Montag, 22. Juni 2020
20:07 Uhr
20:07 Uhr
Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten
Im Rahmen der Pflege von SAP Berechtigungen (Stichwort "Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen" und "SAP Query: Berechtigung (organisatorisch und technisch)" fragte mich eine Kollegin wo im SAP System zu Berechtigungsobjekten und Berechtigungsfeldwerten eine Dokumentation zu den zu pflegenden Berechtigungen zu finden sind, was gerade bei neuen Berechtigungsvergaben oder auch bei der Einrichtung von "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" abseits vom zu pflegenden Berechtigungskonzept der Einrichtung auch für ein besseres Verständnis zum SAP Berechtigungswesen hilfreich ist.
Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.
Zum Thema SAP Berechtigungen und SAP S/4HANA kann ich für SAP-Administratoren, ABAP-Entwickler sowie Personen, die sich aktuell oder zukünftig mit SAP-Berechtigungen beschäftigen, den SAP Onlinekurs von Tobias Harmes als Blended-Learning von Espresso Tutorials empfehlen.
Der Onlinekurs umfasst dabei folgende Themen.
Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden. Auf die Besonderheiten im Umgang damit bin ich kürzlcih erst im Artikel "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode" eingegangen möchte hier aber für einen Berechtigungsüberblick lieber auf die Rollen und Zuordnung von Berechtigungsobjektfeldwerten in derRollenpflege mit der PFCG eingehen.
Hierbei werden die Berechtigungen entweder aus dem Rollenmenü abgeleitet (durch die Berechtigungsvorschlagswerte (Transaktion SU24) oder können im Expertenmodus auch manuell bearbeitet werden. Dabei sind die einzelnen Berechtigungsobjekte in Objektklassen aufgeteilt. So ist in der Objektklasse AAAB (Anwendungsübergreifende Berechtigungsobjekte) das Berechtigungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart) mit dem Berechtigungsfeldwert TCD (Transaktionscode) zu finden.
Per Standard sind hier die Transaktionen aus dem Rollenmenü als abgeleitete Berechigungswerte zu finden. Über die Werthilfe (F4) können teilweise die verfügbaren Funktionen Felder zu diesen Feld aufgerufen werden.
Nebenbei wenn die Vorschlagswerte aus der SU24 noch offene Felder haben und hier Einträge erfolgt sind, erscheint ein GEPFLEGT neben dem berechitgungsobjekt und bei manuell hinzgefügten Berechtigungsobjekten ein MANUELL.
Hier ist es durchaus auch möglich ein Berechigungsobjekt über die Schaltfläche MANUELL mehrfach in die Rolle einzutragen.
Nachdem alle Berechitgungen gepflegt sind muss die Rolle gesichert und generiert werden sowie ein Benutzerabgleich ausgeführt werden. Dieses soll aber nun kein Thema hier im Artikel sein. Dieses kann auch mit der Transaktion PFUD erfolgen (siehe Kommentare zum Beitrag "SAP BC: Benutzerpuffer leeren" :-)
Hier gibt es u.a. zwei Möglichkeiten um die Dokumenation aufzrufen.
Diess ist entweder im SAP Menü unter
und von dort unter
In beiden Fällen wird die Transaktion S_BCE_68001410 gestartet. HIer kann dann nach einen berechitgungsobjekt über Berechtigungsobjekt, Berechtigungsobjekttext, Objektklasse und weitere Optionen gesucht werden.
In einer ALV Liste erscheinen dann die relevanten Berechitgungsobjekte und über das I in der Spalte Doku kann die Dokumentation zum Berechitgungsobjekt aufgerufen werden in der dann wesentlich ausführlciehre Informationen zum jeweiligen Berechitgungsobjekt sowie die definierten Felder angezeigt werden.
Neben vorhandenen Berechtigungsobjekten können hier auch eigene Berechtigungsobjekte angelegt weren und auch vorhandene Berechtigungsfelder wie Aktivität (ACTVT) ausgefwählt werden. Zu den einzelnen Feldern kann dann, wie bei ACTVT, die zulässigen Optionen die am Feld hinterlegt sind festgelegt werden. So kann für ein eigenes Berechtigungsobjekt mit dem Berechtigungsfeld ACTVT die Aktivität 01 Hinzufügen oder Ersetzen, 02 Ändern und 03 Anzeigen ausgewählt werden und würde dann als Auswahl im Berechtigungsfeld in der Rollenpflege zur Verfügung stellen.
Über die Schaltfläche Feldpflege könenne auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.
Zusammen mit der SAP Basis kann dann auch die Massenpflege von Berechtigungsfledwerten (PFCGMASSVAL) oder der Massendownload von Berechtigungsrollen (PFCG_MASS_DOWNLOAD) gemeinsam angegangen werden.
Beide sind, neben anderen Medien, auch in der Espresso Tutorials Flatrate enthalten, die ich auch ausführlicher unter SAP Know How vorgestellt habe.
Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen.
Als kleiner Vorgriff mag ich hier einige SAP Blogs zum Thema SAP Basis verweisen oder auch der VideoPodcast "RZ10 LIVE SAP BASIS UND SECURITY" von rz10.de greift Themen im Bereich Berechtigungen immer wieder auf und ist hier lehrreich :-).
Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Benutzerverwaltung (Transaktion SU01)
Hier musste ich dann ebenfalls einen Moment suchen an welcher Stelle für SAP Keyuser und nicht nur für die SAP Basis im SAP System eine Berechtigung aufrufbar ist und mag dieses gerne zum Anlass nehmen um hier im Artikel ein paar Grundlagen zur "Anatomie" der SAP Berechtigungen schreiben.Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Bei den Rollen gibt es eine Besonderheit wenn das entsprechende SAP System auf S/4HANA beruht. Während unter SAP ERP nur Rollen mit Berechtigungen für das GUI System relevant waren sind für die Anwendungen unter FIORI entsprechende Businessrollen erforderlich. Hier sind neben den Rollen in den Berechitgungsobjekte und Berechtigungswerte eingetragen werden auch sogenannte Business Rolen.
Beim Aufruf der FIORI Oberfläche stheen unterschiedliche Rollen (Fiori-Gruppen) mit sachlich zusammenhängenden FIORI Kacheln zusammen. Als Beispiel sind hier die Befhelsgruppe Stammdaten in der dann die FIORI Kachel "Kostenstelle verwalten" zu finden ist.
Damit diese FIORI Apps/Kacheln und Gruppen angezeigt werden muss eine entsprechende Berechtigungen aufgrund einer Gruppen und Katalogzuordnung erfolgen. Diese werden über spezifische Gruppen zugeordnet, die neben den normalen Berechtigungen (wie Kostenstellen anlegen, ändern, anzeigen) auch noch Zugriff auf die passenden FIORI Apps zuweisen.
In der Referenzbibliothek für SAP-Fiori-Apps unter https://fioriappslibrary.hana.ondemand.com/ kann nach den einzelnen Apps unter "All Apps" gesucht werden" Über den Punkt IMPLEMENTATION INFORMATION sind im Abschnitt Business Role(s) auch Musterrollen für FIORI Kataloge die diese Aktivität enthalten mit aufgeführt.
Grundlagen SAP Berechtigungen inklusive Fiori - Online Training
Zum Thema SAP Berechtigungen und SAP S/4HANA kann ich für SAP-Administratoren, ABAP-Entwickler sowie Personen, die sich aktuell oder zukünftig mit SAP-Berechtigungen beschäftigen, den SAP Onlinekurs von Tobias Harmes als Blended-Learning von Espresso Tutorials empfehlen.
Der Onlinekurs umfasst dabei folgende Themen.
- Einführung in den Kurs
- Warum sind SAP-Berechtigungen eigentlich wichtig?
- Wie funktionieren SAP-Berechtigungen technisch?
- Entwicklung und Pflege von Rollen
- SAP-Fiori-Berechtigungen/Kachel-Berechtigungen in S/4HANA
- Entwicklung von Berechtigungsprüfungen
Berechtigungsrollen (Transaktion PFCG)
In der Rollenpflege (Transaktion PFCG) wird nicht nur das Rollenmenü einer Einzelrolle gepflegt, sondern im Reiter Berechtigungen können auch die Berechtigungsobjekte und Berechtigungsfeldwerte gepflegt werden.Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden. Auf die Besonderheiten im Umgang damit bin ich kürzlcih erst im Artikel "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode" eingegangen möchte hier aber für einen Berechtigungsüberblick lieber auf die Rollen und Zuordnung von Berechtigungsobjektfeldwerten in derRollenpflege mit der PFCG eingehen.
Hierbei werden die Berechtigungen entweder aus dem Rollenmenü abgeleitet (durch die Berechtigungsvorschlagswerte (Transaktion SU24) oder können im Expertenmodus auch manuell bearbeitet werden. Dabei sind die einzelnen Berechtigungsobjekte in Objektklassen aufgeteilt. So ist in der Objektklasse AAAB (Anwendungsübergreifende Berechtigungsobjekte) das Berechtigungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart) mit dem Berechtigungsfeldwert TCD (Transaktionscode) zu finden.
Per Standard sind hier die Transaktionen aus dem Rollenmenü als abgeleitete Berechigungswerte zu finden. Über die Werthilfe (F4) können teilweise die verfügbaren Funktionen Felder zu diesen Feld aufgerufen werden.
Nebenbei wenn die Vorschlagswerte aus der SU24 noch offene Felder haben und hier Einträge erfolgt sind, erscheint ein GEPFLEGT neben dem berechitgungsobjekt und bei manuell hinzgefügten Berechtigungsobjekten ein MANUELL.
Hier ist es durchaus auch möglich ein Berechigungsobjekt über die Schaltfläche MANUELL mehrfach in die Rolle einzutragen.
Nachdem alle Berechitgungen gepflegt sind muss die Rolle gesichert und generiert werden sowie ein Benutzerabgleich ausgeführt werden. Dieses soll aber nun kein Thema hier im Artikel sein. Dieses kann auch mit der Transaktion PFUD erfolgen (siehe Kommentare zum Beitrag "SAP BC: Benutzerpuffer leeren" :-)
Dokumentationen zum Berechtigungsobjekt
Neben der teilweise vorhandenen Onlinehilfe zu einzelnen Berechtigungsobjekten stellt scih die Frage wie die Dokuemtation zum Berechitgungsobjekt aufgerufen werden kann.Hier gibt es u.a. zwei Möglichkeiten um die Dokumenation aufzrufen.
SUIM - Benutzerinformationssystem - Berechitgungsobjekte
Diess ist entweder im SAP Menü unter
- Werkzeuge
- Administration
- Benutzerpflege
- Infosystem
und von dort unter
- Berechtigungsobjekte
- nach Objektname, -text
In beiden Fällen wird die Transaktion S_BCE_68001410 gestartet. HIer kann dann nach einen berechitgungsobjekt über Berechtigungsobjekt, Berechtigungsobjekttext, Objektklasse und weitere Optionen gesucht werden.
In einer ALV Liste erscheinen dann die relevanten Berechitgungsobjekte und über das I in der Spalte Doku kann die Dokumentation zum Berechitgungsobjekt aufgerufen werden in der dann wesentlich ausführlciehre Informationen zum jeweiligen Berechitgungsobjekt sowie die definierten Felder angezeigt werden.
Pflege der Berechtigungsobjekte (Transaktion SU21)
Alternativ kann auch die Pflege der Berechtigungsobjekte über die Transaktion SU21 (Report RSU21_NEW) aufgerufen werden. Auf der linken Seite können die einzelnen Klassen und Objekte ausgewählt werden um sich dann zum Berechtigungsobjekt die vorhandenen Berechtigungsfelder und Kurzbeschreibungen sowie über die Schaltfläche "Dokumentation zum Objekt anzeigen" auch die Doku zum Objekt aufgerufen werden kann.Neben vorhandenen Berechtigungsobjekten können hier auch eigene Berechtigungsobjekte angelegt weren und auch vorhandene Berechtigungsfelder wie Aktivität (ACTVT) ausgefwählt werden. Zu den einzelnen Feldern kann dann, wie bei ACTVT, die zulässigen Optionen die am Feld hinterlegt sind festgelegt werden. So kann für ein eigenes Berechtigungsobjekt mit dem Berechtigungsfeld ACTVT die Aktivität 01 Hinzufügen oder Ersetzen, 02 Ändern und 03 Anzeigen ausgewählt werden und würde dann als Auswahl im Berechtigungsfeld in der Rollenpflege zur Verfügung stellen.
Über die Schaltfläche Feldpflege könenne auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.
Berechtigungsprüfung
Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter. Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.Fazit
Auch wenn Keyuer (Fachbereichsuser/Anwendungsbetreuung) nicht auch eigene Berechtigungsobjekte entwickeln müssen und hier eine Zusammenarbeit mit der SAP Basis imemr vom Vorteil ist sind es doch oft auch Fachfragen wie "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" die durch Kenntnisse im Berechtigungswesen beantwortet werden können.Zusammen mit der SAP Basis kann dann auch die Massenpflege von Berechtigungsfledwerten (PFCGMASSVAL) oder der Massendownload von Berechtigungsrollen (PFCG_MASS_DOWNLOAD) gemeinsam angegangen werden.
Weiterbildung im Bereich Berechtigungswesen
Neben SAP Buchempfehlungen zu SAP Berechtigungen kann ich auch die Bücher von Espresso Tutorials wie "SAP-Berechtigungen für Anwender und Einsteiger" von Andreas Prieß * oder auch das Videotutorial "SAP Berechtigungen Grundlagen - Techniken und Best Practices für mehr Sicherheit im SAP" von Tobias Harmes empfehlen.Beide sind, neben anderen Medien, auch in der Espresso Tutorials Flatrate enthalten, die ich auch ausführlicher unter SAP Know How vorgestellt habe.
Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen.
Als kleiner Vorgriff mag ich hier einige SAP Blogs zum Thema SAP Basis verweisen oder auch der VideoPodcast "RZ10 LIVE SAP BASIS UND SECURITY" von rz10.de greift Themen im Bereich Berechtigungen immer wieder auf und ist hier lehrreich :-).
ein Angebot von Espresso Tutorials
unkelbach.link/et.books/
unkelbach.link/et.reportpainter/
unkelbach.link/et.migrationscockpit/
Diesen Artikel zitieren:
Unkelbach, Andreas: »Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 22.6.2020, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1113 (Abgerufen am 18.4.2024)
Keine Kommentare - Permalink - SAP
Artikel datenschutzfreundlich teilen
🌎 Facebook 🌎 Twitter 🌎 LinkedIn