Andreas Unkelbach
Werbung


Dienstag, 13. Oktober 2015
22:17 Uhr

SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden

Seit meiner Diplomarbeit habe ich mich nicht mehr ganz so intensiv mit Fragen im Bereich des Berechtigungswesen von SAP auseinander gesetzt. Dennoch kommen in der täglichen Praxis immer einmal wieder Fragen zum damaligen Berechtigungskonzept oder bei der Umsetzung von Berechtigungen im Umfeld zum Berichtswesen als Thema auf. So ist mir letztens im Rahmen einer Schulung aufgefallen, dass eine andere Einrichtung tatsächlich Berechtigungen auf Innenauftragsgruppen vergibt. Die Umsetzung dazu fand ich damals schon im Forumsbeitrag auf fico-forum.de sehr spannend. Die Diskussion von damals ist unter "Berechtigungen auf Innenauftragsgruppen" sehr gut dokumentiert (allerdings hatte die Umsetzung aber irgendwie nicht mehr komplett in Erinnerung).

Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.

Berechtigungtrace

Notfalls bestand auch immer noch die Möglichkeit, wie im Artikel "Anleitung Berechtigungstrace über ST01" beschrieben einen Berechtigungtrace auszuführen. Hier ist auch ein Verweis auf eine gute Beschreibung des Berechtigungtrace im Exxsense Developer Blog auf den  Artikel  "Berechtigungs-Trace" zu finden in dem dieser mit Screenshots sehr ausführlich beschrieben wird. Die neuen  Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace sind dabei in einen Artikel auf rz10.de ebenfalls ausführlich beschrieben.

Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE  zu finden.

SU53 für andere Benutzer auswerten

Eine bis zum Telefonat für mich unbekannte Funktion der SU53 ist es jedoch, dass beim Aufrufen der Transaktion über das Menü BERECHTIGUNGSWERTE->ANDERER BENUTZER oder über die Symbolleiste mit der Schaltfläche "Benutzer (F5)" (oder eben F5) die Berechtigungsprüfung für einen anderen User angezeigt werden.Hierbei liefert die Transaktion SU53 alle geprüften Berechtigungobjekte (mit Worten) für einen Vorgang innerhalb SAP und mit der neuen Version auch inklusive der Uhrzeiten der jeweiligen Berchtigungprüfungen.

 Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.

Benutzerabgleich für Rollen und Profile mit PFUD

Ein häufiger Fehler bei nicht vorhandenen Berechtigungen kann neben tatsächlich fehlenden Berechtigungwerten in den einzelnen Rollen auch ein fehlender Benutzerabgleich gewesen sein.

So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.

Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der  Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf  gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.

Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.

Maximale Anzahl zugeordneter Profile je Benutzer

Ein am Rande erwähnter spannender Aspekt an Sammelrollen. Laut OSS Hinweis 841612  ist die maximale Anzahl an zugeordneten Rollen je Benutzer auf 300 lesend beschränkt. Wobei in der täglichen Praxis dieses eher ein exotisches Berechtigungproblem darstellen dürfte. Schon daher kann es sinnvoll sein viele organisatorische Berechtigungen tatsächlich zu einer Rolle zusammenzufassen. Gerade bei Wissenschaftlern die nicht nur im Fachbereich einzelne Projekte bearbeiten sondern auch in unterschiedlichen Instituten oder zentralen Einrichtungen tätig sind, kann es daher sinnvoll sein, die oftmals als kritisch betrachteten auf die einzelne Person zugeschnittene Berechtigungsrolle zu erstellen.

Berechtigungkonzept und weitere Themen rund um Berechtigungen


Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.

Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.

Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.

Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Espresso Tutorial - die digitale SAP Bibliothek

Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Kommentare

Tobias Harmes Homepage am 14.10.2015 um 05:22 Uhr
Danke für die knackige Zusammenfassung! Ich würde (wo verfügbar) die STAUTHTRACE der ST01 immer vorziehen - die macht da deutlich mehr Spaß. :)

Viele Grüße,
Tobias Harmes


Andreas Unkelbach Homepage am 14.10.2015 um 21:47 Uhr
Guten Abend,

vielen Dank für das Lob bzgl. der knackigen Zusammenfassung. Auch wenn ich doch etwas seltener nun im Bereich Berechtigungswesen unterwegs bin erscheint mir die erwähnte STAUTHTRACE ebenfalls als eine gelungene Umsetzung gerade durch den Schwerpunkt auf die reine Berechtigungsanalyse.

Auch wenn mir die ST01 damals einige Male weiter geholfen hat, kann ich den Spaß an der neuen Transaktion nachvollziehen und hatte daher den Artikel auf RZ10.de ebenfalls an unsere SAP Basis weiter gegeben :-).

Viele Grüße
Andreas Unkelbach


Auch kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert (siehe auch XII. Fremde Nutzung / Kommentarfunktion in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)

Name (sofern kein Name angegeben wird erscheint Anonym):


Normaler Kommentar

Name:

E-Mail (wird nicht veröffentlicht):

Homepage:

Kommentar:


Hinauf




Werbung



Logo Andreas-Unkelbach.de
© 2004 - 2017 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter Google+

»Schnelleinstieg ins SAP Controlling (CO)« und »Berichtswesen im SAP ® ERP Controlling«
Privates

Kaffeekasse 📖 Wunschliste