Andreas Unkelbach
Logo Andreas Unkelbach Blog

Andreas Unkelbach Blog

ISSN 2701-6242

Artikel über Controlling und Berichtswesen mit SAP, insbesondere im Bereich des Hochschulcontrolling, aber auch zu anderen oft it-nahen Themen.


Werbung
Wissenschaft und VG Wort


Dienstag, 13. Oktober 2015
22:17 Uhr

SAP Basis Basic oder dank SU53 oder ST01 Trace oder STAUTHTRACE fehlende Berechtigungen finden

Seit meiner Diplomarbeit habe ich mich nicht mehr ganz so intensiv mit Fragen im Bereich des Berechtigungswesen von SAP auseinander gesetzt. Dennoch kommen in der täglichen Praxis immer einmal wieder Fragen zum damaligen Berechtigungskonzept oder bei der Umsetzung von Berechtigungen im Umfeld zum Berichtswesen als Thema auf. So ist mir letztens im Rahmen einer Schulung aufgefallen, dass eine andere Einrichtung tatsächlich Berechtigungen auf Innenauftragsgruppen vergibt. Die Umsetzung dazu fand ich damals schon im Forumsbeitrag auf fico-forum.de sehr spannend. Die Diskussion von damals ist unter "Berechtigungen auf Innenauftragsgruppen" sehr gut dokumentiert (allerdings hatte die Umsetzung aber irgendwie nicht mehr komplett in Erinnerung).

Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.

Berechtigungtrace

Notfalls bestand auch immer noch die Möglichkeit, wie im Artikel "Anleitung Berechtigungstrace über ST01" beschrieben einen Berechtigungtrace auszuführen. Hier ist auch ein Verweis auf eine gute Beschreibung des Berechtigungtrace im Exxsense Developer Blog auf den  Artikel  "Berechtigungs-Trace" zu finden in dem dieser mit Screenshots sehr ausführlich beschrieben wird. Die neuen  Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace sind dabei in einen Artikel auf rz10.de ebenfalls ausführlich beschrieben.

Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE  zu finden.

STAUTHTRACE

Eine aktuelle Alternative zur Berechtigungsanalyse ist die Transaktion SAUTHTRACE, die ihren Schwerpunkt auf Berechtigungsprüfung legt und damit eine interessante Alternative zum Berechtigungstrace über die Transaktion ST01 bietet.

Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.

Im Exxsense Developer Blog wird im Artikel  "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.
 

SU53 für andere Benutzer auswerten

Eine bis zum Telefonat für mich unbekannte Funktion der SU53 ist es jedoch, dass beim Aufrufen der Transaktion über das Menü BERECHTIGUNGSWERTE->ANDERER BENUTZER oder über die Symbolleiste mit der Schaltfläche "Benutzer (F5)" (oder eben F5) die Berechtigungsprüfung für einen anderen User angezeigt werden.Hierbei liefert die Transaktion SU53 alle geprüften Berechtigungobjekte (mit Worten) für einen Vorgang innerhalb SAP und mit der neuen Version auch inklusive der Uhrzeiten der jeweiligen Berchtigungprüfungen.

 Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.

Benutzerabgleich für Rollen und Profile mit PFUD

Ein häufiger Fehler bei nicht vorhandenen Berechtigungen kann neben tatsächlich fehlenden Berechtigungwerten in den einzelnen Rollen auch ein fehlender Benutzerabgleich gewesen sein.

So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.

Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der  Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf  gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.

Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.

Maximale Anzahl zugeordneter Profile je Benutzer

Ein am Rande erwähnter spannender Aspekt an Sammelrollen. Laut OSS Hinweis 841612  ist die maximale Anzahl an zugeordneten Rollen je Benutzer auf 300 lesend beschränkt. Wobei in der täglichen Praxis dieses eher ein exotisches Berechtigungproblem darstellen dürfte. Schon daher kann es sinnvoll sein viele organisatorische Berechtigungen tatsächlich zu einer Rolle zusammenzufassen. Gerade bei Wissenschaftlern die nicht nur im Fachbereich einzelne Projekte bearbeiten sondern auch in unterschiedlichen Instituten oder zentralen Einrichtungen tätig sind, kann es daher sinnvoll sein, die oftmals als kritisch betrachteten auf die einzelne Person zugeschnittene Berechtigungsrolle zu erstellen.

Berechtigungkonzept und weitere Themen rund um Berechtigungen


Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.

Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.

Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.

Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.
 

Berechtigungsmassenpflege

An dieser Stelle auch der Hinweis auf die Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL" und "Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)".
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
SAP Weiterbildung
ein Angebot von Espresso Tutorials
SAP Weiterbildung - so wirksam wie eine gute Tasse Espresso

unkelbach.link/et.books/

unkelbach.link/et.reportpainter/

unkelbach.link/et.migrationscockpit/



Tags: BC Berechtigung

4 Kommentare - - SAP

Artikel datenschutzfreundlich teilen

🌎 Facebook 🌎 Twitter 🌎 LinkedIn


Diesen Artikel zitieren:
Unkelbach, Andreas: »SAP Basis Basic oder dank SU53 oder ST01 Trace oder STAUTHTRACE fehlende Berechtigungen finden « in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 13.10.2015, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=648 (Abgerufen am 29.3.2024)

Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Kommentare

Tobias Harmes Homepage am 14.10.2015 um 05:22 Uhr
Danke für die knackige Zusammenfassung! Ich würde (wo verfügbar) die STAUTHTRACE der ST01 immer vorziehen - die macht da deutlich mehr Spaß. :)

Viele Grüße,
Tobias Harmes


Andreas Unkelbach Homepage am 14.10.2015 um 21:47 Uhr
Guten Abend,

vielen Dank für das Lob bzgl. der knackigen Zusammenfassung. Auch wenn ich doch etwas seltener nun im Bereich Berechtigungswesen unterwegs bin erscheint mir die erwähnte STAUTHTRACE ebenfalls als eine gelungene Umsetzung gerade durch den Schwerpunkt auf die reine Berechtigungsanalyse.

Auch wenn mir die ST01 damals einige Male weiter geholfen hat, kann ich den Spaß an der neuen Transaktion nachvollziehen und hatte daher den Artikel auf RZ10.de ebenfalls an unsere SAP Basis weiter gegeben :-).

Viele Grüße
Andreas Unkelbach


Anonym am 16.4.2019 um 15:14 Uhr
Sehr hilfreich!


Anonym am 6.2.2024 um 15:55 Uhr
Danke!


Auch kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert; die angegebene E-Mail wird nicht veröffentlicht: beim Versenden als "Normaler Kommentar" ist die Angabe eines Namen erforderlich, gerne kann hier auch ein Pseudonyme oder anonyme Angaben gemacht werden (siehe auch Kommentare und Beiträge in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)





Ich nutze zum Schutz vor Spam-Kommentaren (reine Werbeeinträge) eine Wortliste, so dass diese Kommentare nicht veröffentlicht werden. Sollte ihr Kommentar nicht direkt veröffentlicht werden, kann dieses an einen entsprechenden Filter liegen.

Im Zweifel besteht auch immer die Möglichkeit eine Mail zu schreiben oder die sozialen Medien zu nutzen. Meine Kontaktdaten finden Sie auf »Über mich« oder unter »Kontakt«. Ansonsten antworte ich tatsächlich sehr gerne auf Kommentare und freue mich auf einen spannenden Austausch.












* Amazon Partnerlink/Affiliatelinks/Werbelinks
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Weitere Partnerschaften sind unter Onlineshop und unter Finanzierung und Transparenz aufgeführt. Hinauf






Logo Andreas-Unkelbach.de
Andreas Unkelbach Blog
ISSN 2701-6242

© 2004 - 2024 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de

UStID-Nr: DE348450326 - Kleinunternehmer im Sinne von § 19 Abs. 1 UStG

Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter XING

Linkedin Mastodon Bluesky

Amazon Autorenwelt Librarything

Buchempfehlung
SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM

29,95 € Amazon* Autorenwelt

Espresso Tutorials

unkelbach.link/et.reportpainter/

unkelbach.link/et.migrationscockpit/

Privates

Kaffeekasse 📖 Wunschliste