Andreas Unkelbach
Werbung
Steuern, Selbstständigkeit und VGWORT als Blogger und Autor


Montag, 22. Juni 2020
20:07 Uhr

Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten

Im Rahmen der Pflege von SAP Berechtigungen (Stichwort "Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen" und "SAP Query: Berechtigung (organisatorisch und technisch)" fragte mich eine Kollegin wo im SAP System zu Berechtigungsobjekten und Berechtigungsfeldwerten eine Dokumentation zu den zu pflegenden Berechtigungen zu finden sind, was gerade bei neuen Berechtigungsvergaben oder auch bei der Einrichtung von "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" abseits vom zu pflegenden Berechtigungskonzept der Einrichtung auch für ein besseres Verständnis zum SAP Berechtigungswesen hilfreich ist.

Benutzerverwaltung (Transaktion SU01)

Hier musste ich dann ebenfalls einen Moment suchen an welcher Stelle für SAP Keyuser und nicht nur für die SAP Basis im SAP System eine Berechtigung aufrufbar ist und mag dieses gerne zum Anlass nehmen um hier im Artikel ein paar Grundlagen zur "Anatomie" der SAP Berechtigungen schreiben.

Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.

Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA

Bei den Rollen gibt es eine Besonderheit wenn das entsprechende SAP System auf S/4HANA beruht. Während unter SAP ERP nur Rollen mit Berechtigungen für das GUI System relevant waren sind für die Anwendungen unter FIORI entsprechende Businessrollen erforderlich. Hier sind neben den Rollen in den Berechitgungsobjekte und Berechtigungswerte eingetragen werden auch sogenannte Business Rolen.

Beim Aufruf der FIORI Oberfläche stheen unterschiedliche Rollen (Fiori-Gruppen) mit sachlich zusammenhängenden FIORI Kacheln zusammen. Als Beispiel sind hier die Befhelsgruppe Stammdaten in der dann die FIORI Kachel "Kostenstelle verwalten" zu finden ist.

Damit diese FIORI Apps/Kacheln und Gruppen angezeigt werden muss eine entsprechende Berechtigungen aufgrund einer Gruppen und Katalogzuordnung erfolgen. Diese werden über spezifische Gruppen zugeordnet, die neben den normalen Berechtigungen (wie Kostenstellen anlegen, ändern, anzeigen) auch noch Zugriff auf die passenden FIORI Apps zuweisen.

In der Referenzbibliothek für SAP-Fiori-Apps unter https://fioriappslibrary.hana.ondemand.com/ kann nach den einzelnen Apps unter "All Apps" gesucht werden" Über den Punkt IMPLEMENTATION INFORMATION sind im Abschnitt Business Role(s) auch Musterrollen für FIORI Kataloge die diese Aktivität enthalten mit aufgeführt.

 

Berechtigungsrollen (Transaktion PFCG)

In der Rollenpflege (Transaktion PFCG) wird nicht nur das Rollenmenü einer Einzelrolle gepflegt sondern im Reiter Berechtigungen können auch die Berechtigungsobjekte und Berechtigungsfeldwerte gepflegt werden.

Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden. Auf die Besonderheiten im Umgang damit bin ich kürzlcih erst im Artikel "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode" eingegangen möchte hier aber für einen Berechtigungsüberblick lieber auf die Rollen und Zuordnung von Berechtigungsobjektfeldwerten in derRollenpflege mit der PFCG eingehen.

Hierbei werden die Berechtigungen entweder aus dem Rollenmenü abgeleitet (durch die Berechtigungsvorschlagswerte (Transaktion SU24) oder können im Expertenmodus auch manuell bearbeitet werden. Dabei sind die einzelnen Berechtigungsobjekte in Objektklassen aufgeteilt. So ist in der Objektklasse AAAB (Anwendungsübergreifende Berechtigungsobjekte) das Berechtigungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart) mit dem Berechtigungsfeldwert TCD (Transaktionscode) zu finden.

Per Standard sind hier die Transaktionen aus dem Rollenmenü als abgeleitete Berechigungswerte zu finden. Über die Werthilfe (F4) können teilweise die verfügbaren Funktionen Felder zu diesen Feld aufgerufen werden.

Nebenbei wenn die Vorschlagswerte aus der SU24 noch offene Felder haben und hier Einträge erfolgt sind, erscheint ein GEPFLEGT neben dem berechitgungsobjekt und bei manuell hinzgefügten Berechtigungsobjekten ein MANUELL.

Hier ist es durchaus auch möglich ein Berechigungsobjekt über die Schaltfläche MANUELL mehrfach in die Rolle einzutragen.

Nachdem alle Berechitgungen gepflegt sind muss die Rolle gesichert und generiert werden sowie ein Benutzerabgleich ausgeführt werden. Dieses soll aber nun kein Thema hier im Artikel sein. Dieses kann auch mit der Transaktion PFUD erfolgen (siehe Kommentare zum Beitrag "SAP BC: Benutzerpuffer leeren" :-)

Dokumentationen zum Berechtigungsobjekt

Neben der teilweise vorhandenen Onlinehilfe zu einzelnen Berechtigungsobjekten stellt scih die Frage wie die Dokuemtation zum Berechitgungsobjekt aufgerufen werden kann.

Hier gibt es u.a. zwei Möglichkeiten um die Dokumenation aufzrufen.

SUIM - Benutzerinformationssystem - Berechitgungsobjekte


Diess ist entweder im SAP Menü unter
  • Werkzeuge
  • Administration
  • Benutzerpflege
  • Infosystem
oder direkt über die Transaktion SUIM (Benutzerinformationssystem)
und von dort unter
  • Berechtigungsobjekte
  • nach Objektname, -text
möglich.

In beiden Fällen wird die Transaktion S_BCE_68001410 gestartet. HIer kann dann nach einen berechitgungsobjekt über Berechtigungsobjekt, Berechtigungsobjekttext, Objektklasse und weitere Optionen gesucht werden.

In einer ALV Liste erscheinen dann die relevanten Berechitgungsobjekte und über das I in der Spalte Doku kann die Dokumentation zum Berechitgungsobjekt aufgerufen werden in der dann wesentlich ausführlciehre Informationen zum jeweiligen Berechitgungsobjekt sowie die definierten Felder angezeigt werden.
 

Pflege der Berechtigungsobjekte (Transaktion SU21)

Alternativ kann auch die Pflege der Berechtigungsobjekte über die Transaktion SU21 (Report RSU21_NEW) aufgerufen werden. Auf der linken Seite können die einzelnen Klassen und Objekte ausgewählt werden um sich dann zum Berechtigungsobjekt die vorhandenen Berechtigungsfelder und Kurzbeschreibungen sowie über die Schaltfläche "Dokumentation zum Objekt anzeigen" auch die Doku zum Objekt aufgerufen werden kann.

Neben vorhandenen Berechtigungsobjekten können hier auch eigene Berechtigungsobjekte angelegt weren und auch vorhandene Berechtigungsfelder wie Aktivität (ACTVT) ausgefwählt werden. Zu den einzelnen Feldern kann dann, wie bei ACTVT, die zulässigen Optionen die am Feld hinterlegt sind festgelegt werden. So kann für ein eigenes Berechtigungsobjekt mit dem Berechtigungsfeld ACTVT die Aktivität 01 Hinzufügen oder Ersetzen, 02 Ändern und 03 Anzeigen ausgewählt werden und würde dann als Auswahl im Berechtigungsfeld in der Rollenpflege zur Verfügung stellen.

Über die Schaltfläche Feldpflege könenne auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.

Berechtigungsprüfung

Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter.  Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.

Fazit

Auch wenn Keyuer (Fachbereichsuser/Anwendungsbetreuung) nicht auch eigene Berechtigungsobjekte entwickeln müssen und hier eine Zusammenarbeit mit der SAP Basis imemr vom Vorteil ist sind es doch oft auch Fachfragen wie "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" die durch Kenntnisse im Berechtigungswesen beantwortet werden können.

Zusammen mit der SAP Basis kann dann auch die Massenpflege von Berechtigungsfledwerten (PFCGMASSVAL) oder der Massendownload von Berechtigungsrollen (PFCG_MASS_DOWNLOAD) gemeinsam angegangen werden.

Weiterbildung im Bereich Berechtigungswesen

Neben SAP Buchempfehlungen zu SAP Berechtigungen kann ich auch die Bücher von Espresso Tutorials wie "SAP-Berechtigungen für Anwender und Einsteiger" von Andreas Prieß * oder auch das Videotutorial "SAP Berechtigungen Grundlagen - Techniken und Best Practices für mehr Sicherheit im SAP" von Tobias Harmes empfehlen.

Beide sind, neben anderen Medien, auch in der Espresso Tutorials Flatrate enthalten, die ich auch ausführlicher unter SAP Know How vorgestellt habe.

Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen.

Als kleiner Vorgriff mag ich hier einige SAP Blogs zum Thema SAP Basis verweisen oder auch der VideoPodcast "RZ10 LIVE SAP BASIS UND SECURITY"  von rz10.de greift Themen im Bereich Berechtigungen immer wieder auf und ist hier lehrreich :-).

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Espresso Tutorial - die digitale SAP Bibliothek

Tags: BC Berechtigung

Keine Kommentare - - SAP

Artikel datenschutzfreundlich teilen

🌎 Facebook 🌎 Twitter 🌎 LinkedIn
Diesen und weitere Texte von finden Sie auf http://www.andreas-unkelbach.de


Keine Kommentare

Kommentieren?


Beim Versenden eines Kommentars wird mir ihre IP mitgeteilt. Diese wird jedoch nicht dauerhaft gespeichert; die angegebene E-Mail wird nicht veröffentlicht: beim Versenden als "Normaler Kommentar" ist die Angabe eines Namen erforderlich, gerne kann hier auch ein Pseudonyme oder anonyme Angaben gemacht werden (siehe auch Kommentare und Beiträge in der Datenschutzerklärung).

Eine Rückmeldung ist entweder per Schnellkommentar oder (weiter unten) als normalen Kommentar möglich. Eine persönliche Rückmeldung (gerne auch Fragen zum Thema) würde mich sehr freuen.

Schnellkommentar (Kurzes Feedback, ausführliche Kommentare bitte unten als normaler Kommentar)

Name (sofern kein Name angegeben wird erscheint Anonym):



Ich nutze zum Schutz vor Spam-Kommentaren (reine Werbeeinträge) eine Wortliste, so dass diese Kommentare nicht veröffentlicht werden. Sollte ihr Kommentar nicht direkt veröffentlicht werden, kann dieses an einen entsprechenden Filter liegen.

Im Zweifel besteht auch immer die Möglichkeit eine Mail zu schreiben oder die sozialen Medien zu nutzen. Meine Kontaktdaten finden Sie auf »Über mich«. Ansonsten antworte ich tatsächlich sehr gerne auf Kommentare und freue mich auf einen spannenden Austausch.

Normaler Kommentar

Name:

E-Mail (wird nicht veröffentlicht und ist nicht erforderlich):

Homepage:

Kommentar:





* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Hinauf




Werbung



Logo Andreas-Unkelbach.de
© 2004 - 2020 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter XING Linkedin

Amazon Librarything

SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM von Andreas Unkelbach
Privates

Kaffeekasse 📖 Wunschliste