegen

SAP_CO_MODEL

CO-Version pflegen

SAP_CO_OBJECT_STAT_KEYFIGURE

Statistische Kennzahlen pflegen

SAP_CO_OM_DAILY_ABM

Tagesgeschäft Leistungsrechnung

SAP_CO_OM_ISR_PROCESSING

Bearbeitung von internen Service-Anträgen

SAP_CO_OM_JOB_INTORDER_BUDGET

Innenauftrag - Budgetierung

SAP_CO_OM_JOB_INTORDER_DISPLAY

Innenaufträge anzeigen

SAP_CO_OM_JOB_INTORDER_INTERES

Innenauftrag - Planverzinsung

SAP_CO_OM_JOB_INTORDER_MAINT

Innenaufträge pflegen

SAP_CO_OM_JOB_INTORDER_PLAN

Innenaufträge - Gesamtplanung

SAP_CO_OM_JOB_INTORDER_YEAREND

Innenaufträge - Jahresabschluss

SAP_CO_OM_MANAGER_GENERIC

generische Rolle Manager

SAP_CO_OM_MODEL_ABM

IILV-Zyklen und Templates pflegen

SAP_CO_OM_MODEL_OM

Zyklen für Umlage, Verteilung und Umbuchung pflegen

SAP_CO_OM_OBJECT_ABM

Geschäftsprozesse und Leistungsarten pflegen

SAP_CO_OM_OBJECT_DISPLAY

Gemeinkosten-Stammdaten anzeigen

SAP_CO_OM_OBJECT_OM_COSTCENTER

Kostenstellen pflegen

SAP_CO_OM_OBJECT_OM_COSTEL_PRI

Primärkostenarten pflegen

SAP_CO_OM_OBJECT_OM_COSTEL_SEC

Sekundärkostenarten pflegen

SAP_CO_OM_PEREND_ABM_COLL

Periodenabschluss Kostenstellen/Prozesskostenrechnung

SAP_CO_OM_PEREND_INTORDER_COLL

Periodenabschluss Innenauftrag Sammelverarbeitung

SAP_CO_OM_PEREND_INTORDER_IND

Periodenabschluss Innenauftrag Einzelverarbeitung

SAP_CO_OM_PEREND_OM_COLL

Periodenabschluss Kostenstellenrechnung (ohne Leist.)

SAP_CO_OM_PLAN_ABM

Planung Kostenstelle/Leistungsart und Geschäftsprozess

SAP_CO_OM_PLAN_INTORDER

Periodische Planung Innenauftrag


5.0

40

01.02.2005

SAP_CO_OM_PLAN_OM

Periodische Planung Kostenstelle

SAP_CO_OM_PLAN_OM_BUDGET

Kostenstellenetats pflegen

SAP_CO_OM_REPORT_COSTCTR_ABM_C

Berichte zu Kostenstellen/Leistungsarten (analog BW)

SAP_CO_OM_REPORT_COSTCTR_ABM_L

Berichte zu Kostenstellen/Leistungsarten (nur OLTP)

SAP_CO_OM_REPORT_COSTCTR_OM_C

Berichte zu Kostenstellen (analog BW)

SAP_CO_OM_REPORT_COSTCTR_OM_L

Berichte zu Kostenstellen (nur OLTP)

SAP_CO_OM_REPORT_COST_ELEMENT

Berichte zu Kostenarten

SAP_CO_OM_REPORT_INTORDER_C

Berichte zu Innenaufträgen (analog BW)

SAP_CO_OM_REPORT_INTORDER_L

Berichte zu Innenaufträgen (nur OLTP)

SAP_CO_OM_REPORT_PROCESS_C

Berichte zu Geschäftsprozessen (analog BW)

SAP_CO_OM_REPORT_PROCESS_L

Berichte zu Geschäftsprozessen (nur OLTP)

SAP_CO_OM_REPORT_TOOLS

Berichtswerkzeuge GemeinkostenControlling

SAP_CO_PA_ADJUSTMENTS

Anpassungen in der Ergebnisrechnung

SAP_CO_PA_BASICDATA_CHARACTER

Merkmalswerte/Ableitung in der Ergebnisrechnung pflegen

SAP_CO_PA_BASICDATA_DISPLAY

Ergebnisrechnungs-Stammdaten anzeigen

SAP_CO_PA_BASICDATA_VALUATION

Bewertung in der Ergebnisrechnung pflegen

SAP_CO_PA_PEREND

Periodenabschluss Ergebnisrechnung

SAP_CO_PA_PLANNING_AIDS

Planungshilfen zur Absatz- und Ergebnisplanung pflegen

SAP_CO_PA_PLANNING_EXEC_PROF

Absatz- und Ergebnisplanung ausführen

SAP_CO_PA_PLANNING_EXEC_WEB

Absatz- und Ergebnisplandaten über das WWW erfassen

SAP_CO_PA_PLANNING_INTEGRATION

Integrierte Datentransfers in der Absatzund Ergebnisplanung

SAP_CO_PA_PLANNING_SETUP

Absatz- und Ergebnisplanung einrichten

SAP_CO_PA_REPORT_DEMO

Demoberichte zur Ergebnisrechnung ausführen

SAP_CO_PA_REPORT_DESIGN_L_ITEM

Einzelpostenbasierte Berichte zur Ergebnisrechnung definieren

SAP_CO_PA_REPORT_DESIGN_STD

Ergebnisberichte definieren

SAP_CO_PA_REPORT_EXECUTE

Ergebnisberichte ausführen

SAP_CO_PA_SET_OPERATINGCONCERN

Ergebnisbereich setzen

SAP_CO_PA_VALUE_FLOW_ANALYSIS

Werteflüsse in der Ergebnisrechnung analysieren

SAP_CO_PC_ACT_MATERIAL_CONTROL

Materialpreisermittlung ändern (Istkalkulation

SAP_CO_PC_ACT_MATERIAL_DISPLAY

Materialpreisanalyse (Istkalkulation)


5.0

41

01.02.2005

SAP_CO_PC_ACT_ORG_MEASURES_SL

Organisatorische Maßnahmen (Istkalkulation)

SAP_CO_PC_ACT_SETTINGS

Material-Ledger einstellen

SAP_CO_PC_DAILY_MAT_DEBIT_CRED

Materialien be- und entlasten

SAP_CO_PC_DAILY_MAT_PRICEMAINT

Materialpreise pflegen und freigeben

SAP_CO_PC_JOB_MANUFORDER

Produktionsaufträge anzeigen

SAP_CO_PC_JOB_MANUFORDER_CO

CO-Fertigungsaufträge pflegen

SAP_CO_PC_JOB_SALESORDER

Kundenaufträge anzeigen

SAP_CO_PC_MODEL

Modellierung: Produktkosten-Controlling

SAP_CO_PC_MODEL_COSTING

Kalkulationsmodelle

SAP_CO_PC_MODEL_MATERIAL_CONTR

Materialfortschreibung pflegen

SAP_CO_PC_OBJECT_COCOLLECTOR

Produktkostensammler pflegen

SAP_CO_PC_OBJECT_COOBJHIER

Kostenträgerhierarchie pflegen

SAP_CO_PC_OBJECT_COOBJID

Kostenträger pflegen

SAP_CO_PC_PEREND_ACT_MLEVEL

Mehrstufige Istkalkulation pflegen

SAP_CO_PC_PEREND_ACT_MLEVEL_DP

Mehrstufige Istkalkulation anzeigen

SAP_CO_PC_PEREND_ACT_SLEVEL_PC

Abschlussbuchung einzelner Materialien

SAP_CO_PC_PEREND_ACT_SLEVEL_PD

Einstufige Materialpreisermittlung einzelner Materialien

SAP_CO_PC_PEREND_COCOLLECT_COL

Periodenabschluss Produktkostensammler Sammelverarbeitung

SAP_CO_PC_PEREND_COCOLLECT_IND

Periodenabschluss Produktkostensammler Einzelverarbeitung

SAP_CO_PC_PEREND_COCOLLECT_WLM

Periodenabschluss Produktkostensammler AV

SAP_CO_PC_PEREND_COOBJHIER_COL

Periodenabschluss Kostenträgerhierarchie Sammelverarbeitung

SAP_CO_PC_PEREND_COOBJHIER_IND

Periodenabschluss Kostenträgerhierarchie Einzelverarbeitung

SAP_CO_PC_PEREND_COOBJHIER_WLM

Periodenabschluss Kostenträgerhierarchie AV

SAP_CO_PC_PEREND_COOBJID_COLL

Periodenabschluss Kostenträger Sammelverarbeitung

SAP_CO_PC_PEREND_COOBJID_IND

Periodenabschluss Kostenträger Einzelverarbeitung

SAP_CO_PC_PEREND_MANUFORD_COL

Periodenabschluss Produktionsaufträge Sammelverarbeitung

SAP_CO_PC_PEREND_MANUFORD_IND

Periodenabschluss Produktionsaufträge Einzelverarbeitung

SAP_CO_PC_PEREND_MANUFORD_WLM

Periodenabschluss Produktionsaufträge AV

SAP_CO_PC_PEREND_SALESORD

Periodenabschluss Kundenaufträge

SAP_CO_PC_PEREND_SALESORD_WLM

Periodenabschluss Kundenaufträge AV


5.0

42

01.02.2005

SAP_CO_PC_PLAN_AUTH_EXPL_FACI

TA-Berechtigungen für die Erklärungskomponente

SAP_CO_PC_PLAN_COCOLLECTOR

Vorkalkulation Produktkostensammler

SAP_CO_PC_PLAN_COOBJID

Periodische Planung Kostenträger (allg.)

SAP_CO_PC_PLAN_MAT_PRICEDETERM

Materialkalkulation / Kalkulationslauf

SAP_CO_PC_PLAN_MAT_PRICERELEAS

Vormerkung und Freigabe Plankalkulation

SAP_CO_PC_PLAN_REFERENCE_SIMUL

Mehrstufige Einzelkalkulation

SAP_CO_PC_PLAN_SALESORDER_BOM

Kundenaufträge ASL-Kalkulation

SAP_CO_PC_REPORT_COCOLLECTOR

Berichte zum Produktkostensammler

SAP_CO_PC_REPORT_COOBJHIER

Berichte zur Kostenträgerhierarchie

SAP_CO_PC_REPORT_COOBJID

Berichte zu Kostenträgern

SAP_CO_PC_REPORT_MANUFORDER

Berichte zu Produktionsaufträgen

SAP_CO_PC_REPORT_MATERIAL_ESTI

Berichte zur Materialkalkulation

SAP_CO_PC_REPORT_MATERIAL_LEDG

Berichte zum Material-Ledger und zur Istkalkulation

SAP_CO_PC_REPORT_PROD_CAMPAIGN

Berichte zur Produktionskampagne

SAP_CO_PC_REPORT_PRODUCTDRILL

Berichte zu Produkt und Werk

SAP_CO_PC_REPORT_REFERENCE_SIM

Berichte zur Musterkalkulation

SAP_CO_PC_REPORT_SALESORDER

Berichte zu Kundenaufträgen

SAP_CO_PC_REPORT_SUMMARIZATION

Berichte mit Objektverdichtung

SAP_CO_PC_REPORT_TOOLS

Produktrecherche - eigene Berichte anlegen

SAP_CO_PEREND_CLOSING_PERIOD

Periodensperre pflegen

SAP_CO_PEREND_DISPLAY

Schedule Manager - Anzeigefunktionen

SAP_CO_PEREND_MAINTAIN

Schedule Manager - Pflegefunktionen

SAP_CO_RECONCILIATION_LEDGER

Controlling: Abstimmledger pflegen

SAP_CO_SET_CONTROLLING_AREA

Kostenrechnungskreis setzen

SAP_CO_CRM_REP

Berichte/Stammdaten zur CO-Integration CRM Services

SAP_CO_CRM_REP_PEC

CO-Integration CRM Service

SAP_CO_CRM_REP_PEC_IMG

CO-Integration CRM Service mit Modellierung

Beachten Sie auch die folgende Dokumentation: •

Allgemeine Informationen zu den Berechtigungen im Controlling finden Sie im SAP Help Portal unter der Internetadresse help.sap.com auf der Registerkarte Documentation → SAP ERP Central Component → Release 5.0 → SAP ERP Central Component → Rechnungswesen → Controlling (CO) → Controlling (CO) → Methoden im Controlling → Berechtigungen sowie unter Rechnungswesen → Controlling (CO) → Ergebnis und Marktsegmentrechnung (CO-PA) → Infosystem → Berechtigungsobjekte im Infosystem.


5.0

43

01.02.2005 •

Informationen zu den Berechtigungen für die Funktionen des Controlling im Manager Self-Service (MSS) finden Sie im SAP Help Portal unter der Internetadresse help.sap.com auf der Registerkarte Documentation → SAP ERP Central Component → Release 5.0 → SAP ERP Central Component → Anwendungsübergreifende Komponenten → Manager Self-Service.

•

Informationen zu den Berechtigungen zur Rolle des Business Unit Analyst (BUA) finden Sie im SAP Help Portal unter der Internetadresse help.sap.com auf der Registerkarte Documentation → SAP ERP Central Component → Release 5.0 → SAP ERP Central Component → Anwendungsübergreifende Komponenten → WebAnwendung für den Bereichscontroller .

Beachten Sie ferner die folgenden Aktivitäten im SAP Customizing Einführungsleitfaden unter Integration mit anderen SAP Komponenten → Business Unit Analyst (mySAP ERP): •

Controlling → Ergebnis- und Marktsegmentrechnung → Werkzeuge → Berechtigungsverwaltung → CO-PA-spezifische Berechtigungsobjekte: ¡

Berechtigungsobjekte für die Planung definieren

¡

Berechtigungsobjekte für das Infosystem definieren

¡

Berechtigungsobjekte für einzelpostenb. Berichte definieren

¡

Rolle/Berechtigungsprofil anlegen und Benutzer zuweisen

•

Integration mit anderen SAP Komponenten → Business Unit Analyst (mySAP ERP) → Personalisierung → Automatisches Generieren von Default-Berechtigungen und Personalisierung aus Berechtigungen füllen

•

Integration mit anderen SAP Komponenten → Business Unit Analyst (mySAP ERP) → Personalisierung → Business Add-Ins → BAdI: Berechtigungsprüfung für Objekte

Berechtigungen der Profitcenter-Rechnung Standardrollen der Profitcenter-Rechnung Rolle

Bezeichnung

SAP_AUDITOR_BA_EC_PCA

AIS - Profit-Center-Rechnung

SAP_AUDITOR_BA_EC_PCA_A

AIS - Profit-Center-Rechnung (Berechtigungen)

SAP_EC_PCA_ARCHIVING

Archivierung Profit-Center-Rechnung

SAP_EC_PCA_MODEL

Zyklen Umlage, Verteilung, Umbuchung pflegen (EC-PCA)

SAP_EC_PCA_MODEL_TP_DISPLAY

Transferpreise anzeigen

SAP_EC_PCA_MODEL_TP_MAINTAIN

Transferpreise pflegen

SAP_EC_PCA_OBJECT_DISPLAY

Stammdaten Profit Center anzeigen

SAP_EC_PCA_OBJECT_MAINTAIN

Stammdaten Profit Center pflegen

SAP_EC_PCA_PEREND

Periodenabschluss Profit-Center-Rechnung

SAP_EC_PCA_PEREND_POSTINGS

Datenerfassung Profit-Center-Rechnung

SAP_EC_PCA_PLAN_CLOSING

Planabschluss Profit-Center-Rechnung

SAP_EC_PCA_PLANNING

Planung Profit-Center-Rechnung

SAP_EC_PCA_REPORT

Profit-Center-Rechnung - Einzelposten und Summensätze


5.0

44

01.02.2005

SAP_EC_PCA_REPORT1

Profit-Center-Rechnung - RechercheBerichte

SAP_EC_PCA_REPORT2

Profit-Center-Rechnung - Report-PainterBerichte

SAP_EC_PCA_REPORT3

Profit-Center-Rechnung - Berichte anderer Komponenten

Berechtigungsobjekte Profitcenter-Rechnung Objekt

Bezeichnung

K_PCA

EC-PCA: Verantwortungsbereich Profit Center

K_PCAB_DEL

EC-PCA: Bewegungsdaten löschen

K_PCAD_UM

EC-PCA: Umlage/Verteilung

K_PCAF_UEB

EC-PCA: FI-Datenübernahme

K_PCAI_UEB

EC-PCA: Istdatenübernahme

K_PCAL_GEN

EC-PCA: Ledger generieren und aktivieren

K_PCAM_UEB

EC-PCA: MM-Datenübernahme

K_PCAP_SET

EC-PCA: Planungshierarchie

K_PCAP_UEB

EC-PCA: Plandatenübernahme

K_PCAR_REP

EC-PCA: Summen- und Einzelpostenberichte

K_PCAR_SRP

EC-PCA: Standardreports und Datensets

K_PCAS_PRC

EC-PCA: Profit Center

K_PCAS_UEB

EC-PCA: SD-Datenübernahme

K_PCA_REAL

EC-PCA: Realignment für Prctr-Zuordnungen zu CO-Stammdaten

Netzwerk- und Kommunikationssicherheit Das Controlling ist mit Microsoft Office® integriert. Informationen zu Aspekten der Sicherheit bei Anwendungen von Microsoft Office® entnehmen Sie der Dokumentation der entsprechenden Produkte. Die Kommunikation im Manager Self-Service (MSS) und in der Web-Anwendung für den Bereichscontroller (BUA) erfolgt über Remote Function Call (RFC).

Kommunikationsdestinationen Für die Kommunikation über ALE, das Batch-Reporting und für Drittanbieter, die auf die Daten des Controlling zugreifen, werden technische Benutzer benötigt.


5.0

45

01.02.2005

SAP Banking SAP Banking umfasst folgende Komponenten: •

SAP Geschäftspartner für Financial Services (FS-BP)

•

Bankenkontokorrent (BCA)

•

Darlehensverwaltung (FS-CML)

•

Strategic Enterprise Management (SEM) Die Sicherheitskonzepte der oben genannten Komponenten sind in diesem Sicherheitsleitfaden dokumentiert.

•

Sicherheitenverwaltungssystem (FS-CMS) Zum Sicherheitenverwaltungssystem (FS-CMS) gibt es einen eigenen Sicherheitsleitfaden. Sie finden diesen Sicherheitsleitfaden auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide unter mySAP ERP Security Guides → Security Guide for Collateral Management System (CMS).

SAP Geschäftspartner für Financial Services (FSBP) Das Sicherheitskonzept beim SAP Geschäftspartner für Financial Services (FS-BP) entspricht im Wesentlichen dem Sicherheitskonzept des zentralen SAP Geschäftspartner (SAP GP) .

Berechtigungen Im SAP Customizing Einführungsleitfaden (IMG) von SAP Banking können Sie unter SAP Geschäftspartner für Financial Services → Allgemeine Einstellungen → Geschäftspartner → Grundeinstellungen → Berechtigungsverwaltung u.a. Rollen anlegen.

Sicherheit der Datenablage Über das Berechtigungsobjekt B_CCARD wird der Zugriff auf Kreditkarteninformationen gesteuert, die am Geschäftspartner hinterlegt sind. Die Steuerung fällt aber auch in den Verantwortungsbereich vom zentralen SAP Geschäftspartner. Mitarbeiterdaten können Sie über Berechtigungsgruppen (Berechtigungsobjekt B_BUPA_GRP) schützen.


5.0

46

01.02.2005


Berechtigungen Im Bankenkontokorrent (BCA) gibt es folgende Standardrollen: Rolle

Bezeichnung

SAP_ISB_ACCOUNTS_ADMIN_AG

SAP Banking BCA: Administrator in der Kontoführung

SAP_ISB_ACCOUNTS_ASSISTANT_AG

SAP Banking BCA: Assistent in der Kontoführung

SAP_ISB_ACCOUNTS_STAFF_AG

SAP Banking BCA: Sachbearbeiter in der Kontoführung

Weitere Informationen zur Berechtigungsverwaltung und den Berechtigungsobjekten im Bankenkontokorrent finden Sie im SAP Help Portal unter der Internetadresse help.sap.com auf der Registerkarte Documentation → SAP ERP Central Component → Release 5.0 → SAP ERP Central Component → Rechnungswesen → SAP Banking → Bank Customer Accounts (BCA) → Übergreifende Themen → Berechtigungsverwaltung bzw. Berechtigungsverwaltung → Berechtigungsobjekte. Zum Thema Berechtigungen gibt es im Bankenkontokorrent (BCA) zudem folgende Business Transaction Events: Business Transaction Event

Bezeichnung

SAMPLE_INTERFACE_00011040

AUTH1- Konto


Berechtigungsprüfungen/ Berechtigungstyp


Scheckverwaltung


Dialog Zahlungsposten


Dialog Zahlungsauftrag


Dialog Dauerauftrag

Netzwerk- und Kommunikationssicherheit Bankenkontokorrent (BCA) kommuniziert mit folgenden externen Systemen: •

Zahlungsverkehrssysteme

•

Zinsabschlagsteuer (ZAST)

•

Finanzwesen (FI), falls Finanzwesen (FI) auf einem externen System läuft

Verschlüsseln Sie die Kommunikation mit den externen Systemen gemäß SAP Standard. Die Kommunikation mit allen externen Systemen erfolgt über Remote Function Call (RFC).


5.0

47

01.02.2005

Sicherheit der Datenablage Die Sicherheit sensibler Objekte wie Spar- und Girokonten wird mit dem allgemeinen Berechtigungskonzept von Bankenkontokorrent (BCA) gewährleistet. Bei Mitarbeiterkonten gibt es zusätzlich zum allgemeinen Berechtigungskonzept noch folgende Sicherheitsmechanismen: •

•

folgende spezielle Berechtigungsobjekte ¡

F_EMAC_MTH

¡

F_EMAC_TRN

folgendes spezielle Feldmodifikationskriterium des Business Data Toolset (BDT) ¡

FMOD1 Dieses Kriterium wird bei Mitarbeiterkonten durchlaufen.

Wichtige SAP Hinweise Beachten Sie folgende SAP Hinweise zu Berechtigungen im Bankenkontokorrent (BCA) : Hinweisnummer

Kurztext

126494

Berechtigung bei RFC-Aufrufen Abstimmung GL/BCA

441020

Wertetabelle für Berechtigungsgruppenobjekte

315545

Daueraufträge: freigeben, 4-Augen-Prinzip

731832

Konditionen: Berechtigungsobjekt F_COND_BDC

127591

Berechtigungsgruppe in Reports

Darlehensverwaltung (FS-CML)

Berechtigungen Grundlage für die Berechtigungsverwaltung bei den Hypothekendarlehen ist das bestehende Berechtigungskonzept in der Darlehensverwaltung (FS-CML). Die Berechtigungsprüfung erfolgt nach dem Einschlussprinzip, d. h. wenn ein Benutzer die Berechtigung zum Aktivieren eines Geschäftsvorfalls hat, darf er diesen auch wieder löschen. Die Berechtigung zum Buchen schließt die Berechtigung zum Stornieren ein. Werden aus einem Geschäftsvorfall heraus weitere Funktionen aufgerufen, erfolgt noch innerhalb dieses Geschäftsvorfalls vor dem Absprung die entsprechende Berechtigungsprüfung. Dadurch werden Abbrüche der gerufenen Funktionen vermieden. Um Ihre Berechtigungsverwaltung für die Hypothekendarlehen einzustellen, können Sie sich an den folgenden im Auslieferungsumfang enthaltenen Rollen orientieren:


5.0

48

01.02.2005

Rolle

Bezeichnung

Darlehenssachbearbeiter

SAP_CML_LOANS_OFFICER

Kreditanalyst

Prolongationssachbearbeiter

Darlehensbuchhalter

SAP_CML_CREDIT_ANALYST

SAP_CML_ROLLOVER_OFFICER

SAP_CML_STAFF_ACCOUNTANT


Umfang •

Geschäftspartner anlegen, ändern, anzeigen, löschen

•

Beleihungswertermittlung, Bonitätsberechnung und Beschlussfassung

•

Objekte und Sicherheiten pflegen

•

Verträge anlegen bzw. aus Antrag oder Angebot übernehmen

•

Auszahlungen erfassen

•

Korrespondenz abwickeln

•

Darlehen freigeben (Kollege oder Manager)

•

Geschäftsvorfälle bearbeiten (z. B. Gebühr, Einzelbuchung, Rückzahlung)

•

Geschäftspartner anlegen, ändern, anzeigen, löschen

•

Darlehensanfragen, Darlehensanträge und Darlehensangebote pflegen

•

Bonitätsberechnung

•

Beschlussfassung

•

Limitvorgaben pflegen

•

Beleihungswert ermitteln

•

Objekte und Sicherheiten pflegen

•

Darlehen prolongieren (einzeln und Masse)

•

Korrespondenz abwickeln

•

Verwaltung Prolongationsordner

•

Konditionstableau pflegen

•

Geschäfte buchen

•

Ausgleichen

•

Zahlungen erstellen

•

Zahlungseingänge buchen und kontrollieren

•

Verzichte und Abschreibungen

5.0

49

01.02.2005 bearbeiten

Leiter Darlehensabteilung

Produkt Administrator

Technischer Administrator

SAP_CML_DEPARTM_MANAGER

SAP_CML_PRODUCT_ADMIN

SAP_CML_TECHNICAL_ADMIN

•

Stornieren

•

Abgrenzen

•

Bewertung vornehmen

•

Buchhaltungsreporting durchführen

•

Freigabe vornehmen

•


•

Limitvorgaben ändern

•

Risikoanalyse durchführen

•

Ordner überwachen (Prolongation oder Vorgangsverwaltung)

•

Bestand und Bestandsentwicklung per Report überwachen, Berichte und Queries

•

Referenzzinssätze aktualisieren

•


•

Neugeschäftstableau pflegen

•

Massenläufe (z. B. Massendrucklauf) durchführen, Status Plan erledigt setzen, Plansätze buchen

•

Währungsumstellung

•

Referenzzinssätze und Währungskurse aktualisieren

•

Reorganisation und Datenarchivierung

•

Queries, RechercheFormular und Berichte definieren

•

Performance-Parameter pflegen

•

Änderungszeiger analysieren

•

Exportschnittstellen definieren

Sie können diese Rollen den Benutzern in Ihrem Unternehmen zuordnen. Nehmen Sie an den Originalrollen keine Änderungen vor, da diese bei einem Upgrade des Systems von den Standardeinstellungen überschrieben werden. Sicherheitsleitfaden SAP ERP Central Component

5.0

50

01.02.2005 Um Anpassungen vorzunehmen, kopieren Sie diese Rollen. Wählen Sie dazu vom Bild SAP Easy Access aus Werkzeuge → Administration → Benutzerpflege → Rollenverwaltung → Rollen. Hier können Sie beispielsweise die Berechtigungen für die Konsumentenkredite in selbst definierten Rollen zusammenfassen und diese den Benutzern der Fachabteilung zuordnen. Im ersten Schritt pflegen Sie das Menü der Rolle. Sie können dieses selbst gliedern, indem Sie z. B. Ordner, Transaktionen, Berichte einfügen und diese ggf. umbenennen. Neben der manuellen Zusammenstellung der relevanten Transaktionen, können Sie diese auch aus dem SAP-Menü oder einer anderen Rolle übernehmen. Im Anschluss pflegen Sie die Berechtigungen für Ihre Rolle. Bestimmte Berechtigungen sowie deren Ausprägungen werden Ihnen bereits vorgeschlagen. Zusätzlich hierzu können Sie weitere Objekte aufnehmen. Danach ist das Berechtigungsprofil zu generieren. Im letzten Schritt pflegen Sie die Benutzer, die die in der Rolle vereinten Berechtigungen erhalten sollen. Sie können hierbei auch Elemente aus dem Organisationsmanagement, wie die Stelle, verwenden. Dies bietet den Vorteil, dass Sie die Benutzerzuordnung bei einem Arbeitsplatzwechsel einer Person nicht in jeder Rolle einzeln pflegen müssen. Diese Funktion können Sie auch bei der Freigabe verwenden.

Sicherheit der Datenablage Die Sicherheit sensibler Daten innerhalb der Darlehensverwaltung (z.B. Darlehensverträge, Konsumentenkredite, Beleihungswerte, Bonitätsberechnungen, Sicherheiten) wird mit dem allgemeinen Berechtigungskonzept der Darlehensverwaltung (FS-CML) gewährleistet. Zusätzlich können ausgehend von der Darlehensverwaltung Geschäftspartnerdaten angezeigt werden. Diese Daten können Sie über das Berechtigungskonzept vom zentralen SAP Geschäftspartner schützen.

Strategic Enterprise Management (SEM) für Banken Berechtigungen Im Strategic Enterprise Management (SEM) für Banken gibt es folgende Standardrollen:

Rolle

Bezeichnung

SEM-PA SAP_ISB_PA_CONTROLLER_AG

SAP Banking Ergebnisanalyse: Rentabilitätscontroller

SEM-MRA Corporate Finance Management SAP_CFM_RISK_CONTROLLER

Risk Controller


Handelscontroller


Leiter Treasury

Bank-Anwendungen SAP_ISB_STRATEGIC_PLANNER_AG

SAP Banking Asset Liability Management: Strategischer Bilanzplaner

SAP_ISB_MAR_RISK_CONTROLLER_AG

SAP Banking Risikoanalyse: Marktrisikocontroller


5.0

51

01.02.2005

SEM-KL Corporate Finance Management SAP_CFM_RISK_CONTROLLER

Risk Controller


Handelscontroller


Leiter Treasury

SAP_CFM_ADMINISTRATOR

Administrator

SAP_CFM_DEALER

Treasury: Händler

SAP_CFM_LIMIT_MANAGER

Limit Manager

Bank-Anwendungen SAP_ISB_CRE_RISK_CONTROLLER_AG

SAP Banking Ausfallrisikolimitierung: Ausfallrisikocontroller

SAP_ISB_CRE_RISK_MANAGER_AG

SAP Banking Ausfallrisikolimitierung: Ausfallrisikomanager

SAP_ISB_CRE_RISK_TRADER_AG

SAP Banking Ausfallrisiko Limitierung: Händler

Beachten Sie zudem folgende Aktivitäten im SAP Customizing Einführungsleitfaden (IMG): •

für SEM-PA: unter SAP Banking → SEM Banking → Ergebnisanalyse → Werkzeuge → Berechtigungsverwaltung:

•

für SEM-MRA unter SAP Banking → SEM Banking → Gemeinsame Einstellung Marktrisiko und ALM → Benutzerpflege/Berechtigungsverwaltung

Netzwerk- und Kommunikationssicherheit •

Fremddatenübernahme Sie können Bankgeschäfte, die nicht über SAP-Transaktionen erfolgen, über die Fremddatenübernahme in das SAP-System übernehmen. Die Übernahme erfolgt über ein Remote Function Call (RFC).

•

Übernahme von Marktdaten Die Marktdaten für eine Risikoanalyse werden über ein Datafeed in das SAP-System übernommen. mySAP ERP2004 enthält SEM-Extraktoren. Diese Extraktoren sind Business Application Programming Interfaces (BAPIs) zu ausgewählten Geschäften, Marktdaten und SEM-eigenen Daten (Finanzobjekt, Limitdefinitionen, Zahlungsströme). Sie sind u.a. als Hilfsmittel zur Anbindung an Systeme für Basel II/IAS vorgesehen. Diese BAPIS werden zwar ausgeliefert, sind aber nicht offiziell freigegeben. Zu den SEM-Extraktoren gibt es keine Dokumentation, sondern nur Hinweise. Der Sammelhinweis zu diesem Thema ist Hinweis 608292. Die Entwicklung der SEM-Extraktoren beinhaltet keinerlei Berechtigungsprüfungen. Solange die Schnittstelle nicht offiziell freigegeben ist, muss deshalb bei Verwendung dieser Extraktoren ein kundeneigenes


5.0

52

01.02.2005 Berechtigungskonzept erstellt werden. In diesem Fall müssten geeignete Berechtigungsprüfungen über den Modifikationsassistent vom Kunden selbst implementiert werden. Da die Schnittstelle nicht offiziell freigegeben ist, übernimmt SAP keine Verantwortung für eine fehlende Berechtigungsprüfung.

Kommunikationsdestinationen Einige Auswertungen im SEM Banking werden üblicherweise vom Kunden als Hintergrundverarbeitung gestartet. Dies gilt besonders für Rechercheberichte und die Berechnung von Kennzahlen der Ergebnisdatenbanken. Wenn diese Hintergrundverarbeitungen über einen technischen User gestartet werden, sind nur die Berechtigungen für die entsprechende Transaktion notwendig. Diese Berechtigungen können Sie über die Transaktion SU22 ermitteln.

Sicherheit der Datenablage Die Daten innerhalb von Strategic Enterprise Management (SEM) für Banken sind als nicht besonders sensibel einzustufen. Ausgehend von Strategic Enterprise Management (SEM) für Banken können Sie aber auf Geschäftsinformationen u.a. folgender Komponenten zugreifen: •


•

Darlehensverwaltung (CML)

Dieser Zugriff ist geschützt, indem die Berechtigung für die jeweilige Transaktion geprüft wird. Die Anzeige der Risikokennzahlen erfolgt immer auf Basis der Verdichtung mehrerer Finanzgeschäfte. Über eine Detailansicht kann sich der Benutzer die betroffenen Geschäfte anzeigen lassen. Hierbei werden die Anzeigetransaktionen der entsprechenden Komponenten aufgerufen. Eine Geschäftsanzeige ist nur möglich, wenn der Benutzer die entsprechende Anzeigeberechtigung für das Geschäft besitzt. Zusätzlich können Sie über die Berechtigungsobjekte von Strategic Enterprise Management (SEM) für Banken sicherstellen, dass der Benutzer nicht indirekt Rückschlüsse auf Finanztransaktionen ziehen kann (indem er ganz bestimmte Parameter der Risikoauswertung auswählt). Sie können z.B. mit Hilfe des Berechtigungsobjekts T_RMCHAR_V einschränken, für welche Finanzgeschäfte der Benutzer bestimmte Risikoauswertungen durchführen darf. Diese Berechtigung wird dann auch bei der Anzeige gesicherter Kennzahlwerte verwendet. Diese Berechtigungsobjekte werden aber nicht auf die SEM-Extraktoren angewandt. Deshalb müssen Sie bei der Verwendung der SEM-Extraktoren geeignete Berechtigungsprüfungen über den Modifikationsassistent selbst implementieren.

Provisionsmanagement (ICM) Ausführliche Informationen zu Fragen der Sicherheit im Provisionsmanagement (ICM) entnehmen Sie dem Sicherheitsleitfaden des Provisionsmanagement auf dem SAP Help Portal unter der Internetadresse help.sap.com auf der Registerkarte Documentation → mySAP ERP → ERP Central Component → Rechnungswesen → Provisionsmanagement → Administration.


5.0

53

01.02.2005

Immobilienmanagement Berechtigungen Standardrollen des Immobilienmanagement Rolle

Bezeichnung

SAP_RE_APPL

Sachbearbeiter Real Estate

SAP_RE_CONTROLLER_AND_PLANER

Immobiliencontroller

SAP_RE_CONTROLLING_ANALYST

Immobiliencontrolling-Analyst

SAP_RE_LESSEE_CONTRACT_SUPPORT

Anmietungsverantwortlicher

SAP_RE_LESSOR_CONTRACT_SUPPORT

Vermietungsverantwortlicher

SAP_RE_MASTER_DATA_ANALYST

Stammdaten-Analyst

SAP_RE_MASTER_DATA_SUPPORT

Stammdatenverantwortlicher

SAP_RE_RENT_LEVEL_EXPERT

Mietpreisexperte

SAP_RE_RENTAL_ACC_SUPPORT

Mietenbuchhalter

SAP_RE_SC_SUPPORT

Nebenkostenverantwortlicher

Public Sector Management

Berechtigungen Standardrollen des Public Sector Management (PSM) Rolle

Bezeichnung

SAP_IS_PS_CENTRAL_FUNCTION

Zentrale Funktion Haushaltsmanagement

SAP_IS_PS_PO_CONSUMPTION

Buchungen - Mittel verbrauchen

SAP_IS_PS_MD_STRUCTURE

Stammdaten Haushaltsmanagement: Struktur pflegen

SAP_IS_PS_DECK_CREA

Deckungsfähigkeit Regelpflege

SAP_IS_PS_BCS_AVC_TOOLS

Verfügbarkeitskontrolle - Werkzeuge

SAP_IS_PS_BU_RULES

Budgetregeln pflegen

SAP_IS_PS_BCS_BUD_TOOLS

Budgetierung - Werkzeuge

SAP_IS_PS_PO_RECONCILE

Abgleich Daten mit vorgelagerten Applikationen

SAP_IS_PS_BCS_BUD_MAINTENANCE

Budgetdaten pflegen

SAP_IS_PS_BCS_BUD_PLANNING

Budgetdaten planen

SAP_IS_PS_BCS_DISPLAY

Anzeige der Budgetwerte (BCS)

SAP_IS_PS_BCS_STATUS_MAINTAIN

Budgetierung - Status zuordnen

SAP_IS_PS_BCS_STRUCT_DEF

Budgetstrukturplan pflegen


5.0

54

01.02.2005

SAP_IS_PS_BCS_STRUCT_TOOLS

Budgetstrukturplan - Werkzeuge

SAP_IS_PS_BU_CONTROL

Budgetvollzug kontrollieren

SAP_IS_PS_BU_DISPLAY

Anzeige Budgetwerte

SAP_IS_PS_BU_PLANNING

Budget planen

SAP_IS_PS_BU_UPDATE

Budget aktualisieren - Transaktionen

SAP_IS_PS_BU_UPDATE_TOOLS

Budget aktualisieren - Werkzeuge

SAP_IS_PS_BU_UPDATE_VERSION

Budget aktualisieren - Versionen bearbeiten

SAP_IS_PS_CASH_DESK

Barkasse

SAP_IS_PS_CF_BU_EXECUTE

Übertrag Budget durchführen

SAP_IS_PS_CF_BU_PREPARE

Übertrag Budget vorbereiten

SAP_IS_PS_CF_CHECK

Haushaltsabschluss prüfen

SAP_IS_PS_CF_OI_EXECUTE

Übertrag Verfügungen durchführen

SAP_IS_PS_CF_OI_PREPARE

Übertrag Verfügungen vorbereiten

SAP_IS_PS_DECK_DISP

Deckungsfähigkeit Stammdaten/Reporting Anzeige

SAP_IS_PS_MD_DISPLAY

Stammdaten Haushaltsmanagement: Anzeigefunktionen

SAP_IS_PS_MD_ZUOB

Stammdaten Haushaltsmanagement: Zuordnung zu CO-Strukturen

SAP_IS_PS_PO_COMMITMENTS

Buchungen - Mittel binden

SAP_IS_PS_PO_CONSUMPTION_DISP

Buchungen - Anzeige Verfügungen

SAP_IS_PS_PO_FOR

Buchungen - Veranschlagte Einnahmen

SAP_IS_PS_PO_TRANSFERS

Buchungen: Verfügungen umbuchen

Das Public Sector Management nutzt für seine Rollen die Namenskonventionen SAP_FI_GM_* und SAP_IS_PS_*. Standardrollen des Fördermittelmanagement (PSM-GM) Rolle

Bezeichnung

Funktion

SAP_FI_GM_GRANT_ANALYST

Grants Management: Grant Analyst

Stammdatenpflege, Ausführung von Reports

SAP_FI_GM_GRANT_MANAGER

Grants Management: Grant Manager

Neuanlage, Prüfung und Genehmigung von Stammdaten, Ausführung des Abrechnungsprogramms

SAP_FI_GM_PROGRAM_ANALYST

Grants Management: Program Analyst

Anlegen von Stammdaten, Bearbeitung von Vorschlägen und Budgets

SAP_FI_GM_PROGRAM_MANAGER

Grants Management: Program Manager

Prüfung und Genehmigung von Vorschlägen und Budgets

SAP_FI_GM_PROJECT_MANAGER

Grants Management: Project Manager

Verwaltung von Förderungen und Budgets, Ausführung von Reports


5.0

55

01.02.2005

Berechtigungsobjekte des Fördermittelmanagement (PSM-GM) Berechtigungsobjekt

Bezeichnung

F_FIGM_BUD

Grants Management: Authority for Budget

F_FIGM_CLS

Grants Management: Authority for Class

F_FIGM_GNG

GM: Grant Groups

F_FIGM_GNT

Grants Management: Authority for Grant

F_FIGM_PRG

Grants Management: Authority for Programs

F_FIGM_SCG

GM: Sponsored Class Groups

F_FIGM_SPG

GM: Sponsored Program Groups

Die Stammdatenobjekte und Geschäftsprozesse des Fördermittelmanagements werden durch Standardberechtigungsobjekte geschützt. US Federal Government nutzt die Berechtigungskonzepte der Komponenten, die es einsetzt, wie die des Haushaltsmanagements und der Materialwirtschaft. Beachten Sie hier auch die Dokumentation des Haushaltsmanagements auf dem SAP Help Portal unter der Internetadresse help.sap.com SAP ERP Central Component → Rechnungswesen → Public Sector Management → Haushaltsmanagement → Berechtigungen.

Netzwerk- und Kommunikationssicherheit Das Public Sector Management kommuniziert mit den folgenden Komponenten: •

Human Capital Management (HCM) im Rahmen des Szenarios Budgetplanung und bewirtschaftung

•

SAP Enterprise Buyer (EBP)

Die Kommunikation mit diesen internen SAP-Komponenten erfolgt per Remote Function Call (RFC). Beachten Sie die entsprechenden Abschnitte im RFC/ICF Security Guide auf dem SAP Service Marketplace unter der Internetadresse service.sap.com/securityguide → SAP NetWeaver Security Guide → Security Aspects for Connectivity and Interoperability. US Federal Government verfügt sowohl über Zahlungs- als auch InkassoAusgangsschnittstellen für die Treasury Confirmation und Intragovernment Payment and Collections (IPAC). Diese Ausgangsschnittstelle nutzt Zahlwege und flache Dateien. Die Eingangsschnittstelle der Central Contractor Registration (CCR) nutzt IDocs.

Sicherheit der Datenablage Public Sector Management unterstützt Zahlungen mit Zahlungskarten. Da dieser Prozess jedoch keine Schlüsselstellung im Public Sector Management einnimmt und Kunden bisher keine Anforderungen bezüglich der Verschlüsselung von Kartennummern gestellt haben, bietet das Public Sector Management derzeit keine Verschlüsselung von Zahlungskartennummern an.

Weitere sicherheitsrelevante Informationen Berechtigungsprüfungen erfolgen im Public Sector Management und Haushaltsmanagement nur, wenn die Berechtigungsgruppe eines Stammdatenobjektes gefüllt ist. Um eine


5.0

56

01.02.2005 hinreichende Prüfung sicherzustellen, empfiehlt SAP, dass Sie die betreffenden Felder in der Feldstatussteuerung als Pflichtfelder definieren. Diese Einstellung nehmen Sie im Einführungsleitfaden des Public Sector Management vor: •

Haushaltsmanagement-spezifische Buchungen → Mittelvormerkungen und Mittelumbuchungen → Feldsteuerung Mittelvormerkungen und Mittelumbuchungen → Feldstatusvariante definieren/Feldstatusvariante Buchungskreis zuordnen/Feldstatusgruppen definieren

•

Ist- und Obligofortschreibung → Integration → Feldstatus für die Zuordnung von HHMKontierungen pflegen

Weitere Informationen finden Sie in der Dokumentation des Haushaltsmanagements auf dem SAP Help Portal unter der Internetadresse help.sap.com → ERP Central Component → Rechnungswesen → Public Sector Management. Für das Fördermittelmanagement beachten Sie die folgenden Systemeinstellungen im Einführungsleitfaden des Public Sector Management unter Haushaltsmanagement Öffentliche Verwaltung → Stammdaten → Förderung •

FMM-Förderungssteuerung: Feldgruppe für Berechtigungen

•

Förderungs-Berechtigungstypen bearbeiten

•

Förderungs-Berechtigungsgruppen bearbeiten

Erweiterungen des Berechtigungskonzeptes können Sie mit Hilfe der folgenden BAdIs realisieren: BAdI

Bezeichnung

GM_AUTHORITY_CHECK

Fördermittelmanagement: Berechtigungsprüfung

GM_BILL_AUTHORITY

FMM: Benutzerberechtigung für Fakturierung für DP90 im FMM

GM_POST_AUTHORITY

Fördermittelmanagement Kontierungsblock Berechtigungsprüfung


5.0

57

01.02.2005

Logistik

Materialwirtschaft (MM)

Einkauf und Dienstleistungen (MM-PUR, MM-SRV)

Berechtigungen Standardrollen Sie können die folgende Standardrolle für die Komponenten Einkauf (MM-PUR) und Dienstleistungen (MM-SRV) in SAP Enterprise Portal einsetzen: •

Beschreibung: Purchasing Agent

•

technischer Name: pcd:portal_content/com.sap.pct/specialist/com.sap.pct.purch.purchasingagent/com.sap .pct.purch.roles/com.sap.pct.purch.purchasingAgent

Beachten Sie, dass dies eine Rolle ist, die Sie ausschließlich in SAP Enterprise Portal verwenden können. Es gibt keine zugehörige Rolle im SAP-ECCBackend.

Profile Die folgende Tabelle zeigt die sicherheitsrelevanten Profile, die die Komponenten Einkauf und Dienstleistungen verwenden. Profile: Einkauf, Dienstleistungen Profil

Beschreibung

M_ANFR_ALL

MM Einkauf Anfragen – Pflegeberechtigung

M_ANFR_ANZ

MM Einkauf Anfragen – Anzeigeberechtigung

M_ANGE_ALL

MM Einkauf Angebote – Pflegeberechtigung

M_ANGE_ANZ

MM Einkauf Angebote- Anzeigeberechtigung

M_BANF_ALL

MM Einkauf Bestellanforderungen – Pflegeberechtigung

M_BANF_ANZ

MM Einkauf Bestellanforderungen – Anzeigeberechtigung

M_BEST_ALL

MM Einkauf Bestellungen – Pflegeberechtigung

M_BEST_ANZ

MM Einkauf Bestellungen – Anzeigeberechtigung


5.0

58

01.02.2005

M_EBEL_ANZ

MM Einkauf - Bestellbelege anzeigen

M_EINF_ALL

MM Einkauf Infosätze – Pflegeberechtigung

M_EINF_ANZ

MM Einkauf Infosätze – Anzeigeberechtigung

M_EINK_ALL

MM Einkauf Gesamt – Pflegeberechtigungen

M_EINK_ANZ

MM Einkauf Gesamt – Anzeigeberechtigungen

M_LPET_ALL

MM Einkauf Lieferplaneinteilung – Pflegeberechtigung

M_LPET_ANZ

MM Einkauf Lieferplaneinteilung – Anzeigeberechtigung

M_RAHM_ALL

MM Einkauf Rahmenverträge – Pflegeberechtigung

M_RAHM_ANZ

MM Einkauf Rahmenverträge – Anzeigeberechtigung

M_SRV_ALL

Dienstleistung Stammdaten : alle Berechtigungen

Standardberechtigungsobjekte Die folgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die die Komponenten Einkauf und Dienstleistungen verwenden. Standardberechtigungsobjekte: Einkauf, Dienstleistungen Berechtigungsobjekt

Beschreibung

M_AMPL_ALL

Liste zulässiger Herstellerteile

M_AMPL_WRK

Liste zulässiger Herstellerteile – Werk

M_ANFR_BSA

Belegart in Anfrage

M_ANFR_EKG

Einkäufergruppe in Anfrage

M_ANFR_EKO

Einkaufsorganisation in Anfrage

M_ANFR_WRK

Werk in Anfrage

M_ANGB_BSA

Belegart in Angebot

M_ANGB_EKG

Einkäufergruppe in Angebot

M_ANGB_EKO

Einkaufsorganisation in Angebot

M_ANGB_WRK

Werk in Angebot

M_BANF_BSA

Belegart in Bestellanforderung

M_BANF_EKG

Einkäufergruppe in Bestellanforderung

M_BANF_EKO

Einkaufsorganisation in Bestellanforderung

M_BANF_FRG

Freigabecode in Bestellanforderung

M_BANF_WRK

Werk in Bestellanforderung

M_BEST_BSA

Belegart in Bestellung

M_BEST_EKG

Einkaufgruppe in Bestellung

M_BEST_EKO

Einkaufsorganisation in Bestellung


5.0

59

01.02.2005

M_BEST_WRK

Werk in Bestellung

M_EINF_EKG

Einkäufergruppe im Einkaufsinfosatz

M_EINF_EKO

Einkäuferorganisation im Einkaufsinfosatz

M_EINF_WRK

Werk im Einkaufsinfosatz

M_EINK_FRG

Freigabecode und –gruppe im Einkauf

M_LFM1_EKO

Einkaufsorganisation im Lieferantenstamm

M_LIBE_EKO

Lieferantenbeurteilung

M_LPET_BSA

Belegart in Lieferplaneinteilung

M_LPET_EKG

Einkaufgruppe in Lieferplaneinteilung

M_LPET_EKO

Einkaufsorganisation in Lieferplaneinteilung

M_LPET_WRK

Werk in Lieferplaneinteilung

M_ORDR_EKO

Einkaufsorganisation im Orderbuch

M_ORDR_WRK

Werk im Orderbuch

M_QUOT_EKO

Einkaufsorganisation bei Quoten

M_QUOT_WRK

Werk bei Quoten

M_RAHM_BSA

Belegart im Rahmenvertrag

M_RAHM_EKG

Einkäufergruppe im Rahmenvertrag

M_RAHM_EKO

Einkaufsorganisation im Rahmenvertrag

M_RAHM_WRK

Werk im Rahmenvertrag

M_SRV_LS

Berechtigung für Pflege des Leistungsstamm

M_SRV_LV

Berechtigung für Pflege des Muster-LV

M_SRV_ST

Berechtigung für Pflege des Standardleistungsverzeichnisses

S_ME_SYNC

Mobile Engine: Synchronisation von OfflineAnwendungen

V_KONH_EKO

Einkaufsorganisation in der Stammkondition

Netzwerk- und Kommunikationssicherheit Allgemeines Ihre Netzwerkinfrastruktur ist für den Schutz Ihres Systems äußerst wichtig. Im Folgenden werden alle speziellen Aspekte beschrieben, die für die Netzwerk- und Kommunikationssicherheit der Komponenten Einkauf (MM-PUR) und Dienstleistungen (MMSRV) relevant sind. Beachten Sie darüber hinaus die Informationen zu SAP ECC unter Netzwerk- und Kommunikationssicherheit [Seite 15].

Sicherheit der Kommunikationskanäle Die folgende Tabelle zeigt die Kommunikationspfade, die die Komponenten Einkauf und Dienstleistungen verwenden, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten:


5.0

60

01.02.2005 Kommunikationspfade Kommunikationspfad




SAP-ECC-System – Non-SAP-System

RFC, HTTP

Anwendungsdaten/ IDocs (Nachrichten zu Filialauftrag, Filialwareneingang, Bestellausgang)

-

SAP-ECC-System – Adobe Document Services (ADS)

HTTP

Anwendungsdaten (Druckausgang von ERPEinkauf, z.B. Bestelldruck)

Preise/Liefer- und Zahlungsbedingungen, Kontraktnummern z.B. sollten verschlüsselt übertragbar sein. Die notwendigen Sicherheitsmaßnahmen hängen davon ab, ob Sie ADS vor oder hinter der Firewall installieren.

Supplier Portal (mySAP Supplier Relationship Management) → SAPECC-System

HTTP, RFC

Anwendungsdaten (Bestellbestätigung) für Supplier Self-Service (SUS)

Mengen, Daten, Preise

SAP-ECC-System – SAP-APO-System

RFC

Anwendungsdaten (Konditionen/Bestellungen)

Abhängig davon, ob Sie SAP SCM und SAP ECC vor oder hinter einer Firewall platzieren

SAP-ECC-System – SAP-SCM-System (Event Manager)

RFC

Anwendungsdaten

Mengen, Daten

Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. HTTPVerbindungen können Sie mit dem Secure-Sockets-Layer-Protokoll (SSL-Protokoll) schützen. Weitere Informationen über Verschlüsselung finden Sie unter folgenden Quellen: •

Allgemeine Informationen über Verschlüsselung SAP NetWeaver-Sicherheitsleitfaden im Abschnitt Network and Communication Security → Transport Layer Security

•

Verschlüsselung von ALE-Daten SAP NetWeaver-Sicherheitsleitfaden im Abschnitt Security Aspects for Connectivity and Interoperability → Security Guide ALE (ALE Applications)

•

Verschlüsselung über SUS-Ausgang mySAP SRM Application Security Guide auf dem SAP Service Marketplace unter service.sap.com/securityguide → mySAP Supplier Relationship Management (SRM) Security Guide → Network and Communication Security

Weitere Informationen über die Sicherheit der Kommunikationskanäle zwischen SAP-ECCSystemen und SAP-Supply-Chain-Management-Systemen (SAP-SCM-Systemen) finden Sie im Sicherheitsleitfaden für SAP SCM auf dem SAP Service Marketplace unter service.sap.com/securityguide → SAP Supply Chain Management → SAP Supply Chain Management Security Guide → Network and Communication Security.


5.0

61

01.02.2005

Sicherheit der Datenablage Prüfen Sie, ob Sie Konditionen als sensible Daten einstufen. Sie können Konditionen mit den folgenden Berechtigungsobjekten schützen: Berechtigungsobjekte für Konditionen Berechtigungsobjekt

Beschreibung

V_KONH_EKO

Einkaufsorganisation in der Stammkondition

V_KONH_VKS

Kondition: Berechtigung für Konditionsarten

Bestandsführung (MM-IM): Berechtigungen Standardrollen Die folgende Tabelle zeigt die Standardrollen, die Sie für die Komponente Bestandsführung (MM-IM) verwenden können. Standardrollen Rolle

Beschreibung

SAP_MM_IM_ARCHIVING

Archivierung Materialbelege

SAP_MM_IM_BALANCE_LIST

WE/RE-Saldenliste

SAP_MM_IM_CYCLE_COUNTING

Cycle Counting

SAP_MM_IM_DISPLAY

Listanzeigen

SAP_MM_IM_GM_FOR_RETAIL

Warenbewegung (Retail)

SAP_MM_IM_GOODS_MOVEMENTS

Warenbewegung

SAP_MM_IM_GOODS_MOVEMENT_EMPTY

Warenbewegung

SAP_MM_IM_INVENTORY_ARCHIVE

Inventur-Archivierung

SAP_MM_IM_INVENTORY_CONTROL

Inventur

SAP_MM_IM_INVENTORY_EXECUTION

Inventur-Durchführung

SAP_MM_IM_INVENTORY_REPORTING

Inventur-Berichtswesen

SAP_MM_IM_INVENTORY_SAMPLING

Stichprobeninventur

SAP_MM_IM_PERIODIC_PROCESSING

Periodische Arbeiten

SAP_MM_IM_REPORTS

Berichtswesen

SAP_MM_IM_RESERVATION_MAINTAIN

Reservierungen

SAP_MM_IM_VENDOR_CONSIGNMENT

Lieferanten-Konsignation


5.0

62

01.02.2005

Standardberechtigungsobjekte Die folgende Tabelle zeigt die Standardberechtigungsobjekte, die Sie für die Komponente Bestandsführung (MM-IM) verwenden können. Standardberechtigungsobjekte: Bestandsführung Berechtigungsobjekt

Beschreibung

M_ISEG_WDB

Inventur: Differenzenbuchung im Werk

M_ISEG_WIB

Inventur: Inventurbeleg im Werk

M_ISEG_WZL

Inventur: Zählung im Werk

M_ISEG_WZB

Inventur: Zählung und Differenzenbuchung im Werk

M_MSEG_BMB

Materialbelege: Bewegungsart

M_MBNK_ALL

Materialbelege: Nummernkreispflege

M_MSEG_WMB

Materialbelege: Werk

M_MRES_BWA

Reservierungen: Bewegungsart

M_MRES_WWA

Reservierungen: Werk

M_MWOF_ACT

Steuerung für getrennte Wertbildung (MBWO)

M_SKPF_VGA

Stichprobeninventur: Vorgang

M_SKPF_WRK

Stichprobeninventur: Werk

M_MSEG_BWA

Warenbewegungen: Bewegungsart

M_MSEG_LGO

Warenbewegungen: Lagerort

M_MSEG_WWA

Warenbewegungen: Werk

M_MSEG_BWF

Wareneingang zum Auftrag: Bewegungsart

M_MSEG_WWF

Wareneingang zum Auftrag: Werk

M_MSEG_BWE

Wareneingang zur Bestellung: Bewegungsart

M_MSEG_WWE

Wareneingang zur Bestellung: Werk


5.0

63

01.02.2005

Logistik-Rechnungsprüfung (MM-IV): Berechtigungen Standardrollen Die folgende Tabelle zeigt die Standardrollen, die Sie für die Komponente LogistikRechnungsprüfung (MM-IV) verwenden können. Standardrollen: Logistik-Rechnungsprüfung Rolle

Beschreibung

SAP_MM_IV_CLERK_AUTO

Automatische Abrechnungen

SAP_MM_IV_CLERK_BATCH1

Rechnungen für die Prüfung im Hintergrund erfassen

SAP_MM_IV_CLERK_BATCH2

Nachbearbeitung im Hintergrund geprüfter Rechnungen

SAP_MM_IV_CLERK_GRIR_MAINTAIN

WE/RE-Verrechnungskonto pflegen

SAP_MM_IV_CLERK_GRIR_MAITAIN

WE/RE-Verrechnungskonto pflegen

SAP_MM_IV_CLERK_ONLINE

Rechnungsprüfung im Dialog

SAP_MM_IV_CLERK_PARK

Rechnungen vorerfassen

SAP_MM_IV_CLERK_RELEASE

Rechnungsfreigabe

SAP_MM_IV_SUPPLIER_FINANCE

Abrechnungsinformationen für den Lieferanten im Internet

SAP_MM_IV_CLERK_AUTO

Automatische Abrechnungen

Standardberechtigungsobjekte Die folgende Tabelle zeigt die Standardberechtigungsobjekte, die Sie für die Komponente Logistik-Rechnungsprüfung (MM-IV) verwenden können. Standardberechtigungsobjekte: Logistik-Rechnungsprüfung Berechtigungsobjekt

Beschreibung

M_RECH_WRK

Rechnungen: Werk

M_RECH_AKZ

Rechnungen: manuelles Akzeptieren von Reprü-Differenzen

M_RECH_EKG

Rechnungsfreigabe: Einkäufergruppe

M_RECH_SPG

Rechnungen: Sperrgründe


5.0

64

01.02.2005

Product Lifecycle Management (PLM) Berechtigungen Für die Berechtigungsprüfungen verwenden die Anwendungen im Product Lifecycle Management (PLM) folgende Objekte: •

Sammelrollen

•

Standardrollen

•

Profile

•

Berechtigungsobjekte

Sammelrollen Die nachfolgende Tabelle zeigt die Sammelrollen, die Anwendungen im PLM verwenden. Sammelrolle

Beschreibung

SAP_EHS_IHS_SPECIALIST

Fachkraft für Arbeitssicherheit

SAP_WP_BD_ADMIN

EH&S Administrator

Standardrollen Die nachfolgenden Tabellen zeigen die Standardrollen, die Anwendungen im PLM verwenden. Rollen: Cross Application (CA) Rolle

Beschreibung

SAP_CA_CL_DISPLAY

Produktdatenmanagement - Anzeige von Klass.Information

SAP_CA_CL_MAINTAIN

Produktdatenmanagement - Dokumentenverwaltung komplett

SAP_CA_DMS_ADMIN

Administrationsaufgaben im Bereich DVS

SAP_CA_DMS_DISPLAY

Produktdatenmanagement - Dokumentenanzeige

SAP_CA_DMS_MAINTAIN

Produktdatenmanagement - Dokumentenverwaltung komplett

SAP_CA_NO_NOTIF_GENERAL

Allgemeine Meldungsbearbeitung

SAP_CA_NO_NOTIF_ISR

Erstellung Interner Service Anfrage

SAP_CA_NO_NOTIFVIAWEB_EXT

Allgemeine Meldungserfassung via Web

SAP_CA_NO_NOTIFVIAWEB_INT

Allgemeine Meldungeserfassung via Web - Link

Rollen: Kundenservice (CS) Rolle

Beschreibung

SAP_CS_AG_CUST_ORDER_COMPLETE

Bearbeiten Kundenauftragsabrechnung und Faktura

SAP_CS_AG_CUST_ORDER_DISPLAY

Anzeigen Servicevereinbarungen, Kundenaufträge und Fakturen


5.0

65

01.02.2005

SAP_CS_AG_CUST_ORDER_PROCESS

Bearbeiten Kundenauftrag und Kundenreparaturauftrag

SAP_CS_AG_PROCESS

Bearbeiten von Servicevereinbarungen

SAP_CS_AG_WARRANTIES_DISPLAY

Anzeigen Garantien

SAP_CS_AG_WARRANTIES_PROCESS

Bearbeiten Garantien

SAP_CS_CI_ADMIN

Customer-Interaction-Center Administration

SAP_CS_CI_AGENT

Customer-Interaction-Center (Front-Office)

SAP_CS_CI_INFOSYSTEM

Kontakthistorie für Gruppen und Agenten

SAP_CS_CM_SOL_DATA_BASE_PROC

Bearbeiten Lösungsdatenbank

SAP_CS_IB_INSTALLED_BASE_DISPL

Anzeigen Installation

SAP_CS_IB_INSTALLED_BASE_PROC

Bearbeiten Installation

SAP_CS_SE_DISPLAY_NOTIF_ORDERS

Anzeigen Servicemeldungen und Serviceaufträge

SAP_CS_SE_PROCESS_NOTIF_ORDERS

Bearbeiten Servicemeldungen und Serviceaufträge

Rollen: Enviroment, Health & Safety (EH&S) Rolle

Beschreibung

SAP_EHS_BD_UTIL

Werkzeuge

SAP_EHS_DGP_DATABASEFILLING

Gefahrgutstammbefüllung

SAP_EHS_DGP_DATASENDING

Datenverteilung - Gefahrgut

SAP_EHS_DGP_DATATRANSFER

Datenaustausch - extern, Gefahrgut

SAP_EHS_DGP_DISPLAYLIST

Gefahrgutstammlisten

SAP_EHS_DGP_MASTERDATA

Gefahrgutstammverwaltung

SAP_EHS_DGP_MASTERDATASHOW

Gefahrgutstamminformation

SAP_EHS_DGP_PHRASES

Gefahrguttextbausteinverwaltung

SAP_EHS_DGP_REPORTINFO

Berichte - Gefahrgut

SAP_EHS_DGP_SUBSTANCEDATA

Gefahrgutgrunddatenverwaltung

SAP_EHS_HSM_AGENT

Belastung

SAP_EHS_HSM_INFO

Auswertungen

SAP_EHS_HSM_LABEL

Zentrale Etikettenverwaltung

SAP_EHS_HSM_MATERIA

Material

SAP_EHS_HSM_REPORT

Bericht

SAP_EHS_HSM_SUBSTANCE

Stoff

SAP_EHS_HSM_WORKAREA

Arbeitsbereich

SAP_EHS_IHS_AGENT

Belastungsverwaltung

SAP_EHS_IHS_AMOUNTDETERMIATION

Quantitätenermittlung

SAP_EHS_IHS_BUSINESSPARTNER

Geschäftspartner - Arbeitsschutz

SAP_EHS_IHS_EXPOSURELOG

Belastungskataster


5.0

66

01.02.2005

SAP_EHS_IHS_INCIDENTLOG

Unfallabwicklung

SAP_EHS_IHS_INFOSYSTEM

Infosystem Arbeitsschutz

SAP_EHS_IHS_INJURYLOG

Ambulanzbuch

SAP_EHS_IHS_PHRASES

Phrasenverwaltung - Arbeitsschutz

SAP_EHS_IHS_REPORTINFO

Berichtsinformationssystem - Arbeitsschutz

SAP_EHS_IHS_RISKASSESSMENT

Gefährdungsbeurteilung

SAP_EHS_IHS_SERVICE

Service-Einzelrolle

SAP_EHS_IHS_WORKAREA

Arbeitsbereichsverwaltung

SAP_EHS_OH_AMBSERV

Ambulante Services

SAP_EHS_OH_ASSIGN

Personenzuordnung

SAP_EHS_OH_BUPT

Geschäftspartner - Arbeitsmedizin

SAP_EHS_OH_EVAL

Auswertungen

SAP_EHS_OH_EVAL_NEW

Auswertungen

SAP_EHS_OH_EXAM

Untersuchungen und Tests

SAP_EHS_OH_IMPORT

Import medizinischer Daten

SAP_EHS_OH_INJURYLOG

Unfall- und Ambulanzbuch

SAP_EHS_OH_MEDSERV

Medizinische Services

SAP_EHS_OH_PERSSEL

Personenauswahl und Terminplanung

SAP_EHS_OH_QUEST

Fragenkataloge und Fragebögen

SAP_EHS_OH_SERVICE

Arbeitsschutzumfeld

SAP_EHS_OH_SET

Laufende Einstellungen

SAP_EHS_SAF_UTIL

Werkzeuge

SAP_EHS_SAF_SUBSTANCESHOW

Spezifikationsanzeige

SAP_EHS_SAF_SUBSTANCEINFO

Spezifikationsinformationssystem

SAP_EHS_SAF_SUBSTANCEDATA

Stoff

SAP_EHS_SAF_REPORTSHOW

EH&S-Berichtsinformationssystem

SAP_EHS_SAF_REPORTSHIPPING

Berichtsversand

SAP_EHS_SAF_REPORTINFO

Berichtsinformationssystem Produktsicherheit

SAP_EHS_SAF_REPORTGENERATION

Berichtsdefinition

SAP_EHS_SAF_REPORTEDIT

Bericht

SAP_EHS_SAF_PHRASES

Phrase

SAP_EHS_SAF_LABEL

Zentrale Etikettenverwaltung

SAP_EHS_SAF_DATATRANSFER

Datenaustausch - extern, Produktsicherheit

SAP_EHS_SAF_DATASENDING

Datenverteilung

SAP_EHS_SAF_BOMBOS

Stückliste-Zusammensetzung

SAP_EHS_WA_BUSINESSPARTNER

Geschäftspartner - Abfallmanagement


5.0

67

01.02.2005

SAP_EHS_WA_DATATRANSFER

Datenaustausch - extern, Abfallmanagement

SAP_EHS_WA_DISPOSAL_DOCUMENTS

Entsorgungspapiere

SAP_EHS_WA_DISPOSAL_PROCESSING

Entsorgungsabwicklung

SAP_EHS_WA_EHSW_1

Berichtsbaum Abfallmanagement

SAP_EHS_WA_INFOSYSTEM

Abfallinformation

SAP_EHS_WA_REPORTEDIT

Berichtsverwaltung - Abfallmanagement

SAP_EHS_WA_REPORTGENERATION

Berichtserstellung - Abfallmanagement

SAP_EHS_WA_REPORTSHIPPING

Berichtsversand - Abfallmanagement

SAP_EHS_WA_WASTE_SPEZIFICATION

Stammdaten - Spezifikation

SAP_EHS_WA_WASTECODE

Abfallschlüssel

SAP_EHS_WA_WASTEINFO

Abfallinformationen

SAP_WP_BD_ADMIN

EH&S Administrator

SAP_WP_DG_SPECIALIST

Fachkraft Gefahrgut

SAP_WP_HSM_SPECIALIST

Gefahrstoffbeauftragter

SAP_WP_IHS_SPECIALIST

Fachkraft für Arbeitssicherheit

SAP_WP_OH_PHYSICIAN

Arbeitsmediziner

SAP_WP_PS_SPECIALIST

Fachkraft Produktsicherheit

Rollen: Logistik (LO) Rolle

Beschreibung

SAP_LO_ECH_MAINTAIN

Änderungsdienst

SAP_LO_EMPLOYEE

Employee Self-Service (LO)

SAP_LO_MD_BOM_DISPLAY

Stücklistenanzeige komplett

SAP_LO_MD_BOM_MAINTAIN

Stücklistenbearbeitung komplett

SAP_LO_MD_CUSTOMER_DISPLAY

Kundenstammanzeige

SAP_LO_MD_CUSTOMER_MAINTAIN

Kundenstammpflege

SAP_LO_MD_MBOM_MAINTAIN

Bearbeitung Materialstückliste

SAP_LO_MD_MM_MATERIAL_DISPLAY

Materialstammanzeige

SAP_LO_MD_MM_MATERIAL_MAINTAIN

Materialstammpflege

SAP_LO_MD_OBOM_MAINTAIN

Bearbeitung Auftragsstückliste

SAP_LO_MD_PBOM_MAINTAIN

Bearbeitung Projektstückliste

SAP_LO_MD_SERIAL_NO_DISPLAY

Anzeigen Serialnummern

SAP_LO_MD_SERIAL_NO_PROCESS

Bearbeiten Serialnummern

SAP_LO_MD_VENDOR_DISPLAY

Lieferantenstammanzeige

SAP_LO_MD_VENDOR_MAINTAIN

Lieferantenstammpflege

SAP_LO_PP_RTG_DISPLAY

Arbeitsplananzeige

SAP_LO_PP_RTG_MAINTAIN

Arbeitsplanpflege

SAP_LO_VC_DEP_MAINTAIN

Variantenkonfiguration Modellierung


5.0

68

01.02.2005

SAP_LO_VC_ESALES

Anbindung an CRM

SAP_LO_VC_MAINTAIN

Variantenkonfiguration komplett

SAP_LO_VC_ORDER_PROC

Variantenkonfiguration Auftragsbearbeitung

SAP_LO_VC_SIMULATION

Variantenkonfiguration Simulation

Rollen: Instandhaltung (PM) Rolle

Beschreibung

SAP_PM_ALM_ME_ADMINISTRATOR

Asset Life-Cycle Management Administrator (Mobile Engine)

SAP_PM_ALM_ME_ENGINEER

Asset Life-Cycle Management - Engineer (Mobile Engine)

SAP_PM_DATATRANSFER

Datenübernahme und Download-Strukturen Instandhaltung

SAP_PM_EQM_BILL_OF_MAT_DISPL

Anzeigen Stückliste

SAP_PM_EQM_BILL_OF_MAT_PROC

Bearbeiten Stückliste

SAP_PM_EQM_EQUIPMENT_DISPLAY

Anzeigen Equipments

SAP_PM_EQM_EQUIPMENT_PROCESS

Bearbeiten Equipments

SAP_PM_EQM_FUNC_LOC_DISPLAY

Anzeigen Technischer Platz

SAP_PM_EQM_FUNC_LOC_PROCESS

Bearbeiten Technischer Platz

SAP_PM_EQM_ME_READ_LIST_DISPL

Anzeigen Messwerterfassungsliste

SAP_PM_EQM_ME_READ_LIST_PROC

Bearbeiten Messwerterfassungsliste

SAP_PM_EQM_MEAS_POINTS_DISPLAY

Anzeigen Messpunkte

SAP_PM_EQM_MEAS_POINTS_PROCESS

Bearbeiten Messpunkte

SAP_PM_EQM_PERMITS_ISSUE_DISPL

Erteilen und Anzeigen Genehmigungen

SAP_PM_EQM_PERMITS_PROCESS

Bearbeiten Genehmigungen

SAP_PM_EQM_PROCESS_OBJECT_LINK

Bearbeiten Objektverbindung

SAP_PM_EQM_PROD_RESOURC_DISPL

Anzeigen Fertigungshilfsmittel

SAP_PM_EQM_PROD_RESOURC_PROC

Bearbeiten Fertigungshilfsmittel

SAP_PM_EQM_REF_FUNC_LOC_PROC

Bearbeiten Referenzplatz

SAP_PM_EQM_WORK_CENT_EVALUATE

Auswerten Arbeitsplätze

SAP_PM_EQM_WORK_CENTERS_DISPL

Anzeigen Arbeitsplätze

SAP_PM_EQM_WORK_CENTERS_PROC

Bearbeiten Arbeitsplätze

SAP_PM_IS_INFO-SYSTEM_CONFIG

Einstellen Informationssystem

SAP_PM_IS_TASKS_ANALYSIS_PERF

Ausführen Analysen

SAP_PM_PRM_MAIN_PLANS_DISPLAY

Anzeigen Wartungspläne

SAP_PM_PRM_MAIN_PLANS_REV_PROC

Bearbeiten Wartungspläne und Revisionen

SAP_PM_PRM_MAIN_PLANS_SCHEDULE

Terminieren Wartungspläne

SAP_PM_PRM_TASKS_LISTS_DISPLAY

Anzeigen Arbeitspläne

SAP_PM_PRM_TASKS_LISTS_PROCESS

Bearbeiten Arbeitspläne


5.0

69

01.02.2005

SAP_PM_WOC_COMP_CONF_DIS

Anzeigen Rückmeldung

SAP_PM_WOC_COMP_CONF_PROC_CANC

Bearbeiten und Stornieren Rückmeldung

SAP_PM_WOC_CONF_POSTPROC

Nachbearbeiten Rückmeldung

SAP_PM_WOC_HISTORICAL_ORD_DISP

Anzeigen historische Aufträge

SAP_PM_WOC_HISTORICAL_ORD_PROC

Bearbeiten historische Aufträge

SAP_PM_WOC_MEAS_DOC_DISPLAY

Anzeigen Messbelege

SAP_PM_WOC_MEAS_DOC_MAINTAIN

Bearbeiten Messbelege

SAP_PM_WOC_NOTIFICATION_DISPL

Anzeigen Meldung

SAP_PM_WOC_NOTIFICATION_PP

Anlegen Meldung

SAP_PM_WOC_NOTIFICATION_PROC

Bearbeiten Meldung

SAP_PM_WOC_ORDER_DISPLAY

Anzeigen Auftrag

SAP_PM_WOC_ORDER_PROCESS

Bearbeiten Auftrag

SAP_PM_WOC_ORDER_SCHEDULE

Terminieren Auftrag

SAP_PM_WOC_PROCESS_PLANNING

Einsatzplanung

SAP_PM_WOC_REFURBISHM_ORD_PROC

Bearbeiten Aufarbeitungsauftrag

SAP_PM_WOC_WCM_ENGINEER

Sicherheitsingenieur

SAP_PM_WOC_WCM_INFO

Auskunftsfunktionen für die Freischaltabwicklung

SAP_PM_WOC_WCM_PLANNER

Freischaltplaner

SAP_PM_WOC_WCM_REQUESTER

Freischaltanforderer

SAP_PM_WOC_WORK_MANAGEMENT

Work Management in der Instandhaltung und im Kundenservice

Rollen: Projektsystem Rolle

Beschreibung

SAP_PS_ARCHIVING

Projektdaten archivieren

SAP_PS_BASIC_WRKPL

Stammdaten Arbeitsplatz

SAP_PS_BASIC_WRKPL_DISPL

Stammdaten Arbeitsplatz anzeigen

SAP_PS_BUDGET_PROJ

Projektbudgetierung

SAP_PS_CLAIM

Collaboration

SAP_PS_CEP

Claim Management

SAP_PS_CO_MODEL_PROJ

Verrechnungsvorlagen

SAP_PS_CONFIRM

Rückmelden

SAP_PS_DATES

Projekttermine

SAP_PS_DATES_DISPLAY

Projekttermine anzeigen

SAP_PS_DOCUMENTS

Dokumente

SAP_PS_DOCUMENTS_DISPLAY

Dokumente anzeigen

SAP_PS_EXECUTE_CO_REPORTS

Controlling Berichte ausführen

SAP_PS_FUNDS_COMMITMENT

Mittelbindung Projekte


5.0

70

01.02.2005

SAP_PS_GROUPING

Bedarfszusammenfassung

SAP_PS_LINE_MANAGER

PS-Input für generische Rolle Linemanager

SAP_PS_MASS_CHANGE

Massenänderung

SAP_PS_MATERIAL

Material im Projekt

SAP_PS_MATERIAL_DISPL

Material im Projekt anzeigen

SAP_PS_MONITOR_MAT_DATES

Terminverfolgung zum Material

SAP_PS_OVERALL_CO_PLAN_PROJ

Gesamt CO-Planung Projekte

SAP_PS_PAYMENTS_ACTUAL

Ist-Zahlungen im Projekt

SAP_PS_PAYMENTS_PLAN

Plan-Zahlungen im Projekt

SAP_PS_PER_CO_PLAN_PROJ

Periodische CO-Planung Projekte

SAP_PS_PEREND_PROJ_COLL

Periodenabschluss Sammelverarbeitung Projekte

SAP_PS_PEREND_PROJ_IND

Periodenabschluss Einzelverarbeitung Projekte

SAP_PS_PEREND_PROJ_PAYMENT

Zahlungsübernahme zum Periodenabschluss Projekte

SAP_PS_PEREND_PROJ_WLM

Arbeitsvorrat Periodenabschluss Projekte

SAP_PS_PERS_RES_EVAL

Personalressourcen auswerten

SAP_PS_PERS_RES_PLAN

Personalressourcen planen

SAP_PS_PROGRESS

Fortschrittsermittlung

SAP_PS_PROJ_YEAREND

Jahresabschluss Projekte

SAP_PS_REP_CLAIM

Claimberichte

SAP_PS_REP_COST_SUMMARIZ

Verdichtete Kostenberichte

SAP_PS_REP_COSTS

Kostenberichte

SAP_PS_REP_LINE_ITEM

Einzelpostenberichte

SAP_PS_REP_MATERIAL

Materialberichte

SAP_PS_REP_PAYMENTS

Zahlungsberichte

SAP_PS_REP_PROGRESS

Fortschrittsberichte

SAP_PS_REP_REVENUES

Erlös- und Ergebnisberichte

SAP_PS_REP_STRUCT

Strukturberichte

SAP_PS_REP_TOOLS

Informationssystem - Werkzeuge

SAP_PS_RM_ADMINISTRATOR

Administrator für Public Sector Records Management

SAP_PS_RM_HEAD

Führungskraft Public Sector Records Management

SAP_PS_RM_REGISTRAR

Registrator für Public Sector Records Management

SAP_PS_RM_USER

Sachbearbeiter Public Sector Records Management

SAP_PS_SALES_PRICING

Verkaufspreis kalkulieren

SAP_PS_STD_STRUCT

Standardstrukturen

SAP_PS_STD_STRUCT_DISPL

Standardstrukturen anzeigen


5.0

71

01.02.2005

SAP_PS_STRUCT

Projektstrukturen

SAP_PS_STRUCT_DISPL

Projektstrukturen anzeigen

SAP_PS_TRANSFER_PRICE_ACTUAL

Ist-Transferpreise

SAP_PS_TRANSFER_PRICE_PLAN

Plan-Transferpreise

Rollen: Qualitätsmanagement (QM) Rolle

Beschreibung

SAP_QM_ADMIN

Administrator

SAP_QM_BATCH_INFO

Anzeige Chargen-Daten

SAP_QM_CA_CERTVIAWEB_EXT

Zeugnisse via Web - Bearbeitung

SAP_QM_CA_CERTVIAWEB_INT

Link Zeugnisse via Web

SAP_QM_CA_INCOMING_CERT

Überwachen des Zeugniseingangs

SAP_QM_CA_OUTCERT_MAINT

Verwalten von Zeugnisstammdaten

SAP_QM_CA_OUTGOING_CERT

Zeugniserstellung Vertrieb

SAP_QM_IM_COSTS

Verwalten von QM-Aufträgen

SAP_QM_IM_COSTS_DISPLAY

Anzeige qualitätsbezogener Kosten

SAP_QM_IM_DEFECTS_REC

Fehlererfassung

SAP_QM_IM_LOT_COMPLETION

Prüflosabschluß

SAP_QM_IM_LOT_MAINTAIN

Prüflosbearbeitung

SAP_QM_IM_QMANAG_WORKLIST

Arbeitsvorrat für Q-Manager

SAP_QM_IM_QPLANNER_INSP

Prüfabwicklung Q-Planer

SAP_QM_IM_RES_REC

Ergebniserfassung

SAP_QM_IM_RESULTSVIAWEB_EXT

Ergebniserfassung via Web

SAP_QM_IM_RESULTSVIAWEB_INT

Link Ergebniserfassung via Web

SAP_QM_IM_SAMPLE

Probenverwaltung

SAP_QM_IT_CALIB_INFO

Kalibrierinformationen

SAP_QM_IT_CALIB_INSP

Kalibrierprüfung

SAP_QM_IT_CALIB_PLANNING

Kalibrierplanung

SAP_QM_IT_CALIB_PROCUREMENT

Beschaffung von Prüfmitteln

SAP_QM_IT_EQUI_MAINTAIN

Pflege von Prüfmitteln

SAP_QM_IT_PM_NOTIF

Bearbeiten von Instandhaltungsmeldungen

SAP_QM_PP_OPERATOR

Werker in der Fertigung

SAP_QM_PP_SUPERVISOR

Meister in der Fertigung

SAP_QM_PT_BASIC_DATA

Grunddatenpflege

SAP_QM_PT_CHANGE_MANAG_DISPLAY

Änderungsmanagement - Anzeige

SAP_QM_PT_IPLANNING

Prüfplanung

SAP_QM_PT_LOG_MASTER_DISPLAY

Anzeige von Logistik-Stammdaten

SAP_QM_PT_LOG_MASTER_MAINT

Bearbeiten von Logistik-Stammdaten


5.0

72

01.02.2005

SAP_QM_PT_MAT_MANAG_DISPLAY

Anzeige Materialwirtschaftsinformationen

SAP_QM_PT_QMANAG_MASTER_DISP

Anzeige Logistik-Stammdaten für QManager

SAP_QM_QC_CONTROL_ALL

Gesamte Qualitätslenkung

SAP_QM_QC_QMIS

Qualitätsauswertungen (QMIS)

SAP_QM_QC_QMIS_ALL

Qualitätsauswertungen (QMIS), gesamt

SAP_QM_QMANAG_GR

Qualitätsmanager Wareneingang

SAP_QM_QMANAG_PP

Qualitätsmanager Produktion

SAP_QM_QN_NOTIF_BASIC

Erweiterte Meldungensbearbeitung

SAP_QM_QN_NOTIF_DISPLAY

Anzeige Qualitätsmeldungen

SAP_QM_QN_NOTIF_MAINT

Bearbeitung Meldungen

SAP_QM_QN_NOTIFVIAWEB_EXT

Meldung via Web - Bearbeitung

SAP_QM_QN_NOTIFVIAWEB_INT

Link Meldungen via Web

SAP_QM_QN_TASK_MAINT

Bearbeitung von Maßnahmen

SAP_QM_QN_TASK_PROCESSOR

Maßnahmenbearbeiter

Rollen: Allgemein Rolle

Beschreibung

SAP_MM_SE_CLERK

Leistungserfasser

SAP_PLMIFO_MAT_MAINTAIN

Materialstammpflege mit RFC-Berechtigung

SAP_PP_BD_RTG_DISPLAY

Arbeitsplananzeige

SAP_PP_BD_RTG_MAINTAIN

Arbeitsvorbereitung - Pflege

SAP_PP_PS_PRT

Projektsystem - Fertigungshilfsmittel

SAP_PP_SFC_OCM

Fertigungsauftrag - Order Change Management

Profile Die nachfolgende Tabelle zeigt die Profile, die Anwendungen im PLM verwenden. Für einige Anwendungen existieren mehrere Profile, beginnend mit der gleichen Zeichenfolge. In diesem Fall enthält die Tabelle die beginnende Zeichenfolge sowie das Maskierungszeichen * (wild card). In der Profilliste können Sie alle Profile anzeigen (Transaktion SU02). Profil

Beschreibung

B_MASSMAIN

Massenpflegetool

C_A.AV

Sammelprofil für den Sachbearb. der Arbeitsvorbereitung

C_A.KONSTRUK

Sammelprofil für den Sachbearbeiter Konstruktion

C_AENR_*

Liste der Profile für Änderungsdienst

C_ALL

PP Stammdaten/Klassensystem alle Berechtigungen

C_CAP_ALL

Alle Berechtigungen für CAP-Vorgabewertermittlung

C_CV_ALL

Alle Berechtigungen für Dokumentenverwaltung

C_EHSH_*

Liste der Profile für Arbeitsmedizin

C_EHS_*

Liste der Profile für EH&S


5.0

73

01.02.2005

C_FHMI_*

Liste der Profile für Fertigungshilfsmittel

C_MSTL_*

Liste der Profile für Materialstücklisten

C_PS_*

Liste der Profile für Projektsystem

C_ROUT_*

Liste der Profile für Arbeitspläne

C_SHE_*

Liste der Profile für Liste der Profile für EH&S

E_CS_*

Liste der Profile für EC-CS

I_PM_*

Liste der Profile für Instandhaltung

M_*

Liste der Profile für Materialwirtschaft

Q_*

Liste der Profile Qualitätsmanagement

Z_CUSMM01

Customizing MM - Pflegen

Z_CUSMM02

Customizing MM - Anzeigen

Z_CUSPM01

Customizing PM - Pflegen

Z_CUSPM02

Customizing PM - Anzeigen

Z_CUSPP01

Customizing PP - Pflegen

Z_CUSPP02

Customizing PP - Anzeigen

Z_CUSPS01

Customizing PS - Pflegen

Z_CUSPS02

Customizing PS - Anzeigen

Z_CUSQM01

Customizing QM - Pflegen

Z_CUSQM02

Customizing QM - Anzeigen

Berechtigungsobjekte Alle Berechtigungsobjekte einer Anwendung sind in einer Objektklasse zusammengefasst. Sie können die Berechtigungsobjekte anzeigen, indem Sie in der Rollenpflege (Transaktion PFCG) Umfeld → Berechtigungsobjekte → Anzeigen wählen. Die nachfolgende Tabelle zeigt die Objektklassen für die Berechtigungsobjekte, die Anwendungen im PLM verwenden. Objektklassen für Berechtigungsobjekte Objektklasse

Beschreibung

CLAS

Klassensystem

CV

Dokumentenverwaltung

EHS

EH&S

LO

Logistik – Allgemein Ausschließlich die Berechtigungsobjekte für die Variantenkonfiguration (Zeichenfolge C_LOVC_*).

MM_G

Materialwirtschaft - Stammdaten

MM_S

Materialwirtschaft - Dienstleistung

PM

Instandhaltung


5.0

74

01.02.2005

PP

Produktionsplanung Berechtigungsobjekte für folgende Anwendungen: •

Änderungsdienst (Zeichenfolge C_AENR_*)

•

Arbeitspläne (Zeichenfolge C_ROUT*)

•

Stücklisten (Zeichenfolge C_STUE_*)

PS

Projektsystem

QA

Qualitätsmanagement

Kommunikationsdestinationen Das SAP-Standardsystem liefert für das Product Lifecycle Management (PLM) keine Kommunikationsdestinationen aus. Im Bereich der CAD-Integration startet ein externes CAD-System die Kommunikation mit dem SAP-System. Durch ein call back erfolgt eine Rückanfrage an das SAP-System. Diese Kommunikation erfolgt über Remote Function Call (RFC).

Wichtige SAP-Hinweise Beachten Sie die nachfolgenden SAP-Hinweise mit sicherheitsrelevanten Informationen. SAP-Hinweis

Kurztext

13128

Allgemeines zu Berechtigungen im Projektsystem

24441

CR134 Keine Berechtigung um entsprechende Änderungen

35100

Historienpfl. Stl ohne Änderungsnummer ändern

40586

Keine Berechtigung zur Pflege der View V_QDEB

61886

SAP-Erweiterung CNEX0002: Keine Berechtigung

67713

Berechtigungssprüfung im Arbeitsplan mit C_ROUT

192748

Erzeugen PM-Auftrag zur Meldung ohne IW34 Berecht.

198079

Keine Prüfung der Berechtigung S_TCODE bei CALL

327801

IW22: Berechtigung K_ORDER

332997

ps-is: Berechtigungsverprobung für BEBD

368574

PM/CS Berechtigungsprüfung

371269

ECH: Berechtigungen Customizing Parametergültigkeit

379041

Berechtigungsprüfung bei mehrstufiger Equipmentliste

385510

Berechtigung für EDI-Übersetzer/Middleware

407758

Berechtigung bei Auswertungen über Meldungen

414858

Berechtigungsprüfung für Massenänderung

420878

Stücklistenänderung ohne Änderungsnummer möglich

424731

Komponentenzuordnung mit historienpflichtiger

426494

Differenzierung der Historienpflicht

457086

OINI: Keine Berechtigung zum Ändern


5.0

75

01.02.2005

522426

Beratung: Berechtigungen im Projektsystem

532231

Datenweitergabe und Berechtigungskonzept

554415

FAQ 2: Berechtigungsprüfung

555812

CDESK: CAD-Desktop: Benötigte Berechtigungen

558586

Berechtigungsprüfung für Massenänderung II

568313

CJ20N, CN22: Übergreifendes Layout

568522

Änderungen in Stückliste zurücknehmen

569048

Änderungen in Stückliste zurücknehmen

638781

Projektberechtigung über Partnerrollen

671580

PS Cash Management: Customizing für Finanzpositionen

755020

Berechtigungsprüfung für EHS-Berichte & Berichtsvorlagen


5.0

76

01.02.2005

Manufacturing Berechtigungen Für die Berechtigungsprüfungen verwenden die Anwendungen im Manufacturing folgende Objekte: •

Standardrollen

•

Profile

•

Berechtigungsobjekte

Standardrollen Die nachfolgenden Tabellen zeigen die Standardrollen, die Anwendungen im Manufacturing verwenden. Rollen: Grunddaten Rolle

Beschreibung

SAP_PP_BD_RTG_MAINTAIN

Arbeitsvorbereitung - Pflege

SAP_PP_BD_WKC_DISPLAY

Arbeitsplatzanzeige

SAP_PP_BD_WKC_MAINTAIN

Arbeitsplatzpflege

SAP_PP_MATERIAL_MANAGEMENT

Materialmanagement Fertigung

SAP_PP_PS_PRT

Projektsystem - Fertigungshilfsmittel

SAP_LO_PP_RTG_DISPLAY

Arbeitsplananzeige

SAP_LO_PP_RTG_MAINTAIN

Arbeitsplanpflege

SAP_LO_PP_WRKC_DISPLAY

Arbeitsplatzanzeige

SAP_LO_PP_WRKC_MAINTAIN

Arbeitsplatzpflege

Rollen: Kapazitätsplanung (PP-CRP) Rolle

Beschreibung

SAP_PP_CAPA_PLAN

Kapazitätsplanung durchführen

SAP_PP_CAPA_PLAN_EVAL

Kapazitätsplanung auswerten

Rollen: Kanban (PP-KAB) Rolle

Beschreibung

SAP_PP_KAB_CONTROL

Steuerung Kanban

SAP_PP_KAB_REPORTING

Auswertung Kanban

Rollen: Produktionsplanung (PP-MP) Rolle

Beschreibung

SAP_PP_MP_FORECAST

Materialprognose

SAP_PP_MP_LONG_TERM_PLANNING

Langfristplanung

SAP_PP_MP_MPS_PLANNING

Leitteileplanung


5.0

77

01.02.2005 Rollen: Bedarfsplanung (PP-MRP) Rolle

Bedeutung

SAP_PP_MRP_COORDINATION

Bedarfsplanung PP - Koordination

SAP_PP_MRP_EVALUATIONS

Bedarfsplanung PP - Auswertung

SAP_PP_MRP_MASTER_DATA

Bedarfsplanung PP - Stammdaten

SAP_PP_MRP_PLANNED_ORDER

Bedarfsplanung PP - Planauftrag

SAP_PP_MRP_PLANNING

Bedarfsplanung PP - Planungsdurchführung

Rollen: Fertigungsaufträge (PP-SFC) Rolle

Bedeutung

SAP_PP_SFC_CONFIRMATIONS

Fertigungsauftrag - Rückmeldungen

SAP_PP_SFC_GM

Fertigungsauftrag - Warenbewegungen

SAP_PP_SFC_MAT_MANAGEMENT

Fertigungsauftrag - Materialmanagement

SAP_PP_SFC_OCM

Fertigungsauftrag - Order Change Management

SAP_PP_SFC_ORDER_EXCEPTIONS

Fertigungsauftrag - Nachbearbeitung

SAP_PP_SFC_ORDERS

Fertigungsauftrag - Bearbeitung

SAP_PP_SFC_PERFORMANCE

Fertigungsauftrag Fertigungsinformationssystem

SAP_PP_SFC_PRODUCTION_OPERATOR

Werker in der Fertigung

SAP_PP_SFC_PRT

Fertigungsauftrag - Fertigungshilfsmittel

SAP_PP_SFC_WM

Fertigungsauftrag - Warehouse Management

Rollen: Serienfertigung (PP-REM) Rolle

Bedeutung

SAP_PP_REM_CONFIRMATION

Serienfertigung - Rückmeldung

SAP_PP_REM_MASTERDATACHANGE

Serienfertigung - Stammdaten ändern

SAP_PP_REM_MASTERDATADISPL

Serienfertigung - Stammdaten anzeigen

SAP_PP_REM_PLANNING

Serienfertigung - Planung

SAP_PP_REM_PRODUCTION

Serienfertigung - Produktion

SAP_PP_REM_REPORTING

Serienfertigung - Auswertungen

Rollen: Prozessindustrie (PI) Rolle

Beschreibung

SAP_PP_PI_BATCH_RECORD_EXP

Chargenprotokoll bearbeiten

SAP_PP_PI_BATCH_RECORD_SUPER

Chargenprotokoll genehmigen

SAP_PP_PI_CAPA_EVAL_STD

Kapazitätsauswertungen ausführen

SAP_PP_PI_CAPACITY_EXP

Kapazität bearbeiten

SAP_PP_PI_CTRL_RECIPE_EXP

Steuerrezept überwachen

SAP_PP_PI_CUST_PROCMGMT

Customizing Prozesskoordination


5.0

78

01.02.2005

SAP_PP_PI_DOWNTIME_EXP

Downtime erfassen

SAP_PP_PI_DOWNTIME_SUPER

Einstellungen zu Downtimes

SAP_PP_PI_GOODS_MOVE_EXP

Warenbewegung zum Auftrag erfassen

SAP_PP_PI_GOODS_MOVE_HU_EXP

Warenbewegungen mit Handling Units erfassen

SAP_PP_PI_GOODS_MOVE_HU_SUPER

Warenbewegungen mit Handling Units stornieren

SAP_PP_PI_MA_BATCH_REC_WL_CUM

MiniApp: Arbeitsvorrat Chargenprotokolle kumuliert

SAP_PP_PI_MA_PI_SHEET_WL_CUM

MiniApp: Arbeitsvorrat Herstellanweisungen kumuliert

SAP_PP_PI_MA_PROC_ORDER_WL_CUM

MiniApp: Arbeitsvorrat Prozeßaufträge kumuliert

SAP_PP_PI_MASTER_RECIPE_EXP

Planungsrezept bearbeiten

SAP_PP_PI_MASTER_RECIPE_STD

Planungsrezept anzeigen

SAP_PP_PI_MAT_STAGING_EXP

Materialbereitstellung zum Auftrag ausführen

SAP_PP_PI_MAT_STAGING_STD

Materialbereitstellung zum Auftrag anzeigen

SAP_PP_PI_MFG_COCKPIT_1_EXP

Anlagen-Cockpit für Meister/Ingenieur bearbeiten

SAP_PP_PI_MFG_COCKPIT_2_EXP

Anlagen-Cockpit für Betriebsleiter bearbeiten

SAP_PP_PI_MPARTS_INFO_STD

Fehlteileinfosystem auswerten

SAP_PP_PI_ORDER_CONF_EXP

Rückmeldung zum Autrag erfassen

SAP_PP_PI_ORDER_CONF_STD

Rückmeldung zum Auftrag anzeigen

SAP_PP_PI_ORDER_CONF_SUPER

Rückmeldungen zum Auftrag korrigieren

SAP_PP_PI_ORDER_INFO_STD

Auftragsinfosystem auswerten

SAP_PP_PI_ORDER_RECORD_EXP

Auftragsprotokoll ablegen

SAP_PP_PI_ORDER_RECORD_STD

Auftragsprotokoll anzeigen

SAP_PP_PI_PI_SHEET_EXP

Herstellanweisung bearbeiten

SAP_PP_PI_PI_SHEET_SUPER

Herstellanweisung prüfen und technisch abschließen

SAP_PP_PI_PROC_MESSAGE_EXP

Prozeßmeldung bearbeiten

SAP_PP_PI_PROC_ORDER_EXP_CHNG

Prozeßauftrag ändern

SAP_PP_PI_PROC_ORDER_EXP_CREA

Prozeßauftrag anlegen

SAP_PP_PI_PROC_ORDER_STD

Prozeßauftrag anzeigen

SAP_PP_PI_PROD_CAMPAIGN_EXP

Produktionskampagne bearbeiten

SAP_PP_PI_PROD_CAMPAIGN_STD

Produktionskampagne anzeigen

SAP_PP_PI_PROD_VERSION_EXP

Fertigungsversion bearbeiten

SAP_PP_PI_PROD_VERSION_STD

Fertigungsversion anzeigen

SAP_PP_PI_RESOURCE_EXP

Ressource bearbeiten

SAP_PP_PI_RESOURCE_STD

Ressource anzeigen


5.0

79

01.02.2005

SAP_PP_PI_RESOURCE_SUPER

Einstellungen zur Ressource

SAP_PP_PI_SF_INFO_STD

Fertigungsinfosystem auswerten

SAP_PP_PI_STD_TEXT_EXP

Textvorlage bearbeiten

Profile Die nachfolgende Tabelle zeigt die Profile, die Anwendungen im Manufacturing verwenden. Profil

Beschreibung

C_KANBAN_ALL

Profil mit allen Berechtigungen für die Kanbanabwicklung

C_KAPA_ALL

PP Kapazitätsplanung

C_KAPA_ANZ

PP Kapazitätsplanung Anzeigeberechtigungen

C_KAPA_CUST

PP Set & Variablen-Pflege für die Kapazitätsplanung

C_LFPL_ALL

Langfristplanung: Alle Berechtigungen

C_MESS_ALL

PP-PI Prozeßmeldungen: Alle Berechtigungen

C_MREC_ALL

PP-PI Planungsrezept: Alle Aktivitäten erlauben

C_MREC_CHA

PP-PI Planungsrezept: Ändern

C_MREC_CRE

PP-PI Planungsrezept: Anlegen

C_MREC_MAT

PP-PI Planungsrezept: Materialstammaktualisierung

C_MREC_RPL

PP-PI Planungsrezept: Massenersetzen

C_MREC_SHO

PP-PI Planungsrezept: Anzeigen

C_MREC_USE

PP-PI Planungsrezept: Verwendungsnachweise

C_MSTL_ALL

PP Materialstücklisten Pflege- und Anzeigeberechtigungen

C_MSTL_ANZ

PP Materialstücklisten Anzeigeberechtigungen

C_PBED_ANZ

Anzeigeprofil Programmplanung

C_PB_ALL

Pflege- und Anzeigeberechtigungen für die Programmplanung

C_PB_REO

Berechtigung zur Reorganisation Programmplanung

C_POI_ALL

alle Berechtigungen für Interfase POI

C_PPPI_ALL

PP-PI: Alle Berechtigungen für Prozeßfertigung

C_PRCHAR_ALL

PP-PI: Alle Ber. für ext. Zugriffe auf Prozeßmerkmale

Berechtigungsobjekte Alle Berechtigungsobjekte einer Anwendung sind in einer Objektklasse zusammengefasst. Sie können die Berechtigungsobjekte anzeigen, indem Sie in der Rollenpflege (Transaktion PFCG) Umfeld → Berechtigungsobjekte → Anzeigen wählen. Die nachfolgende Tabelle zeigt die Objektklassen für die Berechtigungsobjekte, die Anwendungen im Manufacturing verwenden. Objektklassen für Berechtigungsobjekte Berechtigungsobjekt

Beschreibung

PP

Produktionsplanung

PPE

Integriertes Produkt- und Prozess-Engineering


5.0

80

01.02.2005

LO

Logistik – Allgemein Berechtigungsobjekte: •

C_CF_QUEUE Berechtigungsobjekt zur Anzeige/Pflege von CIF-QueueInhalten

•

C_PPE_PS iPPE: Schnittstelle PS -iPPE (Komponentenzuordnung)

•

C_PPE_PSI iPPE: Schnittstelle PS -iPPE (Schnittstelle)

Kommunikationsdestinationen Die Kommunikation mit externen Systemen erfolgt im Manufacturing mithilfe folgender Programmierelemente: •

Remote Function Call (RFC)

•

Business Integration Programming Interface (BAPI)

Eine Verschlüsselung der Daten ist nicht notwendig.

Logistics Execution (LE)

Dezentrale Lagerwirtschaft (LE-IDW), Versand (LESHP), Transport (LE-TRA)

Berechtigungen Standardrollen Die folgende Tabelle zeigt die Standardrollen, die die Komponenten Dezentrale Lagerwirtschaft (LE-IDW), Transport (LE-TRA) und Versand (LE-SHP) verwenden. Standardrollen Rolle

Beschreibung

SAP_LE_BASIC_DATA_DISPLAY

Logistics-Execution-Stammdaten anzeigen

SAP_LE_GATE_KEEPER

Personen und Transportmittel an der Pforte registrieren

SAP_LE_GATE_KEEPER_WEB

Personen und Transportmittel an der Pforte registrieren (WEB)

SAP_LE_GOODS_ISSUE_DELIVERY

Warenausgang zu Auslieferungen buchen

SAP_LE_GOODS_RECEIPT_DELIVERY

Wareneingang zu Anlieferungen buchen

SAP_LE_INB_DELIVERY_DISPLAY

Anlieferungen anzeigen


5.0

81

01.02.2005

SAP_LE_INB_DEL_PROCESSING

Anlieferungen bearbeiten

SAP_LE_INB_MONITORING

Anlieferungsprozess überwachen

SAP_LE_INB_STATISTICS

Standardanalysen für die Anlieferung

SAP_LE_LOAD_DELIVERY

Auslieferungen laden

SAP_LE_MASTER_DATA_MAINTENANCE

Stammdatenpflege

SAP_LE_OUTBOUND_POD

Lieferempfangsbestätigung zu Auslieferungen (LEB)

SAP_LE_OUTB_DELIVERY_DISPLAY

Auslieferungen anzeigen

SAP_LE_OUTB_DEL_PROCESSING

Auslieferungen bearbeiten

SAP_LE_OUTB_MONITORING

Auslieferungsprozess überwachen

SAP_LE_OUTB_STATISTICS

Standardanalysen für die Auslieferung

SAP_LE_PACKING_DELIVERY

Lieferungen verpacken

SAP_LE_PACKING_STATION

Packtisch (WEB)

SAP_LE_PICKING_WAVES

Kommissionierwellen bearbeiten

SAP_LE_POD_HANDHELD

Lieferempfangsbestätigung im Handheldterminal aus Kundensicht

SAP_LE_POD_WEB

Lieferempfangsbestätigung im Internet aus Kundensicht

SAP_LE_R2R3_DECENTRAL_SHIPPING

R/2-R/3-Kopplung: Dezentraler Versand

SAP_LE_R2R3_MONITORING

R/2-R/3-Kopplung: Überwachung

SAP_LE_SHIPPING_NOTIFICATION

Anlieferungen aus Lieferantensicht im Internet bearbeiten

SAP_LE_TMS_ARCHIVING

Archivierung von Transport- und Frachtkostenbelegen

SAP_LE_TMS_BACKGROUND

Hintergrundtransaktionen im Transport

SAP_LE_TMS_CAPACITY_ANALYSIS

Analysen zu Auslastung und freier Kapazität durchführen

SAP_LE_TMS_CARRIER_WEB

Internettransaktionen für den Spediteur

SAP_LE_TMS_CURRENT_ANALYSIS

Aktuelle Auswertungen zu Transporten durchführen

SAP_LE_TMS_DISPLAY

Dokumente im Transport anzeigen

SAP_LE_TMS_EXECUTION

Disponierte Transporte durchführen

SAP_LE_TMS_EXTERNAL_TPS

Schnittstelle zu einem externen Transportplanungssystem

SAP_LE_TMS_MAINTAIN_SCD

Frachtkosten anlegen, bearbeiten und anzeigen

SAP_LE_TMS_MAINTAIN_SCD_COND

Konditionen im Frachtkostenumfeld pflegen

SAP_LE_TMS_MAINT_SHP_MASTER

Stammdaten im Transportumfeld pflegen

SAP_LE_TMS_MONITOR_PLANNING

Transportdisposition überwachen

SAP_LE_TMS_MONITOR_SHPCOSTS

Be- und Abrechnung von Frachtkosten überwachen


5.0

82

01.02.2005

SAP_LE_TMS_OTHERS

Sonstige Transaktionen im Transport (ohne Sammelrolle)

SAP_LE_TMS_PLANNING

Transporte anlegen, ändern und anzeigen

SAP_LE_TMS_RULES

Regeln für die Sammelerstellung von Transporten festlegen

SAP_LE_TMS_STATISTIC_ANALYSIS

Statistische Analysen zu Transporten durchführen

SAP_LE_TMS_TP_SERVICE_AGENT

Schnittstelle Transportplanung in Kooperation mit Spediteuren

SAP_LE_WMS_APPOINTMENTS

Torbelegung

SAP_LE_WMS_CYCLE_COUNTING

Cycle Counting im WM durchführen

SAP_LE_WMS_INFORMATION

Lagerinformationen

SAP_LE_WMS_LIS_STATISTICS

LIS WM Statistikdaten

SAP_LE_WMS_LOAD

Arbeitslast im Lager

SAP_LE_WMS_MONITORING

Lagerüberwachung

SAP_LE_WMS_ONE_TIME_TASK

Einmalaufgaben im WM

SAP_LE_WMS_PC_PROCESSING

Umbuchungsanweisungen im WM bearbeiten

SAP_LE_WMS_PHYS_INVENTORY

Inventurdurchführung im WM

SAP_LE_WMS_PHYS_INVENTORY_CNT

Inventurzählung im WM

SAP_LE_WMS_PHYS_INVENTORY_MON

Inventurauswertung und Überwachung im WM

SAP_LE_WMS_QUALITY_MANAGEMENT

WM Qualitätsmanagement

SAP_LE_WMS_R2R3_COUPLING

R/2-R/3-Kopplung im WM

SAP_LE_WMS_REPLENISHMENT_WMPP

Nachschub WM-PP

SAP_LE_WMS_REPLENISH_INTERNAL

WM-interner Nachschub

SAP_LE_WMS_RF_ADMIN

Administration Funkanbindung (RF) im WM

SAP_LE_WMS_RF_PROCESSING

Funkanbindung (RF) im WM

SAP_LE_WMS_STATISTICS

Auswertung im WM

SAP_LE_WMS_STOCK_ADJUSTMENTS

Bestandsabgleich WM-IM

SAP_LE_WMS_TO_CONFIRM

Transportauftrag im WM quittieren

SAP_LE_WMS_TO_EXCEPTION_HANDL

Ausnahmebehandlung Transportauftrag im WM

SAP_LE_WMS_TO_PREPARATION

Transportauftragsverarbeitung im WM

SAP_LE_WMS_TR_PROCESSING

Transportbedarfsverarbeitung im WM

SAP_LE_WMS_WHSE_MAINTENANCE

Lagerpflege


5.0

83

01.02.2005

Standardberechtigungsobjekte Die folgenden Tabellen zeigen die sicherheitsrelevanten Berechtigungsobjekte, die die Komponenten Dezentrale Lagerwirtschaft, Transport und Versand verwenden. Standardberechtigungsobjekte: Dezentrale Lagerwirtschaft Berechtigungsobjekt

Beschreibung

L_BWLVS

Bewegungsart im Lagerverwaltungssystem

L_LGNUM

Lagernummer/Lagertyp

L_SFUNC

Sonderfunktionen in der Lagerverwaltung

L_TCODE

Transaktionscodes im Lagerverwaltungssystem

Standardberechtigungsobjekte: Transport Berechtigungsobjekt

Beschreibung

V_VFKK_FKA

Frachtkostenbearbeitung: Berechtigung für Frachtkostenart

V_VTTK_SHT

Transportbearbeitung: Berechtigung für Transportart

V_VTTK_TDL

Transportbearbeitung: Berechtigung für Spediteure

V_VTTK_TDS

Transportbearbeitung: Berechtigung für Transportdispostellen

V_VTTK_TSA

Transportbearbeitung: Berechtigung für Transportartstatus

Standardberechtigungsobjekte: Versand Berechtigungsobjekt

Beschreibung

V_LECI_CKP

Pforte: Berechtigung für die Pforte

V_LIKP_VST

Lieferung: Berechtigung für Versandstellen

V_VBSK_GRA

Lieferungen: Berechtigung für Liefergruppenart

Netzwerk- und Kommunikationssicherheit Allgemeines Ihre Netzwerkinfrastruktur ist für den Schutz Ihres Systems äußerst wichtig. Beachten Sie deshalb die allgemeinen Hinweise für SAP ECC unter Netzwerk- und Kommunikationssicherheit [Seite 15].


5.0

84

01.02.2005

Sicherheit des Kommunikationskanals Die folgende Tabelle zeigt die Kommunikationspfade, die die Komponenten Dezentrale Lagerwirtschaft (LE-IDW), Transport (LE-TRA) und Versand (LE-SHP) verwenden, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Kommunikationspfade Kommunikationspfad




Bemerkung

SAP-ECC-System – weiteres SAP-ECCSystem oder Drittanbieter-System

RFC

Anwendungsdaten (An- und Auslieferungen)

-

Dezentrale Lagerwirtschaft, Kommunikation über BAPIIDocSchnittstelle

Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. Weitere Informationen finden Sie im Sicherheitsleitfaden von SAP NetWeaver unter Network and Communication Security → Transport Layer Security.

Technische Benutzer Sie können den Workflow-Benutzer WF-BATCH benutzen, um Anlieferungen aus Auslieferungen zu generieren. Der Benutzer muss Berechtigungen zum Anlegen einer Anlieferung besitzen.

Warehouse-Management-System (LE-WMS)

Berechtigungen Standardrollen Die folgende Tabelle zeigt die Standardrollen, die Sie für Warehouse Management verwenden können. Standardrollen: Warehouse Management Rolle

Beschreibung

SAP_LE_BASIC_DATA_DISPLAY

Logistics Execution-Stammdaten anzeigen

SAP_LE_GATE_KEEPER

Personen und Transportmittel an der Pforte registrieren

SAP_LE_GATE_KEEPER_WEB

Personen und Transportmittel an der Pforte registrieren (WEB)

SAP_LE_PACKING_DELIVERY

Lieferungen verpacken

SAP_LE_PACKING_STATION

Packtisch (WEB)

SAP_LE_PICKING_WAVES

Kommissionierwellen bearbeiten

SAP_LE_WMS_APPOINTMENTS

Torbelegung


5.0

85

01.02.2005

SAP_LE_WMS_CYCLE_COUNTING

Cycle Counting im WM durchführen

SAP_LE_WMS_INFORMATION

Lagerinformationen

SAP_LE_WMS_LIS_STATISTICS

LIS WM Statistikdaten

SAP_LE_WMS_LOAD

Arbeitslast im Lager

SAP_LE_WMS_MONITORING

Lagerüberwachung

SAP_LE_WMS_ONE_TIME_TASK

Einmalaufgaben im WM

SAP_LE_WMS_PC_PROCESSING

Umbuchungsanweisungen im WM bearbeiten

SAP_LE_WMS_PHYS_INVENTORY

Inventurdurchführung im WM

SAP_LE_WMS_PHYS_INVENTORY_CNT

Inventurzählung im WM

SAP_LE_WMS_PHYS_INVENTORY_MON

Inventurauswertung und Überwachung im WM

SAP_LE_WMS_QUALITY_MANAGEMENT

WM Qualitätsmanagement

SAP_LE_WMS_R2R3_COUPLING

R/2-R/3-Kopplung im WM

SAP_LE_WMS_REPLENISH_INTERNAL

WM-interner Nachschub

SAP_LE_WMS_REPLENISHMENT_WMPP

Nachschub WM-PP

SAP_LE_WMS_RF_ADMIN

Administration Funkanbindung (RF) im WM

SAP_LE_WMS_RF_PROCESSING

Funkanbindung (RF) im WM

SAP_LE_WMS_STATISTICS

Auswertung im WM

SAP_LE_WMS_STOCK_ADJUSTMENTS

Bestandsabgleich WM-IM

SAP_LE_WMS_TO_CONFIRM

Transportauftrag im WM quittieren

SAP_LE_WMS_TO_EXCEPTION_HANDL

Ausnahmebehandlung Transportauftrag im WM

SAP_LE_WMS_TO_PREPARATION

Transportauftragsverarbeitung im WM

SAP_LE_WMS_TR_PROCESSING

Transportbedarfsverarbeitung im WM

SAP_LE_WMS_WHSE_MAINTENANCE

Lagerpflege

SAP_LO_HU_GOODS_MOVEMENTS

Warenbewegungen mit Handling Units

SAP_LO_HU_MASTER_DATA

Stammdaten zu Handling Units

SAP_LO_HU_PACKING

Handling Units verpacken



5.0

86

01.02.2005

Sicherheit des Kommunikationskanals Die folgende Tabelle zeigt die Kommunikationspfade, die die Komponente WarehouseManagement-System (LE-WMS) verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Kommunikationspfade Kommunikationspfad




SAP-ECC-System – Nicht-SAP-System (externes WarehouseManagement-System)

RFC

Anwendungsdaten (ALE-Verteilung)

-

Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. Weitere Informationen finden Sie wie folgt: •

allgemeine Informationen über Verschlüsselung: Sicherheitsleitfaden für SAP NetWeaver unter dem Abschnitt Network and Communication Security → Transport Layer Security

•

Sicherheit von Application Link Enabling (ALE): Sicherheitsleitfaden für SAP NetWeaver unter dem Abschnitt Security Aspects for Connectivity and Interopeability → Security Guide ALE (ALE Applications)

Technische Benutzer Legen Sie für die Verwendung von ALE einen oder mehrere Benutzer mit Berechtigungen für die Standard-ALE-Transaktionen an.

Task and Resource Management (LE-TRM), YardManagement (LE-YM), Cross-Docking (LE-WM-CDK), Logistische Zusatzleistungen

Berechtigungen Standardrollen Sie können die Standardrollen für das Warehouse-Management-System verwenden. Weitere Informationen über die Standardrollen für das Warehouse-Management-System finden Sie unter Berechtigungen [Seite 85].

Standardberechtigungsobjekte Die folgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die die Komponente Logistics Execution (EA-APPL) verwendet. Anwendung

Berechtigungsobjekt

Beschreibung

Task and Resource Management

L_EXECUTE

Ausführungsaktivitäten im TRM

L_MONITOR

Monitoring-Aktivitäten im TRM


5.0

87

01.02.2005

Logistische Zusatzleistungen

L_MON_VAS

L_MON_VAS

Cross-Docking

L_MON_XDCK

L_MON_XDCK

Yard-Management

L_MON_YARD

L_MON_YARD

L_VEHICLE

L_VEHICLE

L_YARD

L_YARD

L_YRD_MTHD

L_YRD_MTHD

Weitere Informationen finden Sie in der Dokumentation für SAP ECC im SAP Help Portal unter help.sap.com → Documentation → mySAP ERP → SAP ERP Central Component → ECC 5.0: •

Task and Resource Management: SAP ERP Central Component → Logistik → Logistics Execution (LE) → Task and Resource Management (LE-TRM) → Other Functions → Unterstützung von Vorgängen → Authorization Checks

•

Logistische Zusatzleistungen SAP ERP Central Component → Logistik → Logistics Execution (LE) → WarehouseManagement-System (WMS) → Logistische Zusatzleistungen (LE-WM-VAS) → Weitere Funktionen → Berechtigungsprüfungen

•

Cross-Docking SAP ERP Central Component → Logistik → Logistics Execution (LE) → WarehouseManagement-System (WMS) → Cross-Docking (LE-WM-DCK) → Weitere Funktionen → Berechtigungsprüfungen

•

Yard-Management: SAP ERP Central Component → Logistik → Logistics Execution (LE) → YardManagement → Weitere Funktionen → Berechtigungsprüfungen


Sicherheit des Kommunikationskanals Die folgende Tabelle zeigt die Kommunikationspfade, die die Komponente Task and Resource Management (als Teil von Logistics Execution, EA_APPL 500) verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten: Kommunikationspfade Kommunikationspfad




SAP-ECC-System – externes System (SAP- oder Non-SAP-System)

RFC

Anwendungsdaten

-


5.0

88

01.02.2005 Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. Weitere Informationen finden Sie im Sicherheitsleitfaden von SAP NetWeaver unter Network and Communication Security → Transport Layer Security.


5.0

89

01.02.2005

Retail

Netzwerk- und Kommunikationssicherheit Allgemeines Ihre Netzwerkinfrastruktur ist für den Schutz Ihres Systems äußerst wichtig. Beachten Sie deshalb die allgemeinen Hinweise für SAP ECC unter Netzwerk- und Kommunikationssicherheit [Seite 15]. Sie können DIAG- und RFC-Verbindungen mit Secure Network Communications (SNC) schützen. HTTP-Verbindungen schützen Sie mit dem Secure-Sockets-Layer-Protokoll (SSLProtokoll). Weitere Informationen finden Sie im Sicherheitsleitfaden von SAP NetWeaver unter dem Abschnitt Network und Communication Security → Transport Layer Security.

Sicherheit der Kommunikationskanäle Anbindung an mobile Datenerfassung im SAP Retail Store Die folgende Tabelle zeigt die Kommunikationspfade, die Sie verwenden, wenn Sie SAP Retail Store mit einer Anbindung an eine mobile Datenerfassung (Nicht-SAP-Produkt) einsetzen. Weitere Informationen über die Anbindung an SAP Retail Store finden Sie im SAP Help Portal unter help.sap.com → Documentation → SAP for Industries → SAP for Retail → Verteilte Datenverarbeitung → SAP Retail Store → MDE-Anbindung in SAP Retail Store. Kommunikationspfade Kommunikationspfad




SAP-ECC-System – SAP Exchange Infrastructure (SAP XI)

RFC

Anwendungsdaten

-

SAP Exchange Infrastructure – Server für mobile Datenerfassung

RFC

Anwendungsdaten

-

Für die RFC-Eingangsschnittstelle bei m Einsatz von mobiler Datenerfassung benötigen Sie einen technischen Benutzer für die SAP Exchange Infrastructure. Weisen Sie dem Benutzer die Berechtigungen der jeweiligen Anwendung zu.

Kommunikationspfade für Forecasting and Replenishment Weitere Informationen zur Sicherheit der Kommunikationspfade für das Business Scenario Forecasting & Replenishment finden Sie im Sicherheitsleitfaden für Forecasting and Replenishment im SAP Service Marketplace unter service.sap.com/securityguide → Industry Scenario Security Guides → SAP Forecasting and Replenishment: Security Guide.


5.0

90

01.02.2005

Weitere Kommunikationspfade für SAP for Retail Die folgende Tabelle zeigt die Kommunikationspfade für alle übrigen Systemverbindungen für SAP for Retail. Kommunikationspfade Anwendung

Kommunikationspf ad



PRICAT

SAP-ECC-System – System des Herstellers

RFC (oder anderes Protokoll, das IDocs unterstützt)

Anwendungsdaten

Filialinventur

SAP-ECC-System – System der Filiale


Anwendungsdaten

POS-Interface

SAP-ECC-System – Kassensystem


Anwendungsdaten

AFS/SAPRetailSchnittstelle

SAP-ECC-System – AFS-System

RFC

ALE-Nachrichten

Schnittstelle zu Regaloptimierungssystemen

SAP-ECC-System – Regaloptimierungssystem

RFC

Anwendungsdaten

Schnittstelle zu SAP Business Information Warehouse (SAP BW)

SAP-ECC-System – SAP-BW-System

RFC

Anwendungsdaten


Kreditkarteninformationen

Weitere Informationen über die Kommunikationspfade finden Sie im SAP Help Portal unter help.sap.com → Documentation → SAP for Industries → SAP for Retail wie folgt: •

PRICAT SAP Retail → Verteilte Datenverarbeitung → Übertragung von PRICAT-Nachrichten

•

Filial-Inventur SAP Retail → Warenlogistik → Inventur → Inventur: Unterstützung von Filialinventuren

•

POS-Interface SAP Retail → Verteilte Datenverarbeitung → POS-Interface

•

AFS/SAP-Retail-Schnittstelle SAP Retail → Verteilte Datenverarbeitung → AFS/SAP-Retail-Schnittstelle

•

Schnittstelle zu Regaloptimierungssystemen


5.0

91

01.02.2005 SAP Retail → Verteilte Datenverarbeitung → Schnittstelle zu Regaloptimierungssystemen Weitere Informationen über die Sicherheit der Kommunikation mit SAP-BW-Systemen finden Sie im Sicherheitsleitfaden für SAP BW auf dem SAP Service Marketplace unter service.sap.com/securityguide → SAP NetWeaver 04 Security Guide (Complete) → Security Guides for the SAP NetWeaver Products → SAP Business Information Warehouse Security Guide → Communication Security.

Berechtigungen Standardberechtigungsobjekte Die folgenden Tabellen zeigen die Berechtigungsobjekte, die die Komponente Retail verwendet. Standardberechtigungsobjekte: Retail (Softwarekomponente SAP-APPL) Berechtigungsobjekt

Beschreibung

W_APPT

WWS Berechtigung Torbelegung (Appointments)

W_ASORT

Berechtigung für die Sortimentspflege

W_ASORT_ST

Berechtigung für die Zuordnung von Sortimenten zu Betrieben

W_AUFT_BAA

WWS Berechtigung Belegart Aufteiler

W_AUFT_BAR

WWS Berechtigung Belegart Aufteilregel

W_AUFT_RMB

WWS Berechtigung Aufteiler: Anzeige/Rückmeldung pro Betrieb

W_CM_CDT

WWS Berechtigung zur Pflege von Artikelhierarchien

W_FRM

WWS Berechtigung für Verteilung von Materialien

W_GROUPTYP

Berechtigung zur Verwaltung der Betriebsgruppierung

W_LISTVERF

WWS Berechtigung zur Nutzung von Listungs-Verfahren

W_LIST_EAC

Akzeptanz-Berechtigung für Listungs-Fehler

W_MARKDOWN

WWS Berechtigung Abschriftenplanung: MFART, MATKL, VKORG, VTWEG

W_ONLSTORE

Berechtigung Start Online-Store

W_PCAT_LAY

Berechtigung Produktkatalog: Layoutbereich

W_PCAT_MTN

Berechtigung Produktkatalog: Pflege

W_PRICATIN

WWS Berechtigung: Anlage und Pflege PRICAT pro Einkäufergruppe

W_REF_SITE

Berechtigung zur Bereinigung der Tabelle MMSITEREF

W_SRS_POS

Berechtigungen für Inventur bei geöffneter Filiale


5.0

92

01.02.2005

W_SRS_VKPF

Retail Store - Berechtigung zur Tagespreispflege

W_STRU_CHG

IS-R Berechtigung: Änderungen an strukt. Mat. erlauben

W_STWB_WRK

SAP Retail Store: Filiale

W_TRAN_CCR

WWS Berechtigung Transaktion

W_VKPR_PLT

WWS Berechtigung VKP-Kalkulation: Vertriebslinie/Preisliste

W_VKPR_VKO

WWS Berechtigung Verkaufspreiskalkulation Vertriebslinie

W_VKPR_VTL

WWS Berechtigung VKP-Kalkulation: Vertriebslinie

W_VKPR_WRK

WWS Berechtigung VKP-Kalkulation: Vertriebslinie/Werk

W_WAKH_EKO

WWS Berechtigung Aktion: Einkaufsorganisation/Eink.-Gruppe

W_WAKH_MAT

WWS Berechtigung Aktion: Materialnummer

W_WAKH_THE

WWS Berechtigung Aktion: Thema

W_WAKH_VKO

WWS Berechtigung Aktion: Verkaufsorganisation / Vertriebsweg

W_WBEF_WRK

WWS Berechtigung VKP-Umbewertung: Vertriebslinie/Werk

W_WIND_TYP

WWS Automatische Beleganpassung: Berechtigung für Belegtyp

W_WTAD_AM

WWS Berechtigung VerkaufshilfsmittelMonitor

W_WTAD_ASL

WWS Berechtigung Verkaufshilfsmittel: Lieferant/Bestellliste

W_WTAD_IR

Verkaufshilfsmittel-IDoc per BAPI-Aufruf anfordern

W_WTAD_ISU

WWS Berechtigung: Status-Update des Verkaufshilfsmittel-IDoc

W_WTRA_LOG

Laufzeitmessung – Berechtigung zum Löschen von Datensätzen

W_WXP_DESI

Waren- & Sortimentscontrolling: Design Planungsszenario

W_WXP_HIER

Waren- & Sortimentsplanung: Planungshierarchie

W_WXP_INT

Waren- & Sortimentsplanung: Planungsschnittstellen

W_WXP_LAY

Waren- & Sortimentsplanung: Planungslayouts und Varianten

W_WXP_PLAN

Waren- & Sortimentscontrolling: Planung Planungsszenario


5.0

93

01.02.2005

Standardberechtigungsobjekte: Retail (Softwarekomponente EA-RETAIL) Berechtigungsobjekt

Beschreibung

WLM

Zuordnung von Artikeln zu Layoutbausteinen

WLMLOCLIST

Erzeugung der Sortimente pro Layoutbaustein und Filiale

WLMVREL

Freigabe einer Layoutbausteinversion

WLMVV

Layoutbaustein Versionsvariantenbearbeitung

WLWBENT

Einstieg in die Layoutworkbench

WPLGACT

Aufruf der externen Regaloptimierung


5.0

94

01.02.2005

Global Trade


Sicherheit des Kommunikationskanals Sie können für Global Trade Management (EA-GLTRADE) optional ein externes SAP-FSCMSystem verwenden, um Devisentermingeschäfte anzulegen. Wenn Sie SAP FSCM auf einem separaten System installieren, benötigen Sie eine RFC-Verbindung. Wenn Sie SAP FSCM gemeinsam mit Global Trade Management auf einem System installieren, ist keine RFCVerbindung nötig. Kommunikationspfade Kommunikationspfad




SAP-ERP-System SAP-FSCM-System (Financial Supply Chain Management)

RFC

Anwendungsdaten

-

Sie können RFC-Verbindungen mit Secure Network Communications (SNC) schützen. Weitere Informationen über die Einstellung der RFC-Verbindung und die Vorraussetzungen (Berechtigungen) finden Sie im Einführungsleitfaden (IMG) für ERP unter Logistik Allgemein → Global Trade Management → Devisenabsicherungen → RFC Destination des CFM Systems pflegen. Weitere Informationen über Verschlüsselung finden Sie im Sicherheitsleitfaden für SAP NetWeaver im Abschnitt Network and Communication Security → Transport Layer Security.


5.0

95

01.02.2005

Vertrieb (SD) Bevor Sie anfangen Wichtige SAP-Hinweise Nachfolgende Tabelle führt die für die Sicherheit der Komponente wichtigsten SAP-Hinweise auf. Wichtige SAP-Hinweise SAP-Hinweis-Nr.

Titel

Kommentar

766703

FAQ: Kreditkartenverschlüsselung im R/3

633462

Kreditkartendaten verschlüsseln

791178

Kreditkartenverschlüsselung im AR-Backend

727839

Berechtigungsrolle für die SAP SCM - SAP R/3 Integration

128447

Trusted/Trusting Systeme

Notwendig für das Customizing der RFC Verbindungen für Trusted/Trusting Systeme

Berechtigungen Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die die Komponente SD verwendet. Standardrollen Rolle

Beschreibung

SAP_AUDITOR_BA_SD

Audit Information System - Sales Revenue

SAP_AUDITOR_BA_SD_A

Audit Information System - Sales Revenue

SAP_AUDITOR_TAX_SD

AIS - Tax Audit Sales and Distribution

SAP_AUDITOR_TAX_SD_A

AIS - Tax Audit Sales and Distribution (Authorization)

SAP_LO_SD_BACKORDERS

Backorder processing

SAP_LO_SD_BILLING_BATCH

Process billing by batch

SAP_LO_SD_BILLING_DISPLAY

Display billing documents

SAP_LO_SD_BILLING_PROCESSING

Billing processing online

SAP_LO_SD_BLOCKED_BILLING_DOC

Release blocked billing documents

SAP_LO_SD_CONTRACT_PROCESSING

Contract processing

SAP_LO_SD_CREDIT_MANAGEMENT

Credit management in sales documents


5.0

96

01.02.2005

SAP_LO_SD_DEALS_PROMOTI_PROCES

Sales deals & promotions

SAP_LO_SD_INFORMATION_DISPLAY

Display customer & material information

SAP_LO_SD_INFORMATION_PROCESSI

Maintaining customer & material information

SAP_LO_SD_INQUIRY_PROCESSING

Inquiry processing

SAP_LO_SD_INVOICELIST_PROCESSI

Invoice list processing

SAP_LO_SD_OUTPUT_PROCESS

Output process

SAP_LO_SD_PRICING_DISPLAY

Display pricing

SAP_LO_SD_PRICING_MAINTAIN

Maintain pricing

SAP_LO_SD_QUOTATION_PROCESSING

Quotation processing

SAP_LO_SD_REBATE_PROCESSING

Rebate processing

SAP_LO_SD_RELEASE_FOR_DELIVERY

Release orders for delivery

SAP_LO_SD_RETURN_PROCESSING

Return order processing

SAP_LO_SD_SALES_DISPLAY

Display sales information

SAP_LO_SD_SALES_ORD_PROCESSING

Sales order processing

SAP_LO_SD_SALES_PERFORMANCE

Sales performance

SAP_LO_SD_SALES_SUPPORT

Sales support

SAP_LO_SD_SCHED_AGR_PROCESSING

Scheduling agreement processing

Netzwerk- und Kommunikationssicherheit Das SD ruft die ERP-Verfügbarkeitsprüfung und diese kommuniziert mit dem APO. Die zughörige Komponente ist SD-BF-AC. Es werden zum einen Stammdaten und Planungsdaten zwischen APO und ERP ausgetauscht, zum anderen werden aus dem ERP Planungstransaktionen im APO aufgerufen. Technisch läuft das Ganze wie folgt ab: Im Dialog aus dem Kundenauftrag wird der APO- ATP Dialog aufgerufen. Über die Sicht Übersicht Verfügbarkeit (Transaktion CO09) wird die APO-Sicht der ATP angezeigt (Transaktion /SAPAPO/AC03). Weitere Informationen hierzu finden Sie auf dem SAP Service Marketplace unter service.sap.com/securityguide → SAP Supply Chain Management → SAP Supply Chain Management Security Guide SCM 4.1 → Authorization → Integration with SAP Components → Integration of SAP APO and SAP R/3 → Authorization roles for SAP APO – SAP R/3 integration → Available to promise (ATP).

Kommunikationsdestinationen Legen Sie bei Bedarf einen Batch-Input-User an. Er wird im Standard nicht mit ausgeliefert. Weitere Informationen hierzu finden Sie unter Batch-Input-Berechtigungen in der Dokumentation des Vertriebs.

Sicherheit der Datenablage In der SAP-Komponente SD werden Kreditkartennummern abgespeichert. Da diese Daten besonders sensibel sind, müssen Sie diese auch besonders schützen und verschlüsseln. Weitere Informationen zur Kreditkartennummernverschlüsselung finden Sie im SAP Hinweis 766703.


5.0

97

01.02.2005

Personalwirtschaft

Personalmanagement (PA) Bevor Sie anfangen Wichtige SAP-Hinweise Nachfolgende Tabelle führt die für die Sicherheit des Personalmanagement wichtigsten SAPHinweise auf. Wichtige SAP-Hinweise SAP-Hinweis-Nr.

Titel

Kommentar

138526

Berechtigungsprüfung in Reports falsch

PA-PA-XX

138533

Berechtigungsprüfung auf SUBTY funktioniert nicht

PA-PA-XX

138706

Berechtigungsprobleme, Analysevorbereitungen

PA-PA-XX

142865

SAPDBPNP Berechtigungsprüfung zu scharf

PA-PA-XX

142896

Trotz vorhandener Berechtigungsprüfungen kein Zugriff auf Personalnr

PA-PA-XX

148525

Suchhilfe selektiert zuwenig Daten

PA-PA-XX

151207

Berechtigungsprüfung symmetrisches 4 Augen Prinzip

PA-XX

362675

Deaktivierung von P_ORIGIN; Aktivierung von P_PERNR

PA-PA-XX

383290

Externe Objekttypen und strukturelle Berechtigungen

PA-BC

385319

Change of master data in a productive Payroll

PA-PA-IT

385635

Berechtigungsprüfung bei Mitarbeiterkreiswechsel

PA-BC

390373

Externe Verknüpfungen: Anlegen von Klassen

PA-BC

495971

Workflow 01000015 wird nicht ausgelöst bei Adreßänderung

PA-PA-XX

514893

Ad-Hoc-Query: Treffermenge ist unterschiedlich zur Ausgabe

PA-IS


5.0

98

01.02.2005

552184

Informationen zu dem Objekttyp der zentralen Person

PA

693156

Berechtigungsprüfung bei Massnahme Wiedereintritt

PA-PA-XX

724149

HRALX: Maskieren von sensiblen Daten

BC-BMT-OM-CRM

23611

Sammelhinweis: Sicherheit in SAP-Produkten

BC-SEC

30724

Datenschutz und Sicherheit in SAP-Systemen

BC-SEC

Zusatzinformationen •

Eine umfangreiche Dokumentation der Berechtigungsobjekte der Personalwirtschaft finden Sie in der SAP-Bibliothek bzw. im SAP Help Portal unter ERP Central Component → Personalwirtschaft → Personalmanagement → Personaladministration → Technische Prozesse in der Personaladministration → Berechtigungen für die Personalwirtschaft.

•

Zusätzlich stehen Ihnen für einige Länderversionen weitere Informationen zur Verfügung: Länderversion Deutschland ¡

Leitfaden Datenschutz für SAP R/3 im Service Marketplace für die Länderversion Deutschland

Länderversion Großbritannien (PA-PA-GB) ¡

Ein Einführungs- und Bedienungshandbuch für das E-Filing Incoming finden Sie im SAP Service Marketplace auf unserer Informationsseite für die Länderversion Personalabrechnung Großbritannien im Media Center.

Länderversion Schweiz (PA-PF-CH) ¡

Eine Dokumentation über die Einstellungen und Funktionen des Berechtigungsobjektes P_CH_PK für die Pensionskasse Schweiz finden Sie in der SAP Bibliothek oder dem SAP Help Portal unter ERP Central Component → Personalwirtschaft → Personalabrechnung → Personalabrechnung Schweiz → Pensionskasse → Referenzhandbuch der Pensionskasse → Berechtigungen → Berechtigungsobjekt P_CH_PK.

Benutzerverwaltung Die Benutzerverwaltung des Personalmanagement verwendet die vom SAP Web Application Server (ABAP, Java oder ABAP und Java) angebotenen Mechanismen, z. B. Werkzeuge, Benutzertypen und Kennwortkonzept. Einen Überblick darüber, wie diese Mechanismen das Personalmanagement betreffen, erhalten Sie in den nachfolgenden Abschnitten. Außerdem erhalten Sie eine Liste der Standardbenutzer, die zum Betrieb des Personalmanagement erforderlich sind.

Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung des Personalmanagement.


5.0

99

01.02.2005 Werkzeuge der Benutzerverwaltung Werkzeug

Genaue Beschreibung


Die Transaktion PFCG zur Rollenpflege können Sie verwenden, um für Ihre Anwender des Personalmanagement Profile zu generieren.

Voraussetzungen

Benutzertypen Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für das Personalmanagement erforderliche Benutzertypen sind z. B.: •

Einzelne Benutzer ¡

¡

¡

•

Sachbearbeiter

§

der Personaladministration

§

der Arbeitgeberleistungs-Verwaltung

Manager

§


§


§

der Vergütungsverwaltung

§

des Veranstaltungsmanagement

Spezialisten

§


§


§

der Vergütungsverwaltung

§

des Veranstaltungsmanagement

Technische Benutzer Technische Benutzer benötigen Sie für folgende Geschäftsprozesse: ¡

Verteilung von Stammdaten mit der ALE-Technologie. Weitere Informationen hierzu finden Sie in der Dokumentation des Reports RHALEINI (HR: ALEVerteilung von HR-Stammdaten).

¡

Vergütungsmanagement (PA-CM): Für die Integration mit der Funktion Mitarbeiterbeteilung benötigt der technische Benutzer Berechtigungen für die folgenden Funktionen:

¡

§

Aufruf des RFC-Funktionsbausteines HRCM_RFC_LTI_ACCRUALDATA_GET (Daten über Beteiligungen zur Bildung von Rückstellungen ermitteln)

§

Lesen des Infotyps Mitarbeiterbeteilung (0382), Berechtigungsobjekt P_ORGIN

Budgetmanagement (PA-PM)


5.0

100

01.02.2005

§

Für die Obligoerstellung verwenden Sie eine Hintergrundverarbeitung, um Obligos im Rechnungswesen mit einer RFC-Verbindung zu erstellen. Abhängig vom Prozess und der eingesetzten Systemlandschaft kann es notwendig sein, einen Benutzer für die Hintergrundverarbeitung einzurichten. Hierfür können Sie Ihren eigenen Benutzer verwenden (hierfür ist eine zusätzliche Anmeldung notwendig) oder Sie richten einen eigenen Benutzer für die Obligoerstellung ein.

Weitere Informationen zu diesen Benutzertypen erhalten Sie im Sicherheitsleitfaden des SAP Web AS ABAP unter User Types.

Berechtigungen Das Personalmanagement verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP Web AS Java beschrieben sind, auch für das Personalmanagement. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG) und auf dem SAP Web AS Java die Benutzerverwaltungskonsole der User Management Engine.

Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die das Personalmanagement verwendet. Standardrollen Rolle

Beschreibung

SAP_HR_BN*

Rollen für die Komponente PA-BN (Arbeitgeberleistungen)

SAP_HR_CM*

Rollen für die Komponente PA-CM (Vergütungsmanagement)

SAP_HR_CP*

Rollen für die Komponente PA-CM-CP (Personalkostenplanung)

SAP_HR_EMPLOYEE_xx*

Rollen für die Länderversionen des Employee Self-Service

SAP_HR_OS*

Rollen für die Komponente PA-OS (Aufbauorganisation)

SAP_HR_PA_xx_*

Rollen für die internationalen und Länderversionen der Komponente PA-PA (Personaladministration)

SAP_HR_PA_XF*

Rollen für die Komponente CA-GTF-XF (SAP Expert Finder)

SAP_HR_PA_PF_xx_*

Rollen für die Komponente PA-PF (Altersversorgung)

SAP_HR_PD*

Rollen für die Komponente PA-PD (Personalentwicklung)

SAP_HR_RC*

Rollen für die Komponente PA-RC (Personalbeschaffung)


5.0

101

01.02.2005

SAP_HR_REPORTING

Rolle für die Personalcontroller

SAP_AUDITOR_TAX_HR

Diese Rolle ist nur für die Länderversion Deutschland relevant. Rolle HR-DE Steuerprüfung § 147 AO (Muster) für die Komponente PA-PA-DE (Personaladministration Deutschland).

Für die mit einem Sternchen markierten Rollen (*) stehen Ihnen für die Komponenten jeweils mehrere Rollen zur Verfügung. Für die mit xx markierten Rollen stehen Ihnen unterschiedliche Rollen für die jeweiligen Länderversionen zur Verfügung. xx steht dabei für den Länderschlüssel.

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die zentralen, wesentlichsten sicherheitsrelevanten Berechtigungsobjekte, die das Personalmanagement verwendet.

Weitere Informationen zu den Berechtigungen des Personalmanagement finden Sie in der SAP-Bibliothek unter ERP Central Component → Personalmanagement → Personaladministration → Technische Prozesse in der Personaladministration → Berechtigungen für die Personalwirtschaft [Extern]. Wichtigste Standardberechtigungsobjekte Berechtigungsobjekt

Feld

P_ORGIN

HR Stammdaten

Wird bei der Berechtigungsprüfung auf HRInfotypen verwendet. Die Prüfungen finden statt, wenn HR-Infotypen bearbeitet oder gelesen werden.

P_ORGINCON

HR Stammdaten mit Kontext

Dieses Berechtigungsobjekt besteht aus den gleichen Feldern wie das Berechtigungsobjekt P_ORGIN und ist um das PROFL (strukturelles Profil) erweitert. Die Prüfung gegen dieses Objekt führt dazu, dass benutzerspezifische Kontexte in den HR-Stammdaten abgebildet werden können.

P_ORGXX

HR Stammdaten – erweiterte Prüfung

Mit diesem Objekt können Sie festlegen, dass zusätzlich weitere Felder geprüft werden. Sie können festlegen, ob diese Prüfung additiv oder alternativ zur Berechtigungsprüfung HR Stammdaten durchgeführt werden soll.

P_P_ORGXXCON

HR Stammdaten – erweiterte Prüfung mit Kontext

Dieses Berechtigungsobjekt besteht aus den gleichen Feldern wie das Berechtigungsobjekt P_ORGXX und ist um das Feld PROFL (strukturelles Profil) erweitert.

Wert


Beschreibung

5.0

102

01.02.2005 Die Prüfung gegen dieses Objekt führt dazu, dass benutzerspezifische Kontexte in den HR-Stammdaten abgebildet werden können. P_TCODE

HR: Transaktionscode

Dieses Berechtigungsobjekt prüft einige spezifische Transaktionen der SAP-Personalwirtschaft.

PLOG

Personalplanung

Legt fest, für welche Formen der Informationsbearbeitung ein Anwender berechtigt ist.

PLOG_CON

Personalplanung mit Kontext

Dieses Berechtigungsobjekt besteht aus den gleichen Feldern wie das Objekt PLOG und ist um das Feld PROFL (strukturelles Profil) erweitert. Die Prüfung gegen dieses Objekt führt dazu, dass benutzerspezifische Kontexte abgebildet werden können.

Sie können im Customizing für bestimmte Berechtigungsobjekte festlegen, ob diese geprüft werden sollen. In der Tabelle T77S0 in der Gruppe für semantische Kürzel PD Plan AUTSW sind alle zentralen Schalter und Einstellungen der Berechtigungsprüfung der Personalwirtschaft zusammengefasst. Beachten Sie, dass Änderungen an den Einstellungen tief greifende Auswirkungen auf Ihr Berechtigungskonzept zur Folge haben. Weitere Informationen zur Änderung der Berechtigungshauptschalter erhalten Sie im Einführungsleitfaden (IMG) der Personaladministration unter Werkzeuge → Berechtigungsverwaltung

Sicherheit der Kommunikationskanäle Verwendung Nachfolgende Tabelle zeigt die Kommunikationspfade, die das Personalmanagement verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Kommunikationspfade Kommunikationspfad



Interface Toolbox (Transaktion PU12)

ALE

Stammdaten, Daten der Arbeitgeberleistungen, Organisatorische Daten, die durch den Anwender definiert wurden

SAP BW

Extraktor-Programm

Stammdaten, Organisatorische Daten, Daten der Personalentwicklung



5.0

103

01.02.2005

SAP CO

RFC

Kostenstellen, Aufträge usw.

Hierfür sind Berechtigungen für CO-Objekte erforderlich

Externe Dateien

ASCII

Daten der Personaladministration

Nur für die Länderversionen Australien und Neuseeland

MS Word

Reportingschnittstelle mit SAP NetWeaver

(bei verteilten Systemen)

Office-Integration

Sie können DIAG- und RFC-Verbindungen mit Secure Network Communications (SNC) schützen. HTTP-Verbindungen werden mit dem Secure-Sockets-Layer-Protokoll (SSLProtokoll) geschützt. Weitere Informationen erhalten Sie im Sicherheitsleitfaden von SAP NetWeaver unter Transport Layer Security.

Kommunikationsdestinationen Verwendung Für einige Komponenten des Personalmanagement und länderspezifische Komponenten der Personaladministration stehen Ihnen besondere Kommunikationsdestinationen zur Verfügung. Arbeitgeberleistungen (PA-BN) Bei der Auswertung von Pensionsleistungen für Mitarbeiter werden servicebezogene Daten mit Hilfe von IDocs an ein externes System gesendet. Dazu stellt das ArbeitgeberleistungsSystem die IDocs in einen speziellen Port. Von diesem Port aus können die externen Systeme die IDocs abholen. Die externen Systeme werten dann die Pensionsleistungen anhand der übergebenen Daten aus und senden sie mit einem Eingangs-IDoc an das SAPSystem zurück. Von Seiten der Arbeitgeberleistungen gibt es keine speziellen Funktionen, diese Daten zu schützen. Unternehmensvergütungsmanagement (PA-EC) Mit Hilfe von IDocs führen Sie die Kommunikation mit den Banken und Maklern über den SAP Business Connector durch. Die übergebenen Daten sollten verschlüsselt sein. Weitere Informationen finden Sie in der Dokumentation der folgenden Reports: •

RHECM_GRANT_IDOC_OUT (LTI-Zuteilungsdaten exportieren)

•

RHECM_PARTICIPANT_IDOC_OUT (LTI-Teilnehmerdaten exportieren)

•

RHECM_EXERCISE_IDOC_IN (LTI-Ausübungsdaten importieren)

Vergütungsmanagement (PA-CM) Die Self-Service-Anwendung Salary Benchmarking (HRCMP0053) tauscht Daten mit externen Benchmarking-Anbietern aus. Die Kommunikation führen Sie mit Hilfe des HTTPSProtokolls synchron und online durch. SAP Expert Finder (CA-GTF-XF) Die Komponente SAP Expert Finder kann Daten mit externen Systemen via RFC austauschen.


5.0

104

01.02.2005 Personaladministration •

B2A-Manager - Behördenkommunikation Einige Länderversionen verwenden den B2A-Manager, um Daten mit Behörden auszutauschen. So können Sie z. B. mit der deutschen Landesversion (PA-PA-DE) Daten mit Sozialversicherungsanstalten und Krankenkassen austauschen. Dabei unterstützt der B2A-Manager je nach Empfänger folgende Kommunikationswege und Verschlüsselungsmethoden: ¡

¡

•

•

Kommunikationswege

§

E-Mail mit Dateianhängen

§

HTTPS (Hyper Text Transfer Protocol Secure Sockets)

Verschlüsselungsmethoden

§

PEM (Privacy Enhanced Mail)

§

PKCS#7 (Public Key Cryptography Standards No.7).

Altersversorgung (PA-PF) ¡

Sie können Dateien mit dem SAP List Viewer (ALV) und TemSe (Temporary Sequential Objects) erstellen.

¡

Im Standard gibt es keine Verschlüsselung der Daten.

¡

Landesversion Niederlande (PA-PF-NL): Hier können Sie die eingehenden Daten mit der GBA-Schnittstelle (Gemeentelijke Basis Administratie) heraufladen.

Landesversion Deutschland (PA-PA-DE) Die Mitarbeiter können ihre Steuererklärung in elektronischer Form (ELSTER) abgeben. Die Kommunikation erfolgt mit dem Protokoll HTTP. Die Daten werden dabei mit PKCS#7 verschlüsselt. Das Vorgehen wird von den Finanzbehörden vorgegeben.

•

Landesversion USA Für die VET- und EEO-Reports für die Landesversion USA können Sie Daten mit lokalen Servern bzw. Terminals austauschen. Mit dieser Funktion können Sie Dateien vom Anwendungs- auf einen Präsentationsserver herunterladen. Als Ergebnis erhalten Sie die von den Behörden geforderten Text-Dateien im Ausgabeformat .txt. Dieses Ausgabeformat ist gesetzeskonform. Die Daten werden im Standard nicht verschlüsselt. Es bleibt Ihnen überlassen, wie weit Sie die Daten verschlüsseln möchten, wenn Sie die Daten an die Federal Commission oder das Department of Labor schicken möchten.

•

Landesversion Großbritannien Sie können mit dem GB Inland Revenue Gateway kommunizieren. Der Kommunikationskanal ist mit 128 SSL verschlüsselt. Die Steuerdaten der Mitarbeiter werden mit RFC-Verbindungen und dem Protokoll HTTPS übertragen.

Sicherheit der Datenablage Die Infotypen des Personalmanagement enthalten besonders sensible Daten. Diese sind durch zentrale Berechtigungsobjekte geschützt.

Weitere Informationen zu den Berechtigungsobjekten finden Sie unter Berechtigungen [Seite 101].


5.0

105

01.02.2005 Beispiele für Infotypen, die besonders sensible Daten enthalten: •

•

•

Internationale Infotypen der Personaladministration (PA-PA) ¡

Daten zur Person (0002)

¡

Basisbezüge (0008)

¡

Bankverbindung (0009)

¡

Familie/Bezugsperson (0021)

Personalentwicklung (PA-PD) ¡

Qualifikationen

¡

Beurteilungen

Personalkostenplanung und –simulation (PA-CP) ¡

•

•

Planung Personalkosten (0666), enthält gehaltsbezogene Informationen

Unternehmensvergütungsmanagement (PA-EC) ¡

LTI-Zuteilung (0761)

¡

LTI-Ausübung (0762)

Management globaler Mitarbeiter (PA-GE) ¡

Angebot Vergütungspaket (0706)

Weitere sensible Daten des Personalmanagement •

Budgetmanagement Die Komponente Budgetmanagement greift auf die Gehaltsdaten der Mitarbeiter zu und zeigt Daten aus den Komponenten Controlling (CO) und dem Haushaltsmanagement (FI-FM) an. Für diese Prozesse wird das StandardBerechtigungskonzept der Personalwirtschaft, des Controlling und des Haushaltsmanagement verwendet. Zusätzlich gibt es die folgenden Berechtigungsobjekte, um die Daten zu schützen:

•

¡

P_ENCTYPE (HR: PBC – Finanzierung): Legt fest, auf welche Mittelreservierungstypen ein Benutzer zugreifen darf und welche Aktivitäten er durchführen darf.

¡

P_ENGINE (HR: Berechtigung für automatische Obligoerstellung): Legt fest, welche Aktivitäten ein Benutzer bei der Obligoerstellung durchführen darf.

Altersversorgung (PA-PF) Der Zugriff auf Gehaltsdaten, Versorgungsrenten und Versorgungsansprüche ist durch die folgenden Berechtigungsobjekte geschützt:

•

¡

P_ORIGIN (HR Stammdaten)

¡

P_CH_PK (HR-CH: Pensionskasse: Kontenzugriff)

¡

P_NL_PKEV (Bevoegdheidsobject voor PF-gebeurtenissen)

SAP Expert Finder (CA-GTF-XF) Für die Verbindung mit dem externen LDAP-System sollte der Benutzer nur einen Lesezugriff auf die Daten erhalten. Hierfür steht Ihnen die Rolle SAP_HR_PA_XF_SERVICE_USER_DOC (HR Expert Finder: Service-Benutzer für Zugriff Suchmaschine) zur Verfügung.

•

Personalkostenplanung (PA-CM-CP und PA-CP) Sowohl die alte Personalkostenplanung (PA-CM-CP) als auch die neue Personalkostenplanung und –simulation (PA-CP) speichern gehaltsrelevante


5.0

106

01.02.2005 Informationen auf den Clustern der Datenbank PCL5. Die Zugriffsrechte können Sie über das Berechtigungsobjekt P_TCODE (HR: Transaktionscode) steuern. •

Besonders sensible Daten der Landesversionen ¡

Die Übertragung von Gehalts- und Steuerdaten mit Hilfe des B2A-Managers ist durch das Berechtigungsobjekt P_B2A (HR_B2A: B2A Manager) geschützt.

¡

Landesversion USA (PA-PA-US) Die Sozialversicherungsnummer (SSN Nummer) im Infotyp Daten zur Person (0002).

¡

Landesversion Kanada (PA-PA-CA) Die Sozialversicherungsnummer (SNI Nummer) im Infotyp Daten zur Person (0002).

¡

Landesversion Australien (PA-PA-AU) Die Tax File Number (TFN Nummer) im Infotyp TFN Australia (0227).

¡

Landesversion Neuseeland (PA-PA-NZ) Die Employee IRD Number aus dem Infotyp IRD Nbr New Zealand (0309). Auf die Nummer können Sie auf die folgenden Arten zugreifen:

§

Direkt über den Infotyp IRD Nbr New Zealand (0309) mit der Transaktion Personalstammdaten pflegen (PA30).

§

Durch Klicken auf der Drucktaste IRD Number im Infotyp Tax New Zealand (0313).

Die erforderlichen Berechtigungen zum Lesen oder Ändern der IRD Nummer hängen von dem Berechtigungen in dem Benutzerprofil ab.

Sicherheit weiterer Anwendungen In vielen Reports der länderspezifischen Komponenten der Personaladministration werden sicherheitsrelevante und sensible Daten gespeichert. Hierzu gehören Mitarbeiterdaten wie das Gehalt, die Steuer, die Sozialversicherung, die Beiträge zur Altersversorgung und Pfändungen. Die Daten werden in temporäre sequentielle (TemSe) Dateien gestellt und dienen dem Ausdruck von gesetzlichen Formularen, Statistiken und Geschäftsberichten. Der Zugriff auf die TemSe wird durch das Berechtigungsobjekt S_TMS_ACT kontrolliert. Eine Verschlüsselung ist hierbei nicht notwendig. Eine Liste aller Reports und Programme, die die TemSe verwenden, finden Sie in der Dokumentation Ihrer Landesversion für die Personaladministration. Sie können Daten auch direkt vom Frontendserver (z. B. PC/Terminal) oder dem Anwendungsserver herunterladen, ohne vorher die Datensätze in der TemSe abzulegen. Hierzu kopieren Sie die Daten auf einen Datenträger, den Sie dann den Behörden zusenden können.

Weitere sicherheitsrelevante Informationen Verwendung Weiteres sicherheitsrelevantes Customizing für Infotypsätze Mit dem Feld ZugrBerecht. (Zugriffsberechtigung) in der Tabelle V_T582A (InfotypEigenschaften (Customizing)) können Sie den Zugriff auf einen Infotypsatz abhängig davon


5.0

107

01.02.2005 steuern, ob der Satz zum aktuellen Datum zum Zuständigkeitsbereich eines Sachbearbeiters gehört. Weitere Informationen hierzu finden Sie im Einführungsleitfaden des Personalmanagement unter Personaladministration → Anpassung der Arbeitsabläufe → Informationstypen → Infotypen. Beachten Sie insbesondere die Hilfe für das Feld Zugriffsberechtigung. Technische Hilfsmittel ohne integrierte Berechtigungsprüfung Die folgenden technischen Hilfsmittel lesen Daten, ohne dass die Berechtigungen des Benutzers geprüft werden. Sie sollten daher die entsprechenden Reportberechtigungen nur den Rollen zuweisen, die Systemadministrator-Funktionen beinhalten. •

Reports mit dem Präfix RHDBST*: Datenbankstatistiken

•

Reports mit dem Präfix RHCHECK*: Konsistenzprüfungen für Daten des Organisationsmanagement und der Personalentwicklung.

Folgende Reports, die für den SAP-internen Gebrauch entwickelt wurden, können Sie bei Bedarf für Testzwecke verwenden. SAP übernimmt allerdings keine Gewähr für diese Reports: •

Report RPCHKCONSISTENCY: (Konsistenzprüfung für Personalstammdaten)

•

Report RPUSCNTC (Suchen von Zeitbindungsinkonsistenzen)

Personalzeitwirtschaft (PT)

Benutzerverwaltung Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für die Personalzeitwirtschaft benötigen Sie für die folgenden Aufgaben technische Benutzer: •

Den Upload der Zeitereignisse aus dem externen Zeiterfassungssystem fordern Sie mit Hilfe des Reports RPTCC106 (HR-PDC: Download Uploadanforderung Zeitereignisse) an. Diesen Report werden Sie zumeist als Hintergrundverarbeitung einplanen. Dafür benötigen Sie einen technischen Benutzer. Dessen Berechtigungen sollten sich an den Berechtigungen der Transaktion PT80 (Subsystemanbindung) orientieren. Der Upload der Zeitereignisse vom Subsystem erfolgt über IDOC. Dieser IDOC legt die Zeitereignisse in der Schnittstellentabelle CC1TEV ab. Für diesen Upload benötigen Sie einen technischen Benutzer, der Berechtigungen für die Kommunikation über ALE mit einem SAP-System sowie die erforderlichen Tabellenberechtigungen besitzt. Er benötigt keine spezifischen Berechtigungen für die SAP-Personalwirtschaftslösung. Für die anschließende Überleitung der Zeitereignisse von der Schnittstellentabelle in die relevanten Tabellen der Personalzeitwirtschaft benötigen Sie einen technischen Benutzer für die Hintergrundverarbeitung mit den Berechtigungen der Transaktion PT45 (HR-PDC: Verbuchung der Personalzeitereignisse).

•

Für die BAPIs, die Daten in eine der Schnittstellentabellen PTEXDIR, PTEX2000, PTEX2003 und PTEX2010 ablegen, benötigen Sie zwei Arten von technischen Benutzern: ¡

Für das Füllen der Schnittstellentabellen benötigen Sie einen Benutzer mit Berechtigungen für die Kommunikation über ALE mit einem SAP-System sowie die entsprechenden Tabellenberechtigungen.


5.0

108

01.02.2005

•

¡

Für die anschließende Überleitung der Daten von den Schnittstellentabellen in die Datenbanktabellen der Infotypen benötigen Sie einen technischen Benutzer für die Hintergrundverarbeitung mit Berechtigungen, wie Sie für die Transaktion CAT6 (Überleitung von Zeitangaben in die Personalzeitwirtschaft) benötigt werden.

¡

Bei technischen Benutzern für BAPIs, die lesend auf die Infotypen zugreifen, können Sie sich an den Berechtigungen der Rolle SAP_HR_PT_TIMEADMINISTRATOR orientieren.

Für alle weiteren ALE-Szenarien und BAPIs der Personalzeitwirtschaft benötigen Sie ebenfalls technische Benutzer. Weitere Informationen finden Sie unter Kommunikationsdestinationen [Seite 110].

Berechtigungen Die Personalzeitwirtschaft verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP WEB AS Java beschrieben sind, auch für die Personalzeitwirtschaft. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG).

Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die die Personalzeitwirtschaft verwendet. Standardrollen Rolle

Beschreibung

SAP_HR_PT_SHIFT-PLANNER

Einsatzplaner

SAP_HR_PT_TIME-ADMINISTRATOR

Zeitbeauftragter

SAP_HR_PT_TIME-LABOR-ANALYST

Controller Personalzeiten

SAP_HR_PT_TIME-MGMT-SPECIALIST

Spezialist Zeitmanagement

SAP_HR_PT_TIME-SUPERVISOR

Zeitverantwortlicher

SAP_EMPLOYEE

Employee Self-Service

SAP_HR_PT_US_PS_TIME-ADM

Administrator Time Recording Diese Rolle wird nur für den Öffentlichen Dienst der Landesversion USA verwendet.

Berechtigungsobjekte Die Personalzeitwirtschaft verwendet keine eigenen Berechtigungsobjekte, sondern die Berechtigungsobjekte des Personalmanagement. Weitere Informationen zu den Berechtigungen finden Sie an folgenden Stellen: •

In der SAP-Bibliothek unter Personalwirtschaft → Personalmanagement → Personaladministration → Technische Prozesse in der Personaladministration → Berechtigungen für die Personalwirtschaft [Extern].

•

Im Einführungsleitfaden der Personalzeitwirtschaft unter → Rollen und Berechtigungsverwaltung.


5.0

109

01.02.2005

Kommunikationsdestinationen Verwendung Für einige Komponenten der Personalzeitwirtschaft stehen Ihnen besondere Kommunikationsdestinationen zur Verfügung. Anbindung an externe Zeiterfassungsterminals Die Personalzeitwirtschaft unterstützt eine Anbindung an externe Zeiterfassungssysteme (Schnittstelle HR-PDC). Die Kommunikation erfolgt mittels asynchroner BAPIs über IDocs. Weitere Informationen hierzu finden Sie in der SAP-Bibliothek unter Personalzeitwirtschaft → Integration mit anderen Komponenten → Anbindung von externen Zeiterfassungssystemen. Externe Schnittstellen der Personalzeitwirtschaft Mit den BAPIs der Personalzeitwirtschaft können Sie Daten mit anderer Zeitwirtschaftssoftware austauschen. Über diese BAPIs können Sie Daten der Personalzeitwirtschaft lesen sowie die Daten der Personalzeitwirtschaft anlegen, ändern oder löschen. Siehe auch: Weiterführende Informationen finden Sie •

In der SAP-Bibliothek in der Beschreibung der ALE-Szenarien der Personalzeitwirtschaft unter Szenarios in den Anwendungen → ALE/EDIGeschäftsprozesse.

•

SAP-Hinweis 44103: Inbetriebnahme der PDC-Schnittstelle


5.0

110

01.02.2005

Personalabrechnung (PY)

Bevor Sie anfangen Wichtige SAP-Hinweise Nachfolgende Tabelle führt die für die Sicherheit der Personalabrechnung wichtigsten SAPHinweise auf. Wichtige SAP-Hinweise SAP-Hinweis-Nr.

Titel

Kommentar

430595

Tax Reporter Transaction and Spool Security

Nur gültig für Landesversion USA

Zusatzinformationen Weitere Informationen zur Sicherheit der Personalabrechnung finden Sie im Sicherheitsleitfaden für das Personalmanagement [Seite 98].

Benutzerverwaltung Die Benutzerverwaltung der Personalabrechnung verwendet die vom SAP Web Application Server (ABAP und Java) angebotenen Mechanismen, z. B. Werkzeuge, Benutzertypen und Kennwortkonzept. Einen Überblick darüber, wie diese Mechanismen die Personalabrechnung betreffen, erhalten Sie in den nachfolgenden Abschnitten. Außerdem erhalten Sie eine Liste der Standardbenutzer, die zum Betrieb der Personalabrechnung erforderlich sind.

Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung der Personalabrechnung. Werkzeuge der Benutzerverwaltung Werkzeug

Genaue Beschreibung


Die Transaktion PFCG zur Rollenpflege können Sie verwenden, um für Ihre Anwender der Personalabrechnung Profile zu generieren.

Voraussetzungen

Benutzertypen Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für die Personalabrechnung erforderliche Benutzertypen sind z. B.: •


Sachbearbeiter


5.0

111

01.02.2005

•

¡

Leiter Abrechnung

¡

Spezialist Abrechnung

Technische Benutzer ¡

Prozesssachbearbeiter Abrechnung

¡

ALE-Benutzer für die Buchung der Abrechnungsergebnisse in das Rechnungswesen

Weitere Informationen zu diesen Benutzertypen erhalten Sie im Sicherheitsleitfaden des SAP Web AS ABAP unter User Types.

Berechtigungen Die Personalabrechnung verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP beschrieben sind, auch für die Personalabrechnung. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG).

Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die die Personalabrechnung verwendet. Standardrollen Rolle

Beschreibung

SAP_HR_PY_xx_PAYROLL-ADM

Sachbearbeiter Abrechnung

SAP_HR_PY_xx_PAYROLL-MANAGER

Leiter Abrechnung

SAP_HR_PY_xx_PAYROLL-PROC-ADM

Prozesssachbearbeiter Abrechnung

SAP_HR_PY_xx_PAYROLL-SPEC

Spezialist Abrechnung

SAP_HR_PY_xx_*

Rollen für die Abbildung länderspezifischer Aufgaben bei der Personalabrechnung

SAP_HR_PY_PAYROLL-LOAN-ADM

Sachbearbeiter Darlehensabrechnung

xx steht für den Länderschlüssel. Für die mit einem Sternchen (*) markierten Rollen stehen Ihnen für die Länder jeweils zusätzliche Rollen zur Verfügung. Weitere Rollen finden Sie bei der Beschreibung der Standardrollen des Personalmanagement.

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die die Personalabrechnung verwendet. Standardberechtigungsobjekte Berechtigungsobjekte

Bezeichnung

P_PBSPWE

Process Workbench Engine (PWE) Berechtigung

Berechtigungen für die Process Workbench Engine (PWE)

P_PCLX

HR: Cluster

Prüfung des Zugriffs auf die Dateien der


Wert

Beschreibung

5.0

112

01.02.2005 Personalwirtschaft auf den Datenbanken PCLx (x = 1, 2, 3, 4) P_PCR

HR: Personalverwaltungssatz

Berechtigungsprüfung für den Personalverwaltungssatz (Transaktion PA03)

P_PE01

HR: Berechtigung für Personalrechenschemen

Berechtigungsprüfung für die Personalrechenschemen

P_PE02

HR: Berechtigung für Personalrechenregel

Berechtigungsprüfung für die Personalrechenregeln

P_PYEVDOC

HR: Abrechnungsbeleg

Absicherung von Aktionen auf Abrechnungsbelegen

P_PYEVRUN

HR: Buchungslauf

Steuerung der Aktionen, die für Buchungsläufe möglich sind

P_OCWBENCH

HR: Aktivitäten in der Off-Cycle Workbench

Wird für die Berechtigungsprüfung in der Off—Cycle Workbench verwendet.

P_B2A

HR-B2A: B2A-Manager

Wird verwendet, um die Berechtigungsprüfung für den B2A-Manager zu bestimmen. Voraussetzung ist der Einsatz des B2AManagers.

P_USTR

Tax report authorization (nur Länderversion USA)

Berechtigungen für den Tax report (nur Länderversion USA)

S_TMS_ACT

Aktionen an/auf TemSeObjekten

Die Berechtigung regelt, wer auf welchen TemSeObjekten welche Operationen durchführen darf

Sicherheit der Kommunikationskanäle Verwendung Nachfolgende Tabelle zeigt die Kommunikationspfade, die die Personalabrechnung verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten.


5.0

113

01.02.2005 Kommunikationspfade Kommunikationspfad



Interface Toolbox (Transaktion PU12)

ALE

Durch den Benutzer festgelegt

Buchungsläufe anzeigen (Transaktion PCP0)

ALE

Daten für die Kostenrechnung

BSI Tax Factory for tax calculation

RFC

Steuerdaten für die Landesversion USA


Sie können RFC-Verbindungen mit Secure Network Communication (SNC) schützen. Weitere Informationen erhalten Sie im Sicherheitsleitfaden von SAP NetWeaver unter Transport Layer Security.

Kommunikationsdestinationen Nachfolgende Tabelle zeigt einen Überblick über die Kommunikationsdestinationen, die die Personalabrechnung einsetzt. Kommunikationsdestinationen Destination

Ausgeliefert

Typ

Beschreibung

BSI

Für Landesversion USA

RFC mit dem Funktionsbaustein PAYROLL_TAX_ CALC_US

PAYROLL_TAX_CALC_US_50 PAYROLL_TAX_CALC_US_60 PAYROLL_TAX_CALC_US_70

Sicherheit der Datenablage Verwendung Die Ergebnisse der Personalabrechnung sind komprimiert auf einer INDX-artigen Tabelle gespeichert. Der Zugriff ist im Standard durch die Lese- und Schreibberechtigungen für die Infotypen und die Berechtigungen für die benötigten Cluster geschützt.

Sicherheit weiterer Anwendungen Verwendung Die Landesversionen für die Personalabrechnung verwenden Reports, in denen sensible Daten ausgegeben werden. Hierbei handelt es sich zum Beispiel um folgende sensible Bereiche: •

Gehalt

•

Steuer

•

Sozialversicherung

•

Rentenbeiträge

•

Mahnbescheide


5.0

114

01.02.2005 Diese Daten werden in temporären, sequentiellen (TemSe) Dateien gespeichert, um gesetzliche Formulare, Statistiken und Analysen zu erstellen und auszugeben. Ebenso wird diese Technologie verwendet, um Daten zum Frontend- oder Anwendungsserver direkt herunterzuladen, ohne vorher die Daten als TemSe-Objekte zu speichern. Von dem Frontend- oder Anwendungsserver können die Daten dann auf einen Datenträger übertragen werden, der an die Behörden übermittelt werden kann. Den Zugriff auf TemSe-Objekte können Sie innerhalb des ECC-Systems mit dem Berechtigungsobjekt S_TMS_ACT (TemSe: Aktionen an/auf TemSe-Objekten) steuern. Eine Datenverschlüsselung ist hierbei nicht notwendig. Informationen zu den TemSe-Objekten Ihrer Landesversion finden Sie in der Dokumentation der Personalabrechnung für Ihre Landesversion.

Weitere sicherheitsrelevante Informationen Verwendung Für die Landesversion USA gibt es folgende weitere sicherheitsrelevante Informationen: •

Mit der Interface-Toolbox (Transaktion PU12) können Sie das Taxability-Modell aktualisieren. Zurzeit gibt es hierfür keine speziellen Berechtigungen.

•

Sie haben folgende Möglichkeiten, unberechtigte oder unbeabsichtigte Aktualisierungen der Datenbank PCL4 zu verhindern: ¡

Mit dem Merkmal UTXSS können Sie die Berechtigungsprüfungen für die Steuermeldung aktivieren bzw. deaktivieren.

¡

Mit dem Merkmal UTXSP können Sie Codes für Spool-Berechtigungen abhängig von der Tax-Company und der Steuerklasse festlegen.

Weitere Informationen hierzu finden Sie in der Dokumentation der Merkmale.


5.0

115

01.02.2005

SAP Learning Solution Technische Systemlandschaft Die SAP Learning Solution gestattet Ihnen vielseitige Installations- und Integrationsmöglichkeiten. Die verteilte Systemarchitektur gestattet eine skalierbare Lösung. Die Kenntnisse der Kommunikationskanäle und der Beziehung zwischen den einzelnen Komponenten ist dabei wichtig, um die optimale Sicherheitsstrategie zu wählen. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft der SAP Learning Solution.

RFC / JCo HTTP HTTPS RFC RFC / JCo

HTTP HTTPS WEBDAV

HTTP HTTPS

Trusted RFC

ECC

LSOFE

SAP Web AS 6.40 ABAP

HTTP

LSOCP

EP 6.0

SAP Web AS 6.40 JAVA

LSOOP

LSOAE

Java 2 SDK 1.4.2

Die Kommunikation zwischen den einzelnen Komponenten erfolgt über RFC und HTTP. Dieses ermöglicht, die Komponenten auf verschiedene Server zu verteilen, um einzelne Kommunikationskanäle und Server besonders zu sichern. Alternativ können Sie, wenn keine erhöhten Sicherheitsanforderungen bestehen, Komponenten auf nur einem Server zusammenfassen. Die Vorteile einer verteilten Systemlandschaft liegen in der höheren Sicherheit einzelner Komponenten. Die Vorteile eines einzelnen Servers liegen in geringeren Kosten und einer besseren Performance.

Persistenz Verwendung Die folgende Übersicht enthält eine Klassifikation der gespeicherten Daten der SAP Learning Solution und zeigt Ihnen, in welchen Tabellen die Daten gespeichert werden. Die SAP Learning Solution hält alle Daten zentral im ERP-System.


5.0

116

01.02.2005 Persistenz des Trainingskatalogs Tabelle

Anmerkung

•

Objekte und deren Eigenschaften: HRPnnnn

•

Verknüpfungen: HRP1001 bzw. Zusatzdaten in HRPADnnn

PD-Infotypen Framework. Trainings, Trainingstypen und Trainingsgruppen sind Objekttypen, deren Daten in Infotypen gespeichert werden. Beziehungen zwischen den Objekten werden durch Verknüpfungen realisiert, deren Verknüpfungsdaten in transparenten Tabellen gepeichert werden.

Verwendete Komponente

Wichtigste Berechtigungsobjekte

•

LSOFE (lesen/schreiben)

•

ERP-System (lesen/schreiben)

•

LSOCP (Lesen/schreiben)

•

P_ORGIN

•

P_APPL

•

PLOG

Persistenz der Durchführungsinformationen, des Lernfortschritts, der SCORM Daten Tabelle

Tabellen LSOLEARN* des Pakets LSO_LEARNERACCOUNT

Anmerkung

LSOLEARNING_C enthält Daten für Ergebnisrückmeldung des Content Players an das ERP-System. Alle anderen Daten werden nur vom Content Player benutzt.


•

LSOCP (lesen/schreiben)

•

ERP-System (lesen)

Persistenz der Testergebnisse Tabelle

Tabellen LSOTACLRN* des Pakets LSO_TAC_DD •

LSOCP (schreiben)

•

ERP-System (lesen)

•

Tabellen LSOTACAS* des Pakets LSO_TAC_DD für Tests

•

Tabellen LSOLU* des Pakets LSO_LEARNERACCOUNT


Persistenz der Publizierungsinformationen Tabelle


5.0

117

01.02.2005


•

LSOAE (lesen/schreiben)

•

LSOCP (lesen)

•


Persistenz der Digitalen Signaturen Tabelle

Tabelle LSOLEARNESIGN des Pakets LSO_LEARNERACCOUNT


•

LSOFE (lesen)

•


Lernportal (LSOFE) Das Lernportal (LSOFE) bildet den Einstiegspunkt für den Lerner in die SAP Learning Solution. Das Lernportal kann entweder direkt vom SAP Web AS aufgerufen werden, oder als iView in ein SAP Enterprise Portal integriert werden. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft für das Lernportal. Lernportal

Lerner 2

Lerner 1

Lerner 7

Browser

Externes LMS

HTTP HTTPS

HTTP HTTPS

Lerner 4 Lerner 3

SAP Enterprise Portal (optional)

HTTP HTTPS +SSO2

Trusted LSOFE

SOAP

mySAP ERP

RFC

Lerner 5

Lerner 6 RFC

Der Lerner benötigt einen Benutzer im SAP Web AS ohne spezielle Berechtigungen für die Anwendung, da das Frontend keine Persistenzschicht enthält. Alle Daten werden im ERPSystem gespeichert.


5.0

118

01.02.2005 Konfigurationseinstellungen Komponente

Anmerkung

Browser

SAP Enterprise Portal

SAP ERP 2004

•

JavaScript muss aktiv sein.

•

Der SAP Web AS benötigt für das Session Handling Cookies.

•

HTTP 1.1 wird dringend empfohlen.

•

Gegebenenfalls ist eine Benutzerverbindung zwischen dem Benutzer im SAP Enterprise Portal und dem SAP Web AS Benutzer erforderlich.

•

Die RFC-Verbindung zum ERP-System muss gepflegt sein.

•

Vertrauenswürdige Verbindung (trusted relationship) zwischen SAP Web AS und dem ERP-System erforderlich.

•

Wenn Sie die Komponente Zielvereinbarungen und Beurteilungen einsetzen möchten, ist zusätzlich ein HTTP/HTTPS-Kanal erforderlich.

Content Player (LSOCP) Der Content Player (LSOCP) wird vom Lerner Portal über eine URL zum Abspielen von WebBased-Trainings (WBT) aufgerufen. Der Content Player hat keine Persistenzschicht, er liest und schreibt alle Daten in das ERP-System. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft für den Content Player.


5.0

119

01.02.2005

Content Player

Content Player 1

Browser

Content Player 2

Content Player 4

Content Player 3

HTTP HTTPS

Content Management System

HTTP HTTPS

LSOCP

RFC

mySAP ERP

Konfigurationseinstellungen Komponente

Anmerkungen

Browser

•


•

Java VM muss aktiv sein.

•


•

Für das Session-Handling werden Cookies benötigt.

Offline Player (LSOOP) Der Offline Player dient dazu, Lerninhalte offline ohne Netzwerkzugang abzuspielen. Er liest die Lerninhalte und synchronisiert den Lernfortschritt über den Content Player. Lerninhalte und Lernfortschritt werden lokal im Dateisystem gespeichert, im Standard im Homedirectory des Lerners. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft für den Offline Player.


5.0

120

01.02.2005

Content Player

Offline Player 1

Offline Player 2

Offline Player 1

HTTP Browser

HTTP

LSOOP

LSOCP HTTPS

Konfigurationseinstellungen Komponente

Anmerkungen

Browser

LSOOP

•


•


•


•

Für das Session Handling werden Cookies benötigt.

•

Java 2 SDK 1.4.2 muss installiert sein.

Autorenumgebung (LSOAE) Die Autorenumgebung (LSOAE) muss lokal auf dem Rechner des Autors installiert werden. Die Autorenumgebung kann online oder offline arbeiten. Im Online-Modus wird eine Verbindung zum ERP-System und zum Content-Management-System benötigt. Im OfflineModus werden alle Daten lokal im Dateisystem in einem frei wählbaren Verzeichnis gespeichert. Zu den Daten gehören Trainingsinhalte und Konfigurationsdaten. Diese Daten lassen sich auf Betriebssystemebene schützen. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft für die Autorenumgebung.


5.0

121

01.02.2005

Autorenumgebung Autor 1

Browser

Autor 1

Autor 2

Autor 3

HTTP


WEBDAV

LSOAE

RFC

mySAP ERP

Autor 4 HTTP

TREX

Die Autorenumgebung enthält eine spezielle Version des Content Players, der lokale Trainingsinhalte abspielt, die zurzeit mit der Autorenumgebung bearbeitet werden. Wie auch der Offline Player kann dieser lokale Content Player nicht remote, sondern nur von dem Rechner aufgerufen werden, auf dem er installiert ist. Konfigurationseinstellungen Komponente

Anmerkungen

Browser

LSOAE300

•


•


•


•

Für das Session Handling werden Cookies benötigt.

•

Java 2 SDK 1.4.2 muss installiert sein.

Umgebung für den Trainingsadministrator Für die Rolle eines Trainingsadministrators stehen im ERP-System entsprechende SAP GUI Transaktionen zur Verfügung. Nachfolgende Grafik zeigt einen Überblick über die technische Systemlandschaft für das Backend.


5.0

122

01.02.2005 Umgebung für den Trainingsadministrator

User2

User1

SAP GUI

DIAG

User3

mySAP ERP

User4

RFC

SAP Enterprise Portal (optional)

Benutzerverwaltung Die Benutzerverwaltung der SAP Learning Solution verwendet die vom SAP Web Application Server (ABAP, Java oder ABAP und Java) angebotenen Mechanismen, z. B. Werkzeuge, Benutzertypen und Kennwortkonzept. Einen Überblick darüber, wie diese Mechanismen die SAP Learning Solution betreffen, erhalten Sie in den nachfolgenden Abschnitten. Außerdem erhalten Sie eine Liste der Standardbenutzer, die zum Betrieb der SAP Learning Solution erforderlich sind.

Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung des Personalmanagement. Werkzeuge der Benutzerverwaltung Werkzeug

Genaue Beschreibung


Die Transaktion PFCG zur Rollenpflege können Sie verwenden, um für Ihre Anwender des Personalmanagement Profile zu generieren.


Voraussetzungen

5.0

123

01.02.2005

Benutzertypen Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für die SAP Learning Solution erforderliche Benutzertypen sind z: B.: •

•


Lerner

¡

Autor

¡

Trainingsadministrator

Technische Benutzer ¡

RFC-Benutzer: Diesen Benutzer benötigen Sie, um zwischen den Playern zu kommunizieren

¡

Kommunikationsbenutzer:

§

Content Player

§

Collaboration

Die folgende Tabelle zeigt Ihnen Details zu der Verwaltung der verschiedenen Benutzertypen in den verschiedenen Werkzeugen der SAP Learning Solution. Benutzertypen im Lernportal Benutzertyp

Beschreibung

Rolle / Berechtigung

Bezeichnung in Grafik zur Technologielandschaft [Seite 118]

Vom verwendeten Betriebssystem abhängig

Lerner im lokalen Betriebssystem

Berechtigung für Browser

Lerner 1

Portal-Benutzer

Lerner im SAP Enterprise Portal

Keine spezielle Berechtigung für die SAP Learning Solution

Lerner 2

Dialogbenutzer

Lerner im SAP Web AS


Lerner 3

Kommunikationsbenutzer

Lerner im ERP-System

SAP_HR_LSO_LEARNER

Lerner 4

Service-Benutzer

Kollaboration im ERPSystem


Lerner 5

Portal-Benutzer

Kollaboration im SAP Enterprise Portal


Lerner 6

Anonymus

Externes LMS

Abhängig vom verwendeten LMS

Lerner 7


5.0

124

01.02.2005 Benutzertypen im Content Player Benutzertyp

Beschreibung






Content Player 1

Anonymus

Content Player in der SAP J2EE

Kommunikationsbenutzer

Content Player im ERP-System

SAP_HR_LSO_ COURSEPLAYER

Content Player 3

Vom verwendeten CMS abhängig

Content Player im Content Management System (CMS)

Lesezugriffe über HTTP/HTTPS

Content Player 4

Content Player 2

Benutzertypen im Offline Player Benutzertyp

Beschreibung






Offline Player 1

Anonymus

Content Player in der SAP J2EE

Offline Player 2

Benutzertypen in der Autorenumgebung Benutzertyp

Beschreibung




Vom verwendeten CMS abhängig

Autor im CMS

Berechtigung zum Sperren, Entsperren, Lesen, Anlegen, Löschen und Schreiben von Daten über WEB-DAV

Autor 2

Kommunikations -benutzer

Autor im ERPSystem

SAP_HR_LSO_ AUTHOR

Autor 3

Anonymus

Autor

•


•

Berechtigung für Java 2 SDK 1.4.2


Bezeichnung in Grafik zur Technologielandschaft [Seite 121] Autor 1

Autor 4

5.0

125

01.02.2005 Benutzertypen für die Umgebung des Trainingskoordinators Benutzertyp

Beschreibung





Berechtigung für SAP GUI

User1

Dialogbenutzer

Administrator im ERPSystem

•

SAP_HR_LSO_DEVELOPMANAGER

•

SAP_HR_LSO_HR-MANAGER

•

SAP_HR_LSO_MANAGER

•

SAP_HR_LSO_SPECIALIST

•

SAP_HR_LSO_TRAININGADMIN

•

SAP_HR_LSO_TRAININGMANAGER

User2

ServiceBenutzer

Kollaboration im ERPSystem


User5

PortalBenutzer

Kollaboration im SAP Enterprise Portal


User6

Berechtigungen Die SAP Learning Solution verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP Web AS Java beschrieben sind, auch für die SAP Learning Solution. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG) und auf dem SAP Web AS Java die Benutzerverwaltungskonsole der User Management Engine.

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die die SAP Learning Solution verwendet. Standardberechtigungsobjekte Berechtigungsobjekt

Feld

Wert

Beschreibung

P_ORGIN

HRPnnn

PD Infotypframework Training, Trainingstypen, und Trainingsgruppen

Wird verwendet, um die Berechtigungen für einen User auf Ebene der HRStammdaten festzulegen und zu prüfen


5.0

126

01.02.2005

P_APPL

Wird verwendet, um die Berechtigungen für das Lesen und Schreiben von Infotypen des Bewerbermanagements zu steuern.

PLOG

Wird auf Ebene der Personalplanungsdaten verwendet, um die Typen von Informationen festzulegen, die ein Benutzer erhalten darf.

Sicherheit der Kommunikationskanäle Nachfolgende Tabelle zeigt die Kommunikationspfade, die die SAP Learning Solution verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Rufen Sie zur Verdeutlichung der folgenden Tabellen auch die Grafiken auf, in denen Sie eine Übersicht über die Technologie-Landschaft erhalten.

Lernportal Kommunikationspfade für das Lernportal: Eingangsverbindungen Siehe auch: Lernportal (LSOFE) [Seite 118] Kommunikationspfad


Authentifizierung

Anmerkung

Browser

HTTP, HTTPS

Alle vom SAP Web AS unterstützten Authentifizierungen, typischerweise FormBased-Logon oder Standardauthentifizierung.

Bei der Standardauthentifizierung wird das Passwort im Klartext übertragen. Daher sollten Sie die Transporte mit SSL schützen.

Der Anonymus ist unterstützt. Sie sollten ihn aber nicht verwenden, da im Backend keine eindeutige Lernerzuordnung möglich ist. SAP Enterprise Portal, iView-Server

HTTP, HTTPS

Alle vom SAP Web AS unterstützten Authentifizierungen. Üblicherweise können Sie hier das Single-Sign-OnTicket (SSO) verwenden. da die Anmeldung bereits am Enterprise Portal erfolgt.


Für das SSO müssen Sie das Zertifikat des Enterprise Portals in den SAP Web AS importieren.

5.0

127

01.02.2005 Kommunikationspfade für das Lernportal: Ausgangsverbindungen Kommunikationspfad


Authentifizierung

ERP-System

RFC

Vertrauenswürdiges RFC

SAP Enterprise Portal / Collaboration

RFC

Ticket

Anmerkung

User5 für Authentifizierung User4 für RFCBerechtigung

Externes LearningManagement-System

SOAP über http, HTTPS

Anonymus

Content Player Kommunikationspfade für den Content Player: Eingangsverbindungen Siehe auch: Content Player (LSOCP) [Seite 119] Kommunikationspfad


Authentifizierung

Anmerkung

Browser

HTTP, HTTPS

Alle vom SAP Web AS/J2EE unterstützten Authentifizierungen. Im Standard wird der Anonymus verwendet. Eine stärkere Authentifizierung ist im Standard nicht erforderlich, da der Aufruf durch ein Ticket geschützt ist.

Der Aufruf des Content Players wird durch ein Ticket geschützt. Das Ticket stellt sicher, dass der Content über die URL nur ein einziges Mal aufgerufen werden kann. Zu jedem Zeitpunkt gibt es maximal ein gültiges Ticket.

Kommunikationspfade für den Content Player: Ausgangsverbindungen Kommunikationspfad


Authentifizierung

Anmerkung


HTTP, HTTPS

Anonymus, Basic

Den Benutzer für die Authentifizierung hinterlegen Sie bei der Einrichtung des Content Players. Wenn Sie HTTPS verwenden, müssen Sie den HTTPSSupport der J2EE Engine einrichten. Die X509Zertifikatverwaltung ist über die J2EE Engine realisiert.


5.0

128

01.02.2005

ERP-System

RFC (JCo)

Benutzer/Passwort

Den Benutzer für die Authentifizierung hinterlegen Sie bei der Einrichtung des Content Players. Für den Content Player müssen Sie im ERP-System einen ServiceBenutzer anlegen.

Offline Player Kommunikationspfade für den Offline Player: Eingangsverbindungen Siehe auch: Offline Player (LSOOP) [Seite 120] Kommunikationspfad


Authentifizierung

Anmerkung

Browser

HTTP

Anonymus

Der Aufruf des Offline Players ist nur vom lokalen PC aus möglich.

Kommunikationspfade für den Offline Player: Ausgangsverbindungen Kommunikationspfad


Authentifizierung

LSOCP

HTTP, HTTPS

Alle Authentifizierungen des SAP Web AS/J2EE

Anmerkung

Autorenumgebung Kommunikationspfade für die Autorenumgebung: Eingangsverbindungen Siehe auch: Autorenumgebung (LSOAE) [Seite 121] Kommunikationspfad


Authentifizierung

Anmerkung

Browser

HTTP

Anonymus

Der Aufruf des Offline Players ist nur vom lokalen PC aus möglich.


5.0

129

01.02.2005

Kommunikationspfade für die Autorenumgebung: Ausgangsverbindungen Kommunikationspfad


Authentifizierung

Anmerkung


WebDAV, über HTTP, HTTPS

Basic, Anonymus

WebDav ist eine Erweiterung des HTTP-Protokolls. Die Autorenumgebung enthält keinen eigenen Truststore für X509-Zertifikate. Es wird der Security Provider und der Truststore der Java 2 SDK-Installation verwendet. Gegebenenfalls müssen X509Zertifikate vom Content Management System in diesen importiert werden, falls eine verschlüsselte Kommunikation über SSL verwendet werden soll.

ERP-System

RFC (Jco)

Benutzer/Passwort

Credentials müssen beim Wechsel in den Online-Modus in einem Dialogfenster eingegeben werden.

Umgebung für den Trainingsadministrator im Backend Kommunikationspfade für das Backend: Eingangsverbindungen Siehe auch: Umgebung für den Trainingsadministrator [Seite 122] Kommunikationspfad


Authentifizierung

SAP GUI

DIAG

Standard SAP GUI

Anmerkung

Kommunikationspfade für das Backend: Ausgangsverbindungen Kommunikationspfad


Authentifizierung

Anmerkung

SAP Enterprise Portal 6

RFC

Mit einem SSO 2 Ticket. Den Benutzer und das Passwort für die Generierung des Tickets hinterlegen Sie im Customizing.

Dieses ist nur notwendig, wenn Sie die Integration mit der Collaboration for SAP NetWeaver aktiv nutzen.


5.0

130

01.02.2005


Weitere sicherheitsrelevante Informationen Profilparameter Um die Kommunikation zwischen den Systemen sicherzustellen, müssen Sie die folgenden Profilparameter mit der Transaktion Pflege der Profilparameter (RZ11) gesetzt haben: mySAP ERP •

Für die Kommunikation mit Single Sign-On-Tickets (SSO) über RFC-Verbindungen müssen Sie im ERP-System den Parameter login/accept_sso2_ticket (Accept SSO ticket logon for this (component) system) gesetzt haben.

•

Für die Kommunikation mit Cookies über Verbindungen über HTTP-Protokolle müssen Sie im ERP-System den Parameter login/create_sso2_ticket gesetzt haben.

SAP Web AS ABAP •

Für eine Authentifizierung mit SSO2 müssen Sie im ERP-System den Parameter login/accept_sso2_ticket (Accept SSO ticket logon for this (component) system) gesetzt haben.

•

Falls Sie die Komponente Zielvereinbarungen und Beurteilungen einsetzen möchten, müssen Sie zusätzlich den Parameter login/create_sso2_ticket gesetzt haben.

Weitere Informationen finden Sie in der Dokumentation der Parameter in der Transaktion RZ11.


5.0

131

01.02.2005

SAP E-Recruiting Bevor Sie anfangen Wichtige SAP-Hinweise Nachfolgende Tabelle führt die für die Sicherheit des E-Recruiting wichtigsten SAP-Hinweise auf. Wichtige SAP-Hinweise SAP-Hinweis-Nr.

Titel

Kommentar

711701

Sammelhinweis: Sicherheit/Security im E-Recruiting

Weitere relevante SAP-Hinweise finden Sie im Sicherheitsleitfaden für das Personalmanagement unter Bevor Sie anfangen [Seite 98].

Technische Systemlandschaft Nachfolgende Grafiken zeigen einen Überblick über die technische Systemlandschaft des SAP E-Recruiting. Funktionale Architektur

Interne Karriereseite

Externe Karriereseite

Backend ERP SAP Nicht SAP

Jobbörse

E-Recruiting Recruitment Service Providers

Nicht ERP-System Back office

Firewall


Andere Werkzeuge

5.0

132

01.02.2005 Die „E-Recruiting-Box“

System zur Textsuche TREX

SAP E-Recruiting

Index

SAP Web AS

KPRO

Geschäftspartner DB

Verwendete Techniken: • Präsentationsschicht: Business Server Pages (BSP), HTML, HTMLB, JavaScript • Business Logic: ABAP/OO

Basisarchitektur

Internet

Externe Benutzer (Web Browser)

DMZ

Intranet

Systemadministrator (SAP GUI)

Interne Benutzer (Browser SSO optional)

HTTP(S)

Application Gateway / Proxy Gateway

HTTP(S)

ERecruiting

SMTP (Mail)

TRex RFC RFC (ALE)

mySAP ERP

DB

SMTP (Mail)

Firewall


5.0

133

01.02.2005 Skalierung: Am Beispiel von drei Anwendungsservern

Internet

DMZ

Extranet

Firewall

Application Gateway / Load Balancer

Intranet

Firewall

e_Recr uiting e_Recr uiting

HTTP(S)

e_Recruitin g WAS 6.20

mySAP ERP TRex

Router

HTTPS

HTTP(S)

RFC, SQL etc.

RFC (ALE) RFC

Benutzerverwaltung Die Benutzerverwaltung des SAP E-Recruiting verwendet die vom SAP Web Application Server (ABAP, Java oder ABAP und Java) angebotenen Mechanismen, z. B. Werkzeuge, Benutzertypen und Kennwortkonzept. Einen Überblick darüber, wie diese Mechanismen das SAP E-Recruiting betreffen, erhalten Sie in den nachfolgenden Abschnitten. Außerdem erhalten Sie eine Liste der Standardbenutzer, die zum Betrieb des SAP E-Recruiting erforderlich sind.

Benutzerverwaltungswerkzeuge Nachfolgende Tabelle zeigt die Werkzeuge der Benutzerverwaltung des SAP E-Recruiting. Werkzeuge der Benutzerverwaltung Werkzeug

Genaue Beschreibung


Die Transaktion PFCG zur Rollenpflege können Sie verwenden, um für Ihre Anwender des SAP ERecruiting Profile zu generieren.

Technische Einstellungen der Benutzerverwaltung im SAP E-Recruiting.

Weitere Informationen zu den Benutzerprofilen und den Rollen finden Sie im Einführungsleitfaden des SAP E-Recruiting unter Technische Einstellungen → Benutzerverwaltung.


Voraussetzungen

5.0

134

01.02.2005

Workflow-Einstellungen

Weitere Informationen finden Sie im Einführungsleitfaden des SAP ERecruiting unter Technische Einstellungen → Workflow → Workflow im E-Recruiting.

Sie setzen den SAPWorkflow ein.

Benutzertypen Oft ist es erforderlich, für verschiedene Arten von Benutzern unterschiedliche Sicherheitskonzepte zu erstellen. Ihr Konzept fordert z. B., dass einzelne, interaktiv arbeitende Benutzer ihre Kennwörter regelmäßig ändern müssen, nicht jedoch Benutzer, unter denen Hintergrundverarbeitungsprozesse ausgeführt werden. Für das SAP E-Recruiting erforderliche Benutzertypen sind:

Weitere Informationen finden Sie im Einführungsleitfaden des SAP E-Recruiting unter Technische Einstellungen → Benutzerverwaltung → Spezielle Benutzer anlegen. •

Referenzbenutzer Wenn Sie die Berechtigungspflege vereinfachen möchten, können Sie Referenzbenutzer anlegen. Hierzu ordnen Sie jedem Referenzbenutzer verschiedene Rollen zu. Wenn Sie anschließend einem Benutzer einen Referenzbenutzer zuweisen, erbt der Benutzer alle Rollenattribute und Berechtigungsprofile des Referenzbenutzers.

...

•

Kommunikationsbenutzer Damit auf Dokumente des Dokumentenbereichs zugegriffen werden kann, legen Sie einen Benutzer an, der dem Service contentserver zugeordnet wird (IMG-Aktivität Zugriff auf Dokumente einrichten). Dieser Benutzer ist ein rein technischer Benutzer, der nur für die Kommunikation mit dem Web Application Server benötigt wird.

•

Service-Benutzer Einige Szenarien sind nur für registrierte Benutzer, andere sind auch für nicht registrierte Benutzer zugänglich (Registrierung, Stellenausschreibungen, direkte Bewerbung). Damit ein nicht registrierter Benutzer diese Services nutzen kann, müssen Sie diesen Services einen Servicebenutzer zuordnen.

•

Benutzer WF-BATCH Wenn Sie die Workflow-Funktionen nutzen möchten, müssen Sie im Standardsystem einen Systembenutzer WF-BATCH anlegen. Im SAP E-Recruiting müssen Sie einem Kandidaten zusätzlich zu den anderen Benutzern auch diesen Benutzer zuordnen. Hierzu können Sie den Report RCF_CREATE_USER verwenden.

•

Standard-Benutzer Im Einführungsleitfaden des SAP E-Recruiting finden Sie unter Technische Einstellungen → Benutzerverwaltung Informationen über die folgenden Themen:

•

¡

Benutzerprofile

¡

Rollen (Transaktion PFCG)

¡

Spezielle Benutzer

SAP-Workflow: Benutzer WF-BATCH Weitere Informationen hierzu finden Sie Einführungsleitfaden des SAP E-Recruiting unter Technische Einstellungen → Workflow → Workflow im E-Recruiting


5.0

135

01.02.2005

Berechtigungen Das SAP E-Recruiting verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP Web AS Java beschrieben sind, auch für das SAP E-Recruiting. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG) und auf dem SAP Web AS Java die Benutzerverwaltungskonsole der User Management Engine.

Standardrollen Nachfolgende Tabelle zeigt die Standardrollen, die das SAP E-Recruiting verwendet. Standardrollen Rolle

Beschreibung

SAP_RCF_BUSINESS_ADMINISTRATOR

Administrator Administrator für das E-Recruiting

SAP_RCF_CONTENT_SERVER

Zugriff für Suchmaschine Zugriff auf die Suchmaschine TREX

SAP_RCF_DATA_TYPIST

Datentypist

SAP_RCF_DECISION_MAKER

Entscheidungsträger Die Rolle beinhaltet die Berechtigung für eine minimale Dateneingabe für eingehende Bewerbungen auf Papier.

SAP_RCF_EXTERNAL_CANDIDATE

Externer Kandidat Diese Rolle darf nur ihre eigenen Daten anzeigen. Sie bekommt nur die Stellenausschreibungen zu sehen, die Sie mit dem Formular für die externen Ausschreibungen über die externen Ausschreibungskanäle veröffentlicht haben.

SAP_RCF_INTERNAL_CANDIDATE

Interner Kandidat Diese Rolle darf nur ihre eigenen Daten anzeigen. Sie bekommt nur die Stellenausschreibungen zu sehen, die Sie mit dem Formular für die internen Ausschreibungen über die internen Ausschreibungskanäle veröffentlicht haben. Sie hat keinen Zugriff auf die folgenden Daten:


•

Daten zu Suchaufträgen

•

Daten zur Ausschreibung

•

Daten zur Anwendung

•

Daten zum Auswahlprozess

5.0

136

01.02.2005

SAP_RCF_MANAGER

Führungskraft Diese Rolle hat Zugriff auf die folgenden Daten: •

Daten zum Kandidaten: Es werden alle Kandidaten angezeigt, die zur Menge der qualifizierten Mitarbeiter gehören.

•

Veröffentlichung: Sie bekommt die Stellenausschreibungen zu sehen, die Sie mit dem Formular für die internen und externen Ausschreibungen über die entsprechenden Ausschreibungskanäle veröffentlicht haben.

•

Daten zu Suchaufträgen und zum Auswahlprozess: Sie bekommt nur die Daten zu sehen, für die sie auch zuständig ist.

SAP_RCF_MANAGER_ASSISTANT

Assistent der Führungskraft

SAP_RCF_RECRUITER

Personalbeschaffer Diese Rolle beinhaltet auch die Berechtigung für eine minimale Dateneingabe. Sie hat Zugriff auf die folgenden Daten:

SAP_RCF_REQUISITION_REQUESTER

•

Daten zum Kandidaten: Es werden alle Kandidaten angezeigt, die zur Menge der qualifizierten Mitarbeiter gehören.

•

alle Stellenausschreibungen

•

alle Daten zu Suchaufträgen

•

alle Anwendungsdaten

•

alle Daten zu den Auswahlprozessen

Beantragender Beantrager eines Suchauftrages

SAP_RCF_RESTRICTED_RECRUITER

Eingeschränkter Personalbeschaffer Personalbeschaffer, der keine Berechtigung zur Freigabe von Suchaufträgen hat. Hierfür ist ein Genehmigungsprozess notwendig.

SAP_RCF_TALENT_CONSULTANT

Talentberater Diese Rolle wird nur für das Karriere-Portal verwendet und nicht mehr im E-RecruitingStandard.

SAP_RCF_UNREGISTERED_CANDIDATE

Nicht registrierter Kandidat (ServiceBenutzer)


5.0

137

01.02.2005

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die das SAP ERecruiting verwendet. Standardberechtigungsobjekte Berechtigungsobjekt

Feld

P_RCF_APPL

PCF_APPL

Wert

Beschreibung Berechtigungsprüfung beim Aufruf von ERecruitingAnwendungen. Siehe alle Einträge in der Tabelle T77RCF_LOG_APPL

Das SAP E-Recruiting ist in mehrere Anwendungen aufgeteilt. Für jede Anwendung können Sie Berechtigungen vergeben und sie den entsprechenden Rollen zuweisen. Diese Anwendungen werden im Berechtigungsobjekt P_RCF_APPL geprüft. Eine Liste der Anwendungen mit ihren Werten und Beschreibungen finden Sie in der Tabelle T77RCF_LOG_APPL.

Sicherheit der Kommunikationskanäle Verwendung Nachfolgende Tabelle zeigt die Kommunikationspfade, die das SAP E-Recruiting verwendet, das für die Verbindung verwendete Protokoll und die Art der übertragenen Daten. Kommunikationspfade Kommunikationspfad




Frontend-Mandant, der den SAP GUI for Windows zum Anwendungsserver verwendet

DIAG

Alle CustomizingDaten

Passwörter

Frontend-Mandant, der einen WebBrowser zum Anwendungsserver verwendet

HTTP, HTTPS

Alle Anwendungsdaten

Passwörter



5.0

138

01.02.2005

Kommunikationsdestinationen Nachfolgende Tabelle zeigt einen Überblick über die Kommunikationsdestinationen, die das SAP E-Recruiting einsetzt. Kommunikationsdestinationen Destination

Ausgeliefert

Typ

Benutzer, Berechtigungen

Beschreibung

SAP ERecruiting nach SAP Personalwirtschaft

Nein

RFC

Siehe Einführungsleitfaden (IMG)

IMG: SAP ERecruiting → Applicant Tracking → Aktivitäten → Datenüberleitung für neue Mitarbeiter einrichten

Von SAP Personalwirtschaft nach SAP ERecruiting

Nein

RFC

Siehe IMG

SAP E-Recruiting → Technische Einstellungen → SAP ERP Central Component (ECC) Integration → Software läuft auf unterschiedlichen Instanzen → Datentransfer aus SAP ECC einrichten

Von SAP ERecruiting nach TREX

Nein

RFC

Siehe IMG

SAP E-Recruiting → Technische Einstellungen → Benutzerverwaltung → Spezielle Benutzer anlegen

SAP E-Recruiting → Technische Einstellungen → Suchmaschine → Suchmaschine für das E-Recruiting einrichten


5.0

139

01.02.2005

Sicherheit der Datenablage Die Daten des SAP E-Recruiting sind folgendermaßen gespeichert: •

Wenn Sie das SAP E-Recruiting integriert mit anderen SAP-Anwendungen nutzen, werden die Daten in den Datenbanken des SAP Web AS oder des SAP ECC gespeichert.

•

Wenn Sie das SAP E-Recruiting als Stand-Alone-Anwendung nutzen, werden die Daten direkt in den Datenbanken des SAP E-Recruiting gespeichert. Sie benötigen über diesen Standard hinaus keine weiteren Datenbanken.

Die Anwendung verwendet einen Web-Browser. Die BSP-Umgebung (Business Server Pages) muss Cookies akzeptieren.


5.0

140

01.02.2005

Verteidigungskräfte & Öffentliche Sicherheit

Berechtigungen Die Verteidigungskräfte & Öffentliche Sicherheit verwendet die vom SAP Web Application Server angebotene Berechtigung. Daher gelten die Sicherheitsempfehlungen und –richtlinien für Berechtigungen, wie sie im Sicherheitsleitfaden des SAP Web AS ABAP und im Sicherheitsleitfaden für den SAP Web AS Java beschrieben sind, auch für die Verteidigungskräfte & Öffentliche Sicherheit. Das Berechtigungskonzept des SAP Web Application Server basiert auf der Zuweisung von Berechtigungen zu Benutzern auf der Grundlage von Rollen. Verwenden Sie für die Rollenpflege auf dem SAP Web AS ABAP den Profilgenerator (Transaktion PFCG) und auf dem SAP Web AS Java die Benutzerverwaltungskonsole der User Management Engine.

Standardrollen Rollen und Berechtigungsprofile sind für Verteidigungskräfte & Öffentliche Sicherheit nicht definiert.

Standardberechtigungsobjekte Nachfolgende Tabelle zeigt die sicherheitsrelevanten Berechtigungsobjekte, die die Verteidigungskräfte & Öffentliche Sicherheit verwendet. Standardberechtigungsobjekte Berechtigungsobjekt

Klasse

C_DRAW_TCD

CV

Berechtigung Aktivitäten zu Dokumenten

C_KLAH_BKP

CLAS

Berechtigung Klassenpflege

C_TCLA_BKA

CLAS

Berechtigung Klassenarten

EXTBAT_CRE

LO

Anlegen externer Chargenaufbau zu Bestellungen

EXTBAT_MNT

LO

Ändern von externen Chargenstrukturen

I_ROUT

PM

PM: Arbeitsplan

I_TCODE

PM

PM: Transaktionscode

M_MATE_STA

MM_G

Materialstamm: Pflegestatus

M_MATE_WRK

MM_G

Materialstamm: Werk

PLOG

HR

Personalplanung

C_PVS_PNID

PPE

iPPE-Knoten: externer Schlüssel

Wert


Beschreibung

5.0

141

01.02.2005

C_PVS_PNTY

PPE

iPPE-Knoten: Typ

C_PVS_PVID

PPE

iPPE-Variante: externer Schlüssel

S_SCD0

BC_Z

Änderungsbelege

S_TCODE

AAAB

TransaktionscodePrüfung bei Transaktionsstart


5.0

142

01.02.2005

Anhang Weitere Informationen zum Thema Sicherheit von SAP-Applikationen finden Sie im SAP Service Marketplace unter der Internetadresse service.sap.com/security. Weitere Sicherheitsleitfäden finden Sie ebenfalls auf dem SAP Service Marketplace unter dem Quick Link securityguide. Weitere Informationen zu sicherheitsrelevanten Themen finden Sie ferner auf dem SAP Service Marketplace unter den in der folgenden Tabelle aufgeführten Quick Links: Thema

Quicklink

Master Guides, Installations-, Upgrade- und Solution Management Leitfäden

instguides

Verwandte Hinweise

notes

Plattformen

platforms

Netzwerksicherheit

Network

ibc

securityguide Technische Infrastruktur

ti

SAP Solution Manager

solutionmanager


5.0

143

Sicherheitsleitfaden SAP ERP Central Component - Marie Wagener

Sicherheitsleitfaden SAP ERP Central Component - Marie Wagener

Suggest Documents

FI Financial Accounting SAP ERP Central Component

PY Payroll SAP ERP Central Component

IS-U SAP Utilities SAP ERP Central Component

ERP Central Component

Deploying F5 with SAP ERP Central Component - F5 Networks

SAP NetWeaver: ERP Central Component - F5 Networks, Inc.

ERP Central Component - F5 Networks, Inc.

ERP Central Component - F5 Networks, Inc.

Discover SAP ERP HCM

TERP02 - SAP ERP - INTRODUCTION TO SAP NETWEAVER.pdf ...

SAP ERP Overview

SEPA in SAP ERP Financials

SAP ERP Financials - eSell GmbH

ERP Central - Oracle

Maximize Your Warehouse Operations with SAP ERP - SAP Press

PDF Demand Management with SAP: SAP ERP and ... - Google Sites

PDF/ePUB Demand Management with SAP: SAP ERP ... - Google Sites

SAP-ERP-Financials-And-FICO-Handbook-SAP-Books.pdf - Google ...

SAP ERP Versus SAP APO: Which Production Planning ...

Ebook Warehouse Management with SAP ERP (SAP ... - Google Sites

[PDF] Warehouse Management with SAP ERP (SAP WM) - Google Sites

Ebook Warehouse Management with SAP ERP (SAP ... - Google Sites

SAP ERP Versus SAP APO: Which Production Planning ...

Ebook Warehouse Management with SAP ERP (SAP ... - Google Sites