Andreas Unkelbach
Logo Andreas-Unkelbach.de

Artikel zum Stichwort Berechtigung

Alle folgende Artikel sind unter den angegeben Stichwort (TAG) einsortiert. Sollte der gesuchte Artikel nicht dabei sein kann hier auch die Artikelsuche weiter helfen.

Oft sind aber auch die aktuellen Artikel in der jeweiligen Kategorie im Menü interessant.
Espresso Tutorial - die digitale SAP Bibliothek

SAP Fachliteratur ist unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.



Samstag, 11. Juni 2016
10:49 Uhr

Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen

Wie schon im Artikel "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" angesprochen ist das Thema Berechtigung im Alltag immer wieder aktuell. So hatten wir letztens eine Diskussion über das Ausführen von SAP Query als Keyuser und eine Diskussion mit Basis und bestehenden Berechtigungskonzepten.

Als eine schnelle Lösung möchte ich hier zwei Möglichkeiten darstellen.

Hier sollte immer die Frage geklärt werden, welche Berechtigungen zum Ausführen oder Nutzen von SAP Query (siehe "Grundlagen Kurzeinführung und Handbuch SAP Query") genutzt werden soll.

Innerhalb des Abschnitts "1.2. Berechtigungsrollen für Query" bin ich hier auch auf unterschiedliche Rollen zum reinen Ausführen einer Query (zum Beispiel über die Transaktion SQ00) und den Erstellen der Query eingegangen.

Vorschlag: Berechtigungsrolle zum Ausführen von SAP Query

So würde eine Rolle zum Ausführen von SAP Query natürlich die Berechtigung für SQ00 (Berechtigungsobjekt S_TCODE)und folgende Berechtigungsobjekte enthalten.

Daneben bedarf es folgender Berechtigungen:

S_TABU_DIS
ACTVT Aktivität 03
DICIBERCLS Tabellenberechtigung *

S_DEVELOP
ACTVT Aktitivität 03
DEVCLASS Paket $0, T*, Y*, Z*
OBJTYPE Objekttyp DOMA,  DTEL, ENQU, LDBA, INDX, MCID, MCOB, SHLP. SQLT, SQTT, STRU, TABL, TABT, TTYP, TYPE, VIEW, VIET
P_GROUP Berechtigungr.ABAP/4Program *

S_QUERY
ACTVT
Hier reicht das reine Vorhanden des Beechtigungsobjektes aus, ohne dass hier ein Berechtigungsfeldwert einzutragen ist.

Natürlich sollte dieser Vorschlag noch mit vorhandenen Berechtigungskonzepten abgestimmt werden. Inhaltlich ist dieses ohnehin ein Thema, wo verschiedene Abteilungen (und Keyuser) intensiver und harmonisch mit der SAP Basis Abteilung sich abstimmen sollten.

Von daher ist es auch nicht weiter verwunderlich, dass sich auch manche Blogs ausschliesslich mit den Fragen rund um Berechtigungen und entsprechende Konzepte beschäftigen.

Eine entsprechende Schulung im Bereich Berechtigungswesen kann sicherlich auch in das Fortbildungskonzept der einzelnen Fachabteilungen eingebunden werden.

Sicherlich sollte man darauf achten, dass sich sowohl das Berechtigungskonzept als auch die Frage, welche Art von Berechtigungen im Zusammenhang mit gewünschten Berichtswesen um hier auch solche Fragestellungen zu berücksichtigen.

Diese Themen wurden auch im Artikel "Unterschiedliche Auswertungsmöglichkeiten im Controlling (Report Writer, Recherchebericht, SAP Query) und natürlich Excel ;-)" angesprochen.

Hier sind als Thema Report Writer / Report Painter (siehe auch "Grundlagen Kurzeinführung und Handbuch Report Painter Report Writer" ) Recherchebericht, SAP Query und natürlich Query und nicht zu vergessen, das liebste Spielzeug aller Controller Excel (wodurch auch viele Artikel innerhalb der Rubrik "Office" geklärt sind.
 

Alternative: Transaktion für einzelne Query anlegen und diese im Menü hinterlegen

Eine interessantere Alternative ist dabei für einzelne Query eine eigene Transaktion wie im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query / Unterschied Parameter- oder Reporttransaktion" beschrieben anzulegen.

Eine spannende Option wäre dann tatsächlich auf diese Weise Query, Report Painter/Writer und andere Berichte in ein kundeneigenes Menü wie im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" beschrieben einzubauen. Diese sind dann auch über Berechtigungen beziehungsweise Rollen einzelnen Usern zuweisbar.


 

Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 10. Juni 2016
20:52 Uhr

Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?

Manchmal kommen auch im Bereich SAP BC (basis components) im Bereich Berechtigungswesen ebenfalls Fragen auf, die nicht nur über einen sprechenden Namen der Berechtigungsrollen (ehemals Aktivitätsgruppen) sondern auch über eine technische Auswertung zu beantworten sind. Daher möchte ich hier eine typische Fragestellung und ihren Weg zur Beantwortung stellen. Im Alltag stellte sich die Frage, welche User eine bestimmte Kostenstelle oder ein bestimmtes Projekt auswerten dürfen.

Benutzerinformationssystem (SUIM)

Grundsätzlich können, meiner bescheidenen Meinung nach, alle Fragen zur Auswertung rund um das Berechtigungswesen über die Transaktion SUIM (Benutzerinformationssystem) beantwortet werden. Inhaltlich handelt es sich hierbei um einen Teilausschnitt des SAP Menü (wie auch im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" im Abschnitt Bereichsmenü beschrieben), welches statt über die Transaktion SUIM auch im normalen SAP Menü unter
  • Werzeuge
  • Administration
  • Benutzerpflege
  • Infosystem
direkt zu finden ist.

Für eine Fragestellung "Wer hat Berechtigungen eine Kostenstelle (zum Beispiel 1040000 für die Abteilung Controlling) auszuwerten oder aber wer darf ein bestimmtes Projekt auswerten?".

Zur Beantwortung dieser Frage kann eine Auswertung der Benutzer nach Berechtigungswerten verwendet werden. Dieser Bericht mit der Transaktion S_BCE_68001397 ist innerhalb des Benutzerinformationssystem (SUIM beziehungsweise im entsprechenden Bereichsmenü) unter:
  • Benutzer
  • Benutzer nach komplexen Kriterien
  • nach Berechtigungswerten
zu finden.

Berechtigung zur Auswertung einer Kostenstelle

Von der Handhabung her kann nun als Berechtigungsobjekt K_CSKS "CO-CCA: Kostenstellen-Stamm" oder noch besser K_REPO_CCA "CO-CCA: Reporting auf Kostenstellen / Kostenarten" eingetragen werden.

Nach Bestätigung des Berechtigungsobjekt mit ENTER kann im Feld "KOSTL - Kostenstelle" die auszuwertende Kostenstelle eingtragen werden.

Berechtigung zur Auswertung von Innenaufträgen oder Fonds im Haushaltsmanagement

Sollen stattdessen Berechtigungen auf Projekte (im Sinne von Innenauftrag oder Fond) überprüft werden bietet sich im Modul Controlling (CO) das Berechtigungsobjekt K_ORDER "CO-OPA: Allgemeines Berechtigungsobjekt für Innenaufträge" an. Hier kann über den CO-OM Verantwortungsbereich nach Kostenstelle oder Innenauftrag gesucht werden, dabei sind Innenaufträge vorrangestellt mit OR* abzufragen.

Gerade im öffentlichen Dienst dürfte aber auch das Modul PSM-FM (Public Sector Management - Haushaltsmanagement) eingesetzt werden. Hier werden Projekte auf Fonds abgebildet. Diese sind im Grunde analog zu Innenaufträgen zu betrachten (so wie auch Finanzstellen als Gegenstück zu Kostenstellen betrachtet werden können.
Für eine Auswertung bieten sich die  Berechtigungsobjekte F_FICA_FCD "Haushaltsmanagement Fonds" oder  F_FICA_FTR "Haushaltsmanagement Finanzbudgetkonto" an die direkt als Berechtigungfeld FOND anbieten wo dieser direkt eingetragen werden kann.

Ergebnisliste komplexe Benutzer nach komplexen Kriterien (Berechtigungsfeldwerten)

Im Ergebnis wird eine Liste aller User mit der entsprechenden Berechtigung ausgewiesen.

Über die Schaltfläche Rollen erhält man ferner auch noch eine Liste aller diesen Usern zugeordneten Berechtigungsrollen, so dass hier eine einfache Auswertung möglich ist.

Fazit

Auch wenn es (sicherlich) ein umfangreiches Berechtigungskonzept gibt in dem auch die einzelnen Berechtigungen der jeweiligen User oder zumindest der Rollen festgehalten sind, können solche Auswertungen auf eine sehr schnelle Weise technisch direkt Auskunft darüber geben, wer für ein bestimmtes Objekt entsprechende Berechtigungen inne hat. Entsprechend hilfreich ist es, besonders für Keyuser, sich auch mit Fragen aus den Beeich Berechtigungen auszukennen.

Ich werde vermutlich im Laufe der Zeit auch noch weitere Bücher aus den Bereich Berechtigungen vorstellen (siehe Buchempfehlungen), aber bis dahin kann ich schon einmal das Buch "SAP ® Handbuch Sicherheit und Prüfung. Praxisorientierter Revisionsleitfaden für R/3-Systeme" empfehlen. Aber auch in der Flatrate von Espresso Tutorial sind Bücher zum Thema Berechtigungen zu finden :-).

Daneben beschäftigen sich auch einige von mir gerne gelesene und auch an dieser Stelle empfohlene SAP Blogs mit den Themenschwerpunkt Berechtigungen.

Der Vollständigkeit halber möchte ich natürlich auch auf einige eigene Artikel rund um das Thema Berechtigungswesen in SAP hinweisen: Die Vielzahl an unterschiedlichen Artikeln rund um das Thema Berechtigungswesen ist vermutlich oder eigentlich ganz sicher durch meinen ersten intensiveren Einstieg rund um SAP begründet. Meine damalige Diplomarbeit zum Thema "Berechtigungswesen in SAP auf Basis der Überarbeitung des vorhandenen Konzeptes der FH Gießen-Friedberg im Bereich Finanzwesen und Controlling" hilft auch heute noch dabei modulübergreifend bestimmte Konzept und Zusammenhänge rund um das Thema BC zu begreifen und in die tägliche Arbeitsweise mit einzubinden.

Entsprechend würde ich auch anderen Keyusern das Thema Berechtigungen empfehlen, da es doch immer wieder einige Fragestellungen aus diesen Bereich gibt, die so mit wenigen Schritten im System und nicht per Dokumentensuche zu beantworten sind. Die ernsthafte Beschäftigung mit der Frage, welche Berechtigung Keyuser (oder Poweruser) erhalten sollen ist nicht nur für die Revision des Berechtigungswesen, Datenschutz und verschiedene damit verbundene Tätigkeiten relevant beziehungsweise zu klären sondern sollte sich auch Gedanken darum machen, welche Tätigkeiten entsprechende Benutzer im SAP System erhalten sollen.
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 13. Oktober 2015
22:17 Uhr

SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden

Seit meiner Diplomarbeit habe ich mich nicht mehr ganz so intensiv mit Fragen im Bereich des Berechtigungswesen von SAP auseinander gesetzt. Dennoch kommen in der täglichen Praxis immer einmal wieder Fragen zum damaligen Berechtigungskonzept oder bei der Umsetzung von Berechtigungen im Umfeld zum Berichtswesen als Thema auf. So ist mir letztens im Rahmen einer Schulung aufgefallen, dass eine andere Einrichtung tatsächlich Berechtigungen auf Innenauftragsgruppen vergibt. Die Umsetzung dazu fand ich damals schon im Forumsbeitrag auf fico-forum.de sehr spannend. Die Diskussion von damals ist unter "Berechtigungen auf Innenauftragsgruppen" sehr gut dokumentiert (allerdings hatte die Umsetzung aber irgendwie nicht mehr komplett in Erinnerung).

Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.

Berechtigungtrace

Notfalls bestand auch immer noch die Möglichkeit, wie im Artikel "Anleitung Berechtigungstrace über ST01" beschrieben einen Berechtigungtrace auszuführen. Hier ist auch ein Verweis auf eine gute Beschreibung des Berechtigungtrace im Exxsense Developer Blog auf den  Artikel  "Berechtigungs-Trace" zu finden in dem dieser mit Screenshots sehr ausführlich beschrieben wird. Die neuen  Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace sind dabei in einen Artikel auf rz10.de ebenfalls ausführlich beschrieben.

Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE  zu finden.

SU53 für andere Benutzer auswerten

Eine bis zum Telefonat für mich unbekannte Funktion der SU53 ist es jedoch, dass beim Aufrufen der Transaktion über das Menü BERECHTIGUNGSWERTE->ANDERER BENUTZER oder über die Symbolleiste mit der Schaltfläche "Benutzer (F5)" (oder eben F5) die Berechtigungsprüfung für einen anderen User angezeigt werden.Hierbei liefert die Transaktion SU53 alle geprüften Berechtigungobjekte (mit Worten) für einen Vorgang innerhalb SAP und mit der neuen Version auch inklusive der Uhrzeiten der jeweiligen Berchtigungprüfungen.

 Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.

Benutzerabgleich für Rollen und Profile mit PFUD

Ein häufiger Fehler bei nicht vorhandenen Berechtigungen kann neben tatsächlich fehlenden Berechtigungwerten in den einzelnen Rollen auch ein fehlender Benutzerabgleich gewesen sein.

So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.

Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der  Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf  gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.

Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.

Maximale Anzahl zugeordneter Profile je Benutzer

Ein am Rande erwähnter spannender Aspekt an Sammelrollen. Laut OSS Hinweis 841612  ist die maximale Anzahl an zugeordneten Rollen je Benutzer auf 300 lesend beschränkt. Wobei in der täglichen Praxis dieses eher ein exotisches Berechtigungproblem darstellen dürfte. Schon daher kann es sinnvoll sein viele organisatorische Berechtigungen tatsächlich zu einer Rolle zusammenzufassen. Gerade bei Wissenschaftlern die nicht nur im Fachbereich einzelne Projekte bearbeiten sondern auch in unterschiedlichen Instituten oder zentralen Einrichtungen tätig sind, kann es daher sinnvoll sein, die oftmals als kritisch betrachteten auf die einzelne Person zugeschnittene Berechtigungsrolle zu erstellen.

Berechtigungkonzept und weitere Themen rund um Berechtigungen


Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.

Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.

Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.

Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 28. November 2014
21:18 Uhr

Grundlagen Kurzeinführung und Handbuch SAP Query

SAP Query ist ein Werkzeug in SAP welches das Auslesen und auch Anlysieren von Tabellen im ERP System ermöglicht. Die Query ist dabei vergleichbar mit einer Abfrage innerhalb Access. Da ich unter den Tag Query schon einige Query vorgestellt habe soll dieser Artikel eine kurze eher allgemein gehaltene Einführung ins Thema geben und somit eine Grundlage bzw. ein Kurzhandbuch für die Erstellung von Queries darstellen.

1. Grundeinstellungen / Berechtigungen

Bei der Erstellung von Query und damit eine Auswertung von Datenbanktabellen sollte auch das Thema Berechtigungen nicht aussen vor gelassen werden.

1.1. Allgemeiner Tabellenschutz

Da bei der Erstellung von Query direkt in Datenbanken gelesen wird, sind zur Erstellung entsprechende Berechtigungen erforderlich. Zum Anzeigen einer Tabelle wird die Auswertungstransaktion und die Tabellenansichtberechtigung über das Berechtigungsobjekt S_TABU_DIS geprüft. Hierbei wird im Berechtigungsfeld Aktivität 03 (=Ansicht) und eine der Tabelle zugeordneten Berechtigungsgruppe geprüft. Die Zuordnung von Tabellen zu Berechtigungsgruppen erfolgt mandantenunabhängig über die Transaktion SE54 (Speicherort der Einstellungen ist dann die Tabelle TDDAT Pflegebereiche für Tabellen).
Hier kann auch über die Berechtigungsgruppe oder die Tabelle nach den entsprechenden Werten gesucht werden. So ist bspw. die Tabelle GLPCA der Berechtigungsgruppe KA (=CO:Anwendungstabelle) zugewiesen.

1.2. Berechtigungsrollen für Query

Sofern auch Anwender Query ausführen sollen, sollte sich hier vorab schon Gedanken um ein passendes Berechtigungskonzept gemacht werden. Hierzu sind im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" schon einige Anmerkungen gemacht worden.
Da es in diesen Artikel um die Grundlagen zur Erstellung einer Abfrage und das entsprechende Umfeld geht werden hier weiter gehende Berechtigungen vorgestellt.

Berechtigungsobjekt S_TCODE

Hier werden die einzelnen Transaktionscodes zum Arbeiten mit einer Query beschrieben.
Für das Ausführen einer Query ist folgende Transaktion gedacht:

  • SQ00 SAP Query: Queries starten

Für die Pflege und Erstellung sollten noch folgende Transaktionen hinterlegt werden:

  • SE12 ABAP Dictionary Anzeige
  • SE36 Logical Database Builder
  • SQ01 SAP Query: Queries pflegen
  • SQ02 SAP Query: InfoSet pflegen
  • SQ03 SAP Query: Benutzergruppenpflege

Weitere relevante Berechtigungsobjekte sind S_DEVELOP, S_TABU_DIS und S_QUERY. Dieses sollten gemeinsam mit der SAP Basis mit passenden Berechtigungswerten versehen werden.
Sofern auch ABAP Coding im Infoset hinterlegt werden soll, ist der Objekttyp PROG im Berechtigungsobjekt S_DEVELOP und 'AQ*' für OBJNAME erforderlich. Andernfalls ist ein Coding hier nicht möglich. Dieses gilt dann auch für einen Import von Query per Upload in ein anderes System.
Für die Ausführung von Query sollte im Berechtigungsobjekt S_DEVELOP die Aktivität 03 und ggf. Objekttyp LDB ausreichend sein. Für die Erstellung von Query sollten ggf. weitere Aktivitäten und Objekttypen hinterlegt werden (weitreichende Berechtigung wären die Aktivitäten 01,02,03,06,07)

Weitere Objekttypen im Berechtigungsobjekt S_DEVELOP sind:

  • DOMA: Domänen
  • DTEL: Datenelemente
  • ENQU: Sperrobjekte
  • INDX: Sekundärindices*
  • MCID: Matchcode-ID*
  • MCOB: Matchcode-Objekte*
  • SHLP: Suchhilfen
  • SQLT: Pool/Clustertabellen*
  • SQTT: Technische Einstellungen Tabellenpool
  • STRU: Strukturen
  • TABL: Transparente Tabellen*
  • TABT: technische Einstellung zu Tabellen
  • TTYP: Tabellentypen
  • TYPE: Typgruppen
  • VIEW: Views*
  • VIET: Viewtypen
  • LDBA: Logische Datenbank

sowie die einzelnen Aktivitäten. Für eine reine Ansicht der Query (bzw. Ausführen) sollte die Aktivität 03 für den Objekttyp LDBA ausreichen, wenn auch logische Datenbanken mitausgewertet werden sollen.

Je nach Aufstellung kann es sinnvoll sein zwei Rollen anzulegen. Eine für die Ausführung von Query bspw. QUERY-EXECUTE und eine für die Pflege bspw. QUERY-CREATE. Bei der Zuordnung des Berechtigungsobjektes S_QUERY ist jedoch zu beachten, dass ein Benutzer, der die Berechtigung für das Berechtigungsobjekt S_QUERY mit den beiden Aktivitäten 02 Ändern und 23 Pflegen besitzt, alle Queries aller Benutzergruppen zugreifen kann.
Daher sollte in der Rolle zum Ausführen einer Query dieses Berechtigungsobjekt ohne Berechtigungsfeldwerte hinterlegt werden, da andernfalls die Steuerung über die Benutzergruppen problematisch ist. Auf diese gehen wir im Folgenden ein.

1.3. Transaktion für Query zuweisen

Im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query" ist eine Möglichkeit beschrieben, wie die erstellte Query später dann als Transaktion für Infouser zur Verfügung gestellt werden kann.
 

2. Benutzergruppe anlegen (Transaktion SQ03)

Neben der Berechtigungssteuerung über das Berechtigungsobjekt S_QUERY gibt es auch die Möglichkeit Berechtigungen zur Pflege und Zugriff auf Query über Benutzergruppen zuzuordnen. Starten Sie hierzu die Transaktion SQ03.

Sofern Sie zum ersten Mal diese Transaktion aufgerufen haben, sollten Sie über UMFELD->ARBEITSBEREICH auf den Standardbereich (mandantenabhängig) wechseln. Alternativ kann dieses über einen Benutzerparamter im Userstamm festgelegt werden. Dieses geht im SAP Menü unter (System->Benutzervorgaben->Eigene Daten oder direkt über die Transaktion SU3. Hier kann im Reiter Parameter sowohl der Arbeitsbereich als auch ggf. die Benutzergruppe per Benutzerparameter hinterlegt werden. Für den mandantenabhängigen Arbeitsbereich wird hierzu der Parameter AQW ohne Wert angelegt, so dass Sie hier nicht jedes Mal aufs Neue den Arbeitsbereich wechseln müssen.

In das Feld Benutzergruppe können Sie eine entsprechende Benutzergruppe mit der Schaltfläche ANLEGEN erstellen. Hierzu können Sie eine Beschreibung der Gruppe ergänzen. Ein Beispiel wäre die Benutzergruppe AGCO. Über die Schaltfläche "Benutzer und Infosets zuordnen" können Sie dann entsprechende SAP Benutzer (und später auch Infosets) der Gruppe zuordnen. Ergänzend zum Benutzer kann über das Ankreuzfeld neben den Benutzernamen die Änderungsberechtigung über das Berechtigungsobjekt S_QUERY entzogen werden. Benutzer die gar keine Berechtigung zum Ändern haben bekommen auch diese Funktion entsprechend als nicht pflegbar angezeigt.

Dieses bedeutet, dass Benutzer, die generell keine Query ändern, pflegen dürfen über die Benutzergruppe bestimmte Queries zugeordnet bekommen dürfen. Darüber hinaus kann Usern die Berechtigung zur Pflege von Queries trotz vorhandener Berechtigungen im Berechtigungsobjekt S_QUERY entzogen werden kann.

Generell hat ein Benutzer mit Zuordnung des  Berechtigungsobjekt S_QUERY mit den beiden Berechtigungsfeldwerten Ändern und Pflegen die Berechtigung auf jede Query zuzugreifen, ohne dass dieser in einer entsprechenden Benutzergruppe zugeordnet ist. Je nach Berchtigungskonzept kann dieses zum Beispiel für alle Keyuser in diesen Bereich gelten. Um nun nur eine Query auszurollen, kann es daher sinnvoll sein, diese wie im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query" beschrieben in den Berechtigungsrollen als eigene Transaktion zu hinterlegen.
 

3. Datenherkunft finden

Die Hauptaufgabe zur Erstellung von SAP Query ist die Identifikation der relevanten Datenbanktabellen. Hier können im SAP System die Datenfelder mit der F1 Hilfe angezeigt werden. Hierzu wird im Hilfetext auf die Technischen Informationen geklickt und unter den Feld-Daten sind im Idealfall auch die Tabelle und der Feldname der Tabelle mit aufgeführt.
Alternativ kann auch mit der Transaktion SE12 nach passenden Tabellen für die Auswertung gesucht werden. Eigentlich ist diese Transaktion für die Anzeige der Tabellenstruktur gedacht. Über die Werthilfe (F4) können aber auch vorhandene Tabellen durchsucht werden. Hier kann dann entweder anhand der Schaltfläche Infosystem nach Tabellennamen und Kurzbezeichnung gesucht werden oder über die Schaltfläche SAP Anwendung innerhalb der einzelnen SAP Module und Komponenten gesucht werden. Neben den einfachen Fall einer direkt lesbaren transparenten Tabelle (zum Beispiel für Innenaufträge die Tabelle AUFK) gibt es auch sogenannte Clustertabellen. Innerhalb eines Cluster werden Felder anderer Tabellen komprimiert in einer einzelnen Spalte gespeichert. Hierdurch ist eine Verwendung von Cluster-Tabellen ebenso wie Pool-Tabellen nicht in Joins möglich. Clustertabellen sammeln hierdurch mehrere Einzeltabellen in einer Tabelle und haben den Nachteil, dass diese nicht direkt ausgewertet werden können. Hierzu bietet sich dann die Verwendung einer logischen Datenbank an.

Logische Datenbanken
enthalten schon Verknüpfungen und können direkt als Grundlage für ein Infoset verwendet werden. Dieses hat den Vorteil, dass man nicht selbst erst einzelne Tabellenverknüpfungen erstellen muss. Die Struktur einer logischen Datenbank kann in der Transaktion SE36 eingesehen werden.
Im Bereich HCM wären dieses bspw. PNP oder PCH während innerhalb des Rechnungswesen ggf. die Datenbanken ADA für die Anlegenbuchhaltung und BRF für FI Belege interessant sind.


Im Artikel "Tabellen hinter Transaktionscode oder ABAP Programm über eine SAP Query ermitteln" ist eine Möglichkeit beschrieben durch die anhand eines Transaktioncode die hinter diesen Programm genutzten Tabellen ausgegeben werden. Hier sind dann bspw. für die Transaktion KO03 (Innenauftrag anzeigen) auch alle relevanten Tabellen für die Stammdaten des Innenauftrages gelistet.

Daneben gibt es natürlich auch die Möglichkeit der Recherche im Netz nach entsprechenden Tabellen. So bietet die Seite sap-community.de unter "Verzeichnis SAP Tabellen"  eine kleine Zusammenstellung von verschiedenen häufig genutzten Tabellen bspw. aus den Bereichen FI, CO oder anderen Komponenten von SAP an. In Form einer MindMap ist dieses auch auf der Seite eberstein.de zu finden (siehe auch "Mindmapping und Sketchnotes im Beruf nutzen für Brainstorming oder Mind Mapping mit XMIND")

4. Infoset anlegen (Transaktion SQ02)

Durch das Anlegen eines Infosets kann die Bezeichnung und die Art der Datenherkunft (Datenquelle) festgelegt werden. In der Regel können Sie hier drei Varianten häufig nutzen:

Tabellen-Join über Tabelle
Hier kann eine Haupttabelle gepflegt werden und diese mit anderen Tabellen verknüpft werden. Hierzu muss eine entsprechende Verknüpfung zwischen zwei übereinstimmende Felder gestaltet werden (Join).

Direktes Lesen der Tabelle
Hier kann direkt eine Tabelle ausgelesen. Dieses kann sinnvoll sein, wenn nicht die Transaktion SE16 (Tabelle anzeigen) sondern tatsächlich nur eine direkte Tabelle ausgelesen werden soll.

Logische Datenbank
Innerhalb einer logischen Datenbank liefert SAP schon passende Tabellenstrukturen zu wichtigen Datenobjekten. Entsprechende Verknüpfungen sind hier schon hinterlegt. Beispiele für logische Datenbanken sind bspw. ADA (Anlagendatenbank) oder BRF (BELEGDATENBANK).

Wird eine Tabelle direkt gelesen erfolgt im Folgeschirm gleich die Frage, ob alle Tabellenfelder in eine Feldgruppe übernommen werden sollen. Die Datenfelder innerhalb einer Feldgruppe stehen dann später als Auswertungsobjekte zur Verfügung. Daher kann es sinnvoll sein hier direkt alle aufnehmen auszuwählen. Alternativ könnten hier auch einzelne Felder in das Infoset aufgenommen werden.

Sofern ein Tabellen-Join über eine Tabelle gebildet werden soll, erscheint im Folgebild die Tabelle mit ihren einzelnen Feldern und es kann im Menü unter BEARBEITEN->TABELLE EINFÜGEN eine weitere Tabelle eingefügt werden. SAP schlägt automatisch eine Verknüpfung zwischen den beiden Tabellen vor. Hierbei werden als Vorschlag automatisch Verknüpfungslinien zwischen einzelnen Feldern gezogen. Diese können markiert werden und über die rechte Maustaste gelöscht werden.

Unterschied inner join und left outer join

Daneben gibt es die Möglichkeit die Art der Verknüpfung über die Option left outer join umzustellen. Im Standard werden hier „inner join“ angelegt (1:1 Beziehungen) definiert und als einfache Linie dargestellt. Es ist aber auch möglich „left outer join“ anzulegen (1:n Beziehungen). Hierzu müssen Sie nur mit der rechten Maustaste die Art der Verknüpfung ändern.
Beim Inner Join müssen die Felder beider verknüpften Tabellen exakt übereinstimmen, andernfalls wird kein Ergebnis ausgegeben.

Dahingehend wird beim Left Outer Join immer die "linke" Tabelle ausgegeben und diese mit den übereinstimmenden Feldern der rechten Tabelle kombiniert. Hierbei wird die linke Tabelle immer mit ausgegeben und für jeden Treffer in der rechten Tabelle wird das entsprechende Feld erneut wiederholt, sofern in der rechten Tabelle mehr als eine Übereinstimmung gefunden wurde (daher der Vergleich mit der aus Access bekannten 1:N Beziehung).

Sofern Sie weitere Felder miteinander verknüpfen wollen können sie diese Felder zwischen den einzelnen Tabellen hin und her ziehen. Markieren Sie hierzu das Feld der Tabelle und ziehen Sie es auf ein passendes Tabellenfeld. Über die Schaltfläche Verknüpfungsbedingungen prüfen (F9) können Sie sehen, ob diese Verknüpfung auch gültig ist.
Eine Dokumentation von Tabellenbeziehungen (nicht nur für SAP Query) habe ich im Artikel "Graphische Darstellung von Tabellenverknüpfungen bspw. bei Query" beschrieben. Dieses kann bspw. für externe Dokumentationen genutzt werden oder wenn nur die Schlüsselfelder und nicht die gesamten Tabellenbeziehungen als Screenshot aus SAP dokumentiert werden sollen.
 

ACHTUNG:
Eine gültige Verknüpfung ist nur möglich, wenn die beiden Felder in ihren Eigenschaften übereinstimmen. Stimmen die Felder in ihren Eigenschaften nicht überein muss per Coding eine Übereinsteimmung erfolgen. Diese Variante ist im Artikel "SAP Query ABAP Coding im Zusatzfeld für Verknüpfung Innenauftrag und Fond bzw. Finanzierungszweck" ausführlicher beschrieben.

Nachdem Sie die Verknüpfungen definiert haben können Sie über die Schaltfläche Infoset zur Pflege des Infosets zurückkehren. Auch hier bekommen Sie eine Rückfrage, welche Tabellenfelder als Vorbelegung von Feldgruppen verwendet werden sollen. Auch hier empfiehlt sich die Option "alle Tabellenfelder aufnehmen", da dadurch spätere Berichtsanforderungen wesentlich leichter übernommen werden können. Alternativ besteht die Möglichkeit auch selbst Feldgruppen und passende Felder zu erstellen. Nach erfolgreicher Pflege kann das Infoset gespeichert und generiert werden.
Danach sollten Sie das Infoset über die Schaltfläche Zuordnung zu Rollen/Benutzergruppen einer Benutzergruppe bspw. AGCO zuordnen in der Sie später auch die Query erstellen möchten.

Erweiterung des Infosets durch Zusatztabellen oder Zusatzfelder

Neben einer reinen Auswertung von einzelnen Tabellen (oder der Auswertung von Verknüpfungen / Infosets) kann innerhalb einer Query auch mit Zusatzfeldern oder Zusatztabellen gearbeitet werden. Hierdurch können in eine Query auch Tabellen verknüpft werden die nicht direkt innerhalb eines Join verknüpft werden können, da noch ein weiteres Selektionsmerkmal wie bspw. der Buchungskreis erforderlich ist. Ein entsprechendes Beispiel ist im Artikel "Query über IBAN und Stammdaten Kreditor oder Debitor (Zusatztabellen in SAP Query)" beschrieben. Darüberhinaus besteht auch die Möglichkeit Zusatzfelder, wie bereits oben erwähnt per ABAP Coding zu ergänzen. Hier ist im Artikel "SAP Query - Auswertung Merkmale der Klassifizierung am Beispiel Fonds in PSM-FM" ein recht umfangreiches Beispiel gegeben in dem die Merkmale der Klassifizierung aus der Tabelle AUSP ausgewertet werden.

Insbesondere was die Auswertung von PSM Stammdaten anbelangt dürfte der Artikel "SAP Query innerhalb des SAP Moduls PSM FM beziehungsweise Haushaltsmanagement" ein schönes Beispiel für die Verwenudng einer Zusatztabelle mit ABAP Coding sein.

Diese Zusatzfelder können dann ebenfalls entweder in einer eigenen Feldgruppe oder einer bestehenden Feldgruppe übernommen werden (so als wären diese in einer Tabelle vorhanden) und im Query Painter bzw. bei der Erstellung der Query aus den Zusatzfeldern (meistens recht weit unten) ebenfalls übernommen werden.

ABAP Coding

Gerade bei der Anlage von Zusatzfeldern mit Coding ist auch der Umgang mit ABAP hilfreich. Hier zeigt der Artikel "Syntaxhevorhebung im ABAP Editor durch neuen Frontend Editor (Quelltext-Modus)" ein in meinen Augen sehr hilfreiche Ergänzung des Editors. Gerade durch Syntaxhervorhebung dürfte dieses einige Erleichterungen anbieten. Das umfangreichste Beispiel für ABAP Coding bei Zusatzfeldern ist sicherlich die Artikelserie zur CO Einzelpostenliste mit Ergänzung der Stammdaten aus CO-Innenauftrag und PSM-FM Fond  die in folgenden Artikeln  beschrieben ist: "Query über COEP, AUFK und FMFINCODE für Einzelposten Istkosten Innnenauftrag mit Stammdaten aus CO und PSM-FM sowie Spalten für Ertrag und Aufwand - Erster Teil Infoset als Datengrundlage" (Definition eines Infoset mit entsprechenden Zusatzfeldern und Einbindung der Tabelle FMFINCODE als Zusatztabelle zu AUFK, ferner wird hier durch Coding aus der verantwortlichen Kostenstelle über eine Wenn-Funktion die zugeordnete Lehreinheit ermittelt).

 

5. Query anlegen (SQ01)

Rufen Sie zur Erstellung einer Query die Transaktion SQ01 auf. Ggf. sollten Sie in die passende Benutzergruppe über die Schaltfläche Bengruppe wechseln (Umsch+F7) wechseln und nun eine entsprechende Query anlegen. Beachten Sie hier, dass Sie auch hier im mandantenabhängigen Bereich arbeiten.
Nachdem Sie einen Namen für die Query gewählt haben und auf die Schaltfläche Anlegen gewechselt müssen SIe definieren, welches Infoset als Grundlage für die Query verwendet werden soll. Nun können Sie einen Titel für die Query sowie entsprechende Bemerkungen festlegen. Der einfachste Weg der Gestaltung ist nun der Wechsel über die Schaltfläche "Grundliste". Über die Grundliste können dann die anzuzeigenden Felder des Infosets ausgegeben werden. Sie können im Layoutdesign aus den einzelnen Feldgruppen die einzelnen Felder als Listenfelder (die werden in der Query dann ausgegeben) und Selektionsfelder (diese müssen beim Aufruf der Query gefüllt werden und stellen die Abfragekriterien dar). Über die Schaltfläche Testen kann die entsprechende Query gestestet werden.

Reihenfolge Selektionsfelder bei Query ändern

Nun erscheint auch direkt die Selektionsmaske der Query. Sofern Sie die Reihenfolge der Selektionsfelder später ändern möchten, ist dieses über SPRINGEN->FELDAUSWAHL->SELEKTIONEN durch die Spalte Nr. innerhalb der Transaktion SQ01 (Einstiegsbild) möglich, wodurch die Reihenfolge auf dem Selektionsbild durch Nummern zwischen 1 und 90 festgelegt werden. Hier kann es sinnvoll sein, in fünfer Schritten die Nummern festzulegen, so dass eine Umsortierung problemlos möglich ist.

Andernfalls kann die Grundliste gesichert und beim Verlassen der Query diese auch generiert werden. Sofern Sie als Ausgabeform SAP List Viewer gewählt haben (das ist im Standard der Fall) erhalten Sie beim Start der Query eine ALV Liste und können hier die üblichen Sortierungen, Filterungen oder auch Ausblendungen vornehmen.

6. Berichtszuordnung zu Query (Bericht-Bericht-Schnittstelle)

Je nach Auswertung kann es hilfreich sein auch direkt eine entsprechende Absprungtranssaktion zu definieren. Hierzu kann innerhalb der Pflege der Query über SPRINGEN->Berichtszuordnung über das +Zeile einfügen weiere Query eingefügt werden. Sinnvoller ist es hier oft statt einer Query über anderer Berichtstyp die Funktion TR Transaktion zu wählen. Somit können zu ausgewerteten Stammdaten (zum Beispiel einer Kreditoren-Stammdaten-Liste). entsprechende Bewegungsdaten oder weitere Informationen aufgerufen werden. Ein Beispiel ist hier im Artikel "Query über IBAN und Stammdaten Kreditor oder Debitor" beschrieben in der zu den Kreditoren auch gleichzeitig auf die Transaktion FBL1N für eine Einzelpostenliste gesprungen werden kann. Ein anderes Beispiel wäre der Aufruf einer Anlage mit der Transaktion AS03 oder die Pflegetransaktion von Stammdaten wie KS02 für Kostenstellen ändern.
Wichtig ist dabei, dass in der Grundliste auch alle notwendigen Felder für diesen Bericht mit ausgegeben werden, so dass diese mit übergegeben werden können. So wäre für die Beleganzeige (FB03) auch der Buchungskreis recht hilfreich :-)
 

7. Query um lokale Felder erweitern

Neben der reinen Auswertung von einzelnen Tabellenfeldern kann innerhalb der Query auch die Ergebnisse verarbeitet werden. Um einzelne Felder weiter zu bearbeiten können Sie über SPRINGEN->FELDAUSWAHL->FELDAUSWAHL über die Funktion BEARBEITEN->KURZBEZEICHNUNGEN ->EINSCHALTEN einzelne Felder eine Kurzbezeichnung zuordnen.

Diese Kurzbezeichnungen sind notwendig, da wir auf diese dann Bezug nehmen, wenn wir ein lokaes Feld mit einer Formel anlegen. Dieses geht über
BEARBEITEN->LOKALES FELD->ANLEGEN.
Dieses Lokale Feld wird dann in der Feldgruppe angelegt, in der wir uns gerade befinden. Elegant wäre es natürlich, wenn wir im Infoset eine entsprechende leere Feldgruppe definiert hätten, es geht aber auch ohne.

Für dieses Feld werden dann entsprechende Eigenschaften festgelegt und über eine Berechnungsvorschrift kann auf andere Felder Zugriff genommen werden.

7.1. Per Formel Teilstring aus Variablen auslösen in Query

Im Artikel "Query Stammdatenvergleich Profit-Center und Auslesen von Textbestandteilen (Teilstring aus Variable)" wird als Beispiel die Möglichkeit beschrieben bestimmte Textbestandteile aus einen Feld auszuwerten.

7.2. Ikonen / Ampelfunktionen abhängig vom Wert ausgeben in Query

Daneben gibt es die Möglichkeit über IKONE  eine Ampelfunktion für bestimmte Werte zu hinterlegen (Beispiele sind in den Artikeln "Query Stammdaten CO Kontrolle Verantwortliche" oder "Abgleich Belege in CO auf Profit-Center mit zeitabhängigen Stammdaten der Anlagenbuchhaltung bei Investitionen" zu finden).

7.3. Mehrere Datenfelder in Query summieren

Daneben können aber auch eche Berechnungen durchgeführt werden. Diese ist im Artikel "CO Planeinzelposten Objekt und Partnerobjekt auswerten / Mehrere Felder summieren" beschrieben. Alternativ sind natürlich auch andere Berechnungen (Prozent, Summen oder andere Berechnungen möglich.

7.4. Umgang mit Datum in Query

Der Umgang mit Datumsfeldern in SAP Query ist ein wenig komplizierter. Für einfache Berechnungen dürfte aber folgender Artikel eine gute Anlaufstelle bieten "Umgang mit lokalen Datumsfeldern in Queries". Sofern Sie komplexere Berechnungen (bspw. Abstand zwischen zwei Terminen) berechnen wollen werden Sie  jedoch nicht um die Verwendung eines Zusatzfeldes im Infoset und eines entsprechenden ABAP Codes herumkommen.

Hier wurde auf sap-community.de im Beitrag "Anzahl von Tagen zwischen 2 Daten" eine passende Lösung vorgestellt.

Hierzu werden beide zu vergleichenden Datumsfelder (DATUM1 und DATUM2) mit Type DATS als Variablen definiert und aus den jeweiligen Tabellen innerhalb des Infosets mit einer Wertzuweisung gefüllt.

Danach wird das Zielfeld (AbstandTage) als TYPE P definiert und über die Formel "ABSTANDTAGE = DATUM1 - DATUM2." errechnet. Damit wäre im Infoset auch ein entsprechende Berechnung mit Datumswerten möglich. Inwieweit dieses auch über eine Formel innerhalb der Query möglich ist bin ich mir nicht sicher, aber vielleicht hilft dieser Ansatz ja schon weiter. Hierbei könnte die Variable DATUM1 natürlich auch als SYDATUM definiert werden, so dass heir der Abstand zum aktuellen Systemdatum errechnet wird.

7.5. Zeichenkette eines Feldes nach einen Wert durchsuchen

Eine weitere Möglichkeit per Coding besteht auch in der Durchsuchung eines Feldes nach einen bestimmten Zeichen. Dieses ist auf sap-community.de im Beitrag " Query, Zeichenkette durchsuchen und Ausgabe als lokales Feld?" erläutert.

Hierzu wird folgendes Coding  im Zusatzfeld ZFELDSUCHE für das zu analysierenden Feld (im Beispiel PRUEFFELD)  nach Suchstring hinterlegt.

FIND 'SUCHSTRING' IN prueffeld.
IF sy-subrc = 0.
ZFELDSUCHE = 'J'.
ELSE.
ZFELDSUCHE = 'N'.
ENDIF.

Daneben sind natürlich noch viele andere Möglichkeiten dank ABAP Coding möglich, aber auch einfache Abfragen und Formeln dürften viel Auswertungsarbeit abnehmen.
 

8. Query und Infoset per Upload/Download transportieren

Hier gibt es in der Infosetpflege (Transaktion SQ02) die Möglichkeit der Nutzung eines SAP Query Transporttool. Hier können Benutzergruppen, Infoset, Infoset und Query aber auch nur Queries auf unterschiedliche Weise transportiert werden. Besonders interessant ist hierbei die Option des Download bzw. Upload als Transportvariante. In das SAP Query Transporttool gelangt man über die Transaktion SQ02 und hier über das "LKW" Symbol (Transporte STRG F5). Nun wir der Report RSAQR3TR gestartet und von hier kann ein Transport bzw. Download gestartet werden. Alternativ kann der Transport auch direkt über die Transaktion SA38 gestartet werden. Neben der Auswahl der Transportaktion Download für Export und Upload für Import kann im Abschnitt Transport von Infosets und Queries entsprechende Infosets und Query (auch per Mehrfachauswahl) selektiert werden. Hier gibt es keine Wertauswahlhilfe (F4), so dass hier die exakten Namen eingetragen werden müssen. Vorteilhaft ist hier eine sprechende Namenskonvention. Als Importoption lassen wir REPLACE stehen. Beachten Sie, dass auch die Zuordnung zu einer Benutzergruppe entsprechend hinterlegt ist, so dass diese ebenfalls im System in dem die Query importiert wird, festgehalten werden sollte.

Der Nachteil des Transport über Datei (Download/Upload) ist dass hier der Transport von Varianten von Queries ebenso wie Layout-Varianten nur beim Export/Import/Kopieren möglich ist. Durch Export und Import werden (im Gegensatz zum Download/Upload) keine Datei erzeugt sondern ein echter Transportauftrag. Die Funktion Kopieren ermöglicht es die Query vom Standardbereich in den globalen Bereich zu kopieren (und natürlich auch umgekehrt). Je nach Komplexität der einzelnen Varianten kann daher auch ein klassischer Transportauftrag statt Austausch per Datei hilfreich sein.
 

9. Selektionsvariante und Layoutvarianten

Wird eine Query ausgeführt kann bei der Selektion der notwendigen Daten (Selektionsbild) über "Als Variante sichern..." (Disketten/SpeichernSymbol in der zweiten Symbolleiste oder über Strg+S) die getroffene Auswahl (bspw. bestimmte Zeiträume oder Selektionen gespeichert werden. Hier habe ich mir angewohnt für immer wieder notwenige Datenfelder diese durch eine Variante mit der Bezeichnung ALLGEMEIN vorzubelegen. Diese Variante kann in der Pflege der Query (SQ01) beim Ändern im Einstiegsbild über Spezielle Atttribute als Standardvariante hinterlegt werden, so dass diese auch wenn keine Variante gewählt wurde automatisch mit ausgeführt wird. Ferner kann hier die Option "Ausführen nur mit Variante" gewählt werden, so dass auf jeden Fall eine Variante gewählt werden muss).

9.1. Geschützte Varianten (Selektion und Layout)

Ferner können Varianten auch geschützt werden, so dass in der Regel nur der Autor der Variante diese wieder ändern kann. Im Artikel "Geschützte Selektionsvarianten entsperren" ist allerdings eine Möglichkeit beschrieben diesen Schutz zu entfernen.

Daneben kann in der Ausgabeliste (ALV) der Query ebenfalls eine Layoutvariante erstellt werden, so dass bestimmte Zwischensummen gebildet oder einzelne Spalten ausgeblendet werden. Auch diese Layoutvariante könnte in der Variante zur Query fest hinterlegt werden.

9.2. SAP Query nur ausführen (Berechtigung)

Ein weiterer Aspekt wäre noch auf welche Weise die einzelnen Berichte den Infousern zur Verfügung gestellt werden. Unter 1.3. hatte ich schon darauf verwiesen, dass die Möglichkeit besteht für eine Query eine eigene Transaktion zur Verfügung zu stellen. Auf diese Weise muss die Query nicht über die Transaktion SQ00 (oder über die Transaktionen FQUS, FQUD oder FQUK in der Finanzbuchhaltung bzw. PQAH im HCM) ausgeführt werden sondern können auch im Menü zur Verfügung gestellt werden. Eine ausführlichere Beschreibung hierzu ist im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" zu finden. Dieses Thema ist ausführlicher auch im Artikel "Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen" behandelt worden.
 

10. Beispiele für Query

Bisher erstellte Query sind unter den Tag Query hier ebenso wie diese Einführung als Artikel zu finden. Daneben sind sowohl im Amazon Partnershop (siehe Onlineshop) als auch bei den Buchempfehlungen  einige Literaturempfehlungen zum Thema zu finden.

Insbesondere das Buch "Praxishandbuch SAP Query-Reporting (SAP PRESS) Von Stephan Kaleske, Karin Bädekerl, Heinz Forsthuber" ist hier sicherlich empfehlenswert.

Daneben bin ich aber auch von Martin Peto und Katrin Klewinghaus " Reporting im SAP-Finanzwesen: Standardberichte, SAP QuickViewer und SAP Query" begeistert und finde, dass sich beide sehr gut ergänzen. Gerade da Sie unterschiedliche Schwerpunkte setzen.

11. Ausführliche Literaturempfehlungen

Wie bereits erwähnt haben Martin Peto und Katrin Klewinghaus zum Thema SAP Query auch folgendes Buch geschrieben.

Reporting im SAP - Finanzwesen
Themen sind unter anderen
  • SAP-Informationssysteme im Überblick
  • Standard-Reporting mit SAP List Viewer (ALV)
  • Einsatzmöglichkeiten und Grenzen des SAP QuickViewers
  • Aufbau von SAP Queries mit Praxisbeispiel

Sollte sich noch jemand für das angesprochene Buch interessieren, so ist dieses auch auf meiner Unterseite zum Buch  "Reporting im SAP-Finanzwesen: Standardberichte, SAP QuickViewer und SAP Query" beschrieben und kann hier auch bestellt werden.

Daneben kann ich aber auch das Buch von Stephan Kaleske (bzw. in der neuen Auflage auch von Karin Bädekerl, Heinz Forsthuber empfehlen.

Praxishandbuch SAP Query-Reporting

ISBN: 978-3836218405 *

Eine ausführlichere Beschreibung dieses Buch ist auf der Seite "Praxishandbuch SAP Query-Reporting" zu finden.

Auch von mir selbst wird das Thema in meinem Buch »Berichtswesen im SAP®-Controlling« behandelt.

Berichtswesen in SAP Controlling

ISBN: 978-3960127406 *

Eine ausführliche Beschreibung ist unter Buchempfehlungen unter Berichtswesen im SAP®-Controlling (SAP Modul CO; internes Berichtswesen) zu finden.
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Sonntag, 3. Februar 2013
16:19 Uhr

SAP Query: Berechtigung (organisatorisch und technisch)

Ausgangslage
Neben der Gestaltung von SAP Query besteht oftmals auch eine Frage in welcher Form diese dann in die Breite gegeben werden soll. Hier sollte neben der Frage der Gestaltung solcher Abfragen auch darauf geachtet werden, in welcher Form diese dann an "berechtigte" Empfänger weiter gegeben werden soll.

Eine Möglichkeit wäre es eine kundeneigene Transaktion für die Query anzulegen. Am elegantesten wäre hier vermutlich die Parametertransaktion, so dass auch entsprechende Felder vorbelegt sind.

Diese Methode ist sicherlich für einzelne Auswertungen sicherlich sehr hilfreich, sofern aber bspw. in Teilbereichen Queries genutzt werden sollen, muss auch eine Frage der Berechtigungen gestellt werden.


Hier gibt es, meines Wissens nach, drei Methoden, die sicherlich sehr hilfreich sind:

a) einfache Methode: Benutzergruppen

Über die Transaktion SQ03 werden Benutzergruppen gepflegt, die sowohl Infosets als auch Queries zuzuordnen sind. Somit können Benutzer entsprechenden Gruppen zugeordnet werden und diese dann auf bestimmte Queries bzw. Infosets zugreifen können.

Eine Pflege dieser Gruppen kann über Benutzerparameter gesteuert werden, so dass auf eine sehr bequeme Weise über die Transaktion SQ01 oder auch FQ01 nur die SAP Query angezeigt werden, für die die Personen auch berechtigt sind.

  • Vorteil:

  • Leichte Pflegbarkeit
  • "Zwang" zur Organisation und Strukturiereung der Benutzergruppen

  • Nachteil:

  • Dokumentationsaufwand
  • Nachvollziehbarkeit / Klärung der Zuständigkeiten zur Pflege von Benutzergruppen


  •  
b) mittlere Methode: Berechtigungsgruppen

Bei der Pflege von Infosets können im Feld Berechtigungsgruppe angegeben werden. Dieses Feld ermöglicht auf acht Stellen einen entsprechenden Wert einzutragen, der im Benutzerstamm über das Berechtigungsobjekt S_PROGRAMM gepflegt werden kann und im lokalen Berechtigungskonzept hinterlegt werden kann.

  • Vorteil

  • Berücksichtigung innerhalb des Berechtigungskonzept
  • Konzeptionierung anhand der Berechtigungsgruppen

  • Nachteil

  • Disziplin bei Berechtigungspflege
  • Genaues Namenskonzept und ggf. Dokumentation


  •  
c) ABAP Berechtigungsprüfung

Sofern innerhalb einer Query logische Datenbanken genutzt werden sind hier schon entsprechende Berechtigungsprüfungen hinterlegt.

Zum Aufruf von Infosets, die bspw. über Joins miteinander verknüpft werden, sind nur Prüfungen vorhanden, ob generell die dahinter liegende Tabellen gelesen werden dürfen aber keine differenziertere Betrachtung auf die einzelnen Datensätze betrachtet werden.

Hier kann innerhalb der Infosetpflege über das Menü
Springen->
Abgrenzungen->
ein Abgrenzungsparameter hinterlegt werden.

Hier kann dann bspw. über das Feld AUFK-AUFNR die Auftragsnummer als Selektionskriterium hinterlegt werden.

Ist eine solche Abgrenzung definiert, so ist auch beim Anlegen einer Query automatisch dieses Feld als Selektionsfeld mit definiert.

Über den Button "Prüfcoding zum Element" kann nun ein entsprechendes Abap-Coding hinterlegt werden. Hier kann eine Berechtigungsprüfung über "Authority-Check" durchgeführt werden.

Hier würde sich dann das Berechtigungsobjekt K_ORDER anbieten, in dem die Berechtigung für Innenaufträge hinterlegt sind.

Nähere Infos liefert hierzu der OSS Hinweis 692502.

Hier sollte jedoch beachtet werden, dass dort dann auch ein entsprechender ABAP-Schlüssel auch erforderlich ist.

  • Vorteil

  • Sehr differenzierte Berechtigungsprüfung
  • Genaue Prüfung der innerhalb der Tabellen vorhandenen Datensätze

  • Nachteil

  • ABAP Coding erforderlich
  • Entwicklerschlüssel
  • Tiefe Kenntnisse im Bereich SAP-BC und den einzelnen Berechtigungsobjekte der Module


  •  

Fazit:
Je nach Einsatzzweck der SAP Query haben alle Methoden ihre Vorteile und entsprechende Nachteile. Hier sollte insbesondere auf die lokalen organisatorischen Gegegbenheiten geachtet werden und das Thema Berechtigung und Datenschutz nicht ausser acht gelassen werden. Ein wichtiges Thema ist hier generell beim Thema SAP Query auch ein Punkt der Dokumentation und Verbindlichkeit.

Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 16. September 2008
08:01 Uhr

Berechtigung für Tabellenansicht

Zum Anzeigen einer Tabelle wird die Auswertungstransaktion (sei es über einen Query oder über SE16 DataBrowser) und die Tabellenansichtberechtigung über das Berechtigungsobjekt S_TABU_DIS geprüft. Hierbei wird im Berechtigungsfeld Aktivität 03 (=Ansicht) und eine der Tabelle zugeordneten Berechtigungsgruppe geprüft.

Die Zuordnung von Tabellen zu Berechtigungsgruppen erfolgt mandantenunabhängig über die Transaktion SE54.

Hier kann auch über die Berechtigungsgruppe oder die Tabelle nach den entsprechenden Werten gesucht werden. So ist bspw. die Tabelle GLPCA der Berechtigungsgruppe KA (=CO:Anwendungstabelle) zugewiesen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 4. September 2008
16:48 Uhr

SAP PSM: Mittelbindung Finanzposition nicht vorhanden.

Ausgangslage:

Beim Anlegen einer Mittelbindung im PSM erscheint die Fehlermeldung "Finanzposition für den Buchungskreis nicht vorhanden", obgleich FMDERIVE eine Zuordnung Sachkonto zu Finanzposition liefert.

Lösung:

Werden im Bereich der Sachkonten Berechtigungsgruppen verwandt erfolgt eine Prüfung auf diese Berechtigungsgruppe nicht nur beim Buchen von Rechnungen sondern auch bei Mittelbindungen.

Die Transaktion FMZ1 (Mittelbindung anlegen) würde hier beim Anlegen einer Mittelbindung auf ein Sachkonto das Berechtigungsobjekt "F_SKA1_BES" auf die Aktivität 03 (Anzeigen) prüfen.

Eine Ergänzung der Rolle der Mittelbindung um das Berechtigungsobjekt F_SKA1_BES mit 03 sollte das Problem beheben.

Auf diese Weise ist es dann auch möglich eine differenzierte Berechtigungen auf bestimmte Sachkonten für die Mittelbindung zu vergeben.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 18. Februar 2008
09:32 Uhr

SAP BC: Rollenmenüs ausgeben.

Der Report "PRGN_PRINT_AGR_MENU" (Transaktion SE38) ermöglicht das Drucken von Rollenmenüs. Diese Menüs werden als Benutzermenüs in den Rollen / Aktivitätsgruppen festgelegt (Transaktion PFCG) und kumuliert als Benutzermenü festgelegt.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 18. Januar 2008
10:17 Uhr

SAP BC: Kreditor/Debitor Berechtigungen

Sollen nur bestimmte Kreditoren / Debitorendaten ausgewertet werden können hier ebenfalls bei Kreditoren unter Allgemeine Daten / Steuerung (Kontosteuerung) im Feld Berechtigung bzw. bei Debitoren unter Steuerungsdaten ebenfalls im Feld Berechtigung eine Berechtigungsgruppe eingepflegt werden.

Über die Berechtigungsobjekte:

Debitoren:
F_BKPF_BED
F_KNA1_BED

Kreditoren:
F_BKPF_BEK
F_LFA1_BEK

können dann Aktivitäten zugewiesen werden.

Zu Beachten ist hierbei, dass bei einer evtl. Auswertung eines Debitorernbeleges dann die Buchungszeile des Debitor nich angezeigt wird (BS 01).

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 18. Januar 2008
10:05 Uhr

SAP BC: Personalkontenberechtigungen

Sollen Infouser innerhalb Fachabteilungen nur bestimmte Konten auswerten können, kann es sinnvoll sein hier Berechtigungsgruppen für bestimmte Konten zu verwenden.

Hier kann in Sachkonten unter Steuerungsdaten eine Berechtigungsgruppe zugewiesen werden. Dieses Feld ist frei definierbar.

Über die Berechtigungsobjekte F_SKA1_BES und F_BKPF_BES können Aktivitäten in Verbindung mit den Berechtigungsgruppen zugewiesen werden (bspw. Aktivität 03 Anzeige).

ACHTUNG:

Wird das Modul Public Sector Management (ehemals FM bzw. PSM) eingesetzt. Ist eine solche Berechtigungsgruppe auch bei den Finanzpositionen (Kontierungsobjekt analog der Sachkonten) einzutragen.

Die Berechtigungen werden in PSM über die Berechtigungsobjekte

F_FICA_FPG
und
F_FICA_TRG

zu pflegen. Alternativ könnte man über das Berechtigungsobjekte

F_FICB_FPS
und
F_FICA_FTR

auch einzelne Finanzpositionen innerhalb des Berechtigungsfeldes FM_FIPOS für eine Auswertung im Haushaltsmanagement einstellen.

Eine Verwendung von Berechtigungsgruppen bei Finanzpositionen würde jedoch eine einfachere Datenpflege ermöglichen.

Die Berechtigungsgruppen könnten auch für Finanzstellen und Fonds genutzt werden, jedoch ist hier oftmals eine direkte Zuweisung der betroffenen Fonds und Finanzstellen übersichtlicher und dokumentationstechnisch genauer.

Eine andere Alternative ist die Berechtigungssteuerung von Personalkostenbuchungen anhand der Belegarten (siehe Artikel Belegartberechtigung F_BKPF_BLA. Dieses ist auch ein wenig flexibler als die reine Steuerung über Sachkonten.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 17. Januar 2008
11:59 Uhr

SAP BC: Benutzerpuffer leeren

Problem:
Gibt es eine Möglichkeit den Benutzerpuffer zu aktualisieren ohne das sich der User neu anmelden muß? Hintergrund: Ich möchte den Usern eine Neuanmeldung ersparen nachdem ich Feuerwehr spielen und Berechtigungsänderungen vornehmen mußte.


Lösung:
Bezüglich des Benutzerpuffers kann der OSS Hinweis 452904 und 537001 als Grundlage genutzt werden. Hier kann wohl über den Parameter auth/new_buffering = 4 folgende Änderung des SAP Systemverhaltens provoziert werden.

"Das neue Verhalten bedeutet: nach der Profilgenerierung oder dem Import werden die Berechtigungen aller Benutzer (in Tabelle usrbf2) sofort nach den Änderungen der Tabellen usr12 und ust12 neu berechnet und ggf. aktualisiert. Eine Aktualisierung wie bisher bei der Neuanmeldung findet nicht mehr statt."


Nachtrag:

Durch den Kommentar von Alfredo bin ich noch auf eine andere Alternative aufmerksam gemacht worden.

Über den Funktionsbaustein "SUSR_USER_BUFFER_AFTER_CHANGE" werden, (durch löschen der Einträge in der Tabelle USRBF "Benutzerpufferinhalt fuer schnelle RFC-Anmeldung") alle Benutzerpuffer zurueckgesetzt. Dieser Funktionsbaustein kann entweder innerhalb eines ABAP Programms (wie vorgeschlagen) oder über die Transaktion SE37 aufgerufen werden.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 4. Juni 2007
20:37 Uhr

SBWP: Berechtigungen Allgemeine Ablage

Innerhalb des Sap Business Workplace (Transaktion SBWP) gibt es die Möglichkeit der Anzeigeberechtigung von Dokumentenmappen.

Normalerweise ist hier der Mappenzugriff auf Mandantenebene freigegeben. Es ist jedoch möglich diese Berechtigungen auf Gruppenebene und damit für jeden einzelnen Benutzer ändern zu lassen.

Hierzu muss der Mappenbereich auf Gruppe umgestellt werden und innerhalb
des Register Berechtigungen die Benutzer (SAP User) einzeln mit entsprechender Berechtigung eingetragen werden. Für bestehende Mappen müssten von unten nach oben die Tochtermappen bis hin zur Muttermappe angepasst werden.

Als Berechtigungsausprägung sind folgende Varianten möglich:
  • Mappe und Dokumente anzeigen
  • Dokumente in der Mappe ändern
sowie
  • Mappe und Dokumente ändern.

Berechtigungsobjekte im Zusammenhang zum SAP  Business Workplace (SBWP)

Beachten Sie jedoch, dass Benutzer, die Administrationsberechtigung haben (Berechtigungsobjekt  S_OC_ROLE in der Regel mit * ausgeprägt) jede Mappe einsehen und bearbeiten können. Durch die Administrationsrechte ist es möglich alle Mappen in der Allgemeinen Ablage angezeigt zu bekommen inklusive jener für die keine Berechtigung in der Gruppenmappe zugewiesen wurde.

Weitere relevante Berechtigungsobjekte (abseits der oben erwähnten Administratorberechtigung) sind:
  • S_OC_TCD: Berechtigung für die Transaktionen
Transaktionscodes der Anwendungsfunktionen des Sende-, Ablage- und Bürobereichs auch diese kann ebenso wie die Administratorfunktion mit * ausgeprägt werden
  • S_OC_FOLCR: Berechtigung zum Anlegen allgemeiner Mappen
Hier kann über das Berechtigungsfeld Section sowohl für G = Gruppenmappe als auch M = Mandantenmappe ein Wert zugewiesen werden
  • S_OC_SEND: Berechtigung zum Senden
Hier können verschiedene AKtivitäten gewählt werden (bspw. INT über Internet, FAX, ...) und auch die Empfängeranzahl festgelegt werden
  • S_OC_DOC: Berechtigung zum Archivieren und An neuen Empfänger senden
Von der Konzeption her kann in der Allgemeinen Mappe für alle zugängige Dokumente hinterlegt werden und für einzelne Abteilungen (oder Projekte) als Gruppenmappen geschützte Arbeitsbereiche erstellt werden.

Ordnerstruktur (Unterschied Mandanten- Gruppenmappe)

Für eine Hochschule könnten die Mappen wie folgt aufgebaut sein.
Unterhalb der Allgemeinen Ablage könnten folgende Unterordner angelegt werden.
  • Schwarzes Brett
In dieser "Mandatenmappe" können alle SAP User Dokumente anzeigen, anlegen und ändern. Diese Mappe dient den übergreifenden Austausch.
  • Allgemeine Informationen der Haushaltsabteilung
In dieser Mappe liegen Dokumente die von allen Beschäftigten gelesen aber nur durch die Beschäftigten in der Haushaltsabteilung angelegt oder geändert werden dürfen.
  • Allgemeine Informationen der Personalabteilung
Ebenso ist diese "Mandantenmappe" als Information seitnes der Projekte zu sehen.


Als Gruppenmappen können dann für jeden Fachbereich eine eigene Mappe angelegt werden. Auf diese Mappe dürfen nur Beschäftigte aus den Fachbereich zugreifen und dient so zum Beispiel als Austauschort für Dokumente, die ausschliesslich für diesen Bereich / Abteilung oder auch Projekt gedacht sind.

Selbstverständlich können die einzelnen Mappen dann auch wieder Untermappen haben, so dass es sinnvoll ist sich hier gemeinsam mit den einzelnen Beschäftigten abzustimmen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 12. März 2007
22:01 Uhr

Auswertungen SAP Benutzeradministration

Im Bereich der Benutzerverwaltung können innerhalb einer Auswertung folgende ABAP-Reports interessant sein.

RSUSR008_009_NEW
Liste der Benutzer mit kritischen Berechtigungen incl. Vorschlagswerte SAP
RSUSR005
Listet alle Benutzer mit kritischen Berechtigungen.
RSUSR100
Änderungsbelege für Benutzer

Eine weitere hilfreiche Transaktion kann hier noch das Benutzerinformationssystem (Transaktion SUIM) sein. Auch hier sind Auswertungen innerhalb der Berechtigungen eines SAP Systemes möglich.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 7. Juli 2006
11:57 Uhr

Zugang SAP System mit SAP*

Sofern der (hoffentlich gesperrte) Benutzer SAP* nicht mehr als Benutzer im System vorhanden ist, bzw. in der Tabelle "usr02" gelöscht wurde, ist es prinzipiel möglich sich mit SAP* (incl. Standardpasswort PASS) anzumelden, da SAP diesen Benutzer systemseitig mit weitreichenden Rechten aussteuert und somit ein Gesamtzugriff im SAP System möglich ist.

Innerhalb des Systemprofils "DEFAULT.PFL" kann diese Schwachstelle über den Parameter login/no_automatic_user_sapstar durch einen Wert größer als Null abgeschaltet werden. Dann ist eine Anmeldung nur noch möglich, wenn auch SAP* als Benutzerstammsatz existiert.

Wird dieser Parameter im Instanz-Profil gepflegt kann damit auch explizit für einen einzelnen Appl.Server umgeschaltet
werden.

Grds. sollte der Benutzer SAP* ohne Rechte in jeden Mandanten angelegt und als nicht aktiver Nutzer angelegt sein. Ferner sollte er (um versehentliche Löschung zu vermeiden) der Benutzergruppe SUPER angehören.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 5. Juli 2006
13:17 Uhr

BSI: IT Grundschutzhandbuch + SAP

Das Bundesamt für Sicherheit in der Informationstechnik hat im Rahmen des IT Grundschutzhandbuches eine Vorabversion des Kapitel B 5.13 SAP inklusive aller zugehörigen Maßnahmen und Gefährdungen zur allgemeinen Diskussion ins Netz gestellt.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 26. Juni 2006
07:35 Uhr

Berechtigung auf Benutzergruppen

Sollen innerhalb der Basisadministration unterschiedliche Berechtigungen auf die einzelnen SAP Benutzer vergeben werden kann die Berechtigung auf die einzelnen Benutzer über Benutzergruppen gesteuert werden.

Die Zuordnung und Pflege von Benutzergruppen erfolgt über die Transaktion SUGR.

Verwendet wird hier das Berechtigungsobjekt S_USER_GRP. Als Aktivität können hier neben Änderungen auch die Anzeige gesteuert werden. Wenn ein Benutzer keiner Benutzergruppe zugeordnet ist, kann dieser von jeden Administrator gepflegt werden.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 21. Juni 2006
09:57 Uhr

Belegartberechtigung F_BKPF_BLA

Jeder Buchhaltungsbeleg wird innerhalb der Finanzbuchhaltung einer Belegart zugeordnet . Innerhalb des Customizing Grundeinstellung Finanzbuchhaltung
- Beleg
- Belegkopf
- Belegarten definieren (Transaktion OBA7)

lassen sich durch Tabellenpflege die Belegarten einer Berechtigungsgruppe zuweisen. Die Bezeichnung der Berechtigungsgruppe ist frei definierbar und kann innerhalb des Berechtigungsobjektes F_BKPF_BLA eingepflegt werden.

Allerdings sollte hier berücksichtigt werden, dass dieses Berechtigungsobjekt nicht mit * ausgeprägt ist. Eine Möglichkeit ist hier sensible Belege mit Nummerncodes (333) zu versehen und normale Belege mit alphanumerischer Bezeichnung (A007).

In der Berechtigungspflege können hier auch Intervalle eingetragen werden.

So ist es auch möglich die Berechtigungsgruppe x auszuschliessen durch Zuweisung des Intervalls a bis w* und y bis z* sowie 0 bis 9*.

Nachtrag: Berechtigungsgruppe bei Belegarten

Den Hinweis von Felix (siehe Kommentar unten) aufgreifend möchte ich noch ein paar weiter gehende Informationen zum Nomenklaturvorschlag erwähnen:

Die einzelnen Belegarten sind je nach Nebenbuchhaltung zweistellig (bspw. KR für Kreditorenrechnung, AA für Anlagenbuchhaltung, ...). Innerhalb des Pflegekatalogs (Transaktion OBA7) kann nun direkt eine dieser Belegarten per Doppelklick aufgerufen werden und das Feld Berechtigungsgruppe gefüllt werden.

Für die Pflege der Berechtigungsgruppe wird in den Eigenschaften der Belegart eine Berechtigungsgruppe angegeben. Auf Datenbanktabellenebene entspricht dieses dem Feld BRGRU innerhalb des View V_T003 (bzw. der dahinter liegenden Tabelle T003). Dieses Feld ist von der Länge 4 und Datentyp CHAR, so dass hier bis zu vier Zeichen als Berechtigungsgruppe verwendet werden können. Dieses nutzt auch das obige Beispiel durch eine Kombination von Buchstaben und Zeichen. Ferner werden an dieser Stelle auch die entsprechenden Belegnummernkreise der einzelnen Belegarten festgelegt, so dass auch hier ein Blick in die Pflege von Interesse sein kann.

Ergänzend dazu kann auch eine Berechtigungssteuerung in der Kreditoren- / Debitorenrechnung interessant sein. Diese ist im Artikel "SAP BC: Kreditor/Debitor Berechtigungen" beschrieben.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 14. Februar 2006
14:51 Uhr

Infotypberechtigung anhand Personalteilbereiche

Ausgangslage:
Im Rahmen der negativen Zeitwirtschaft sollen über die Transaktion PA61 die Infotypen 2001 und 2006 für die Urlaubspflege gefüllt werden. Von den Berechtigungen her kann ich das Berechtigungsobjekt P_ORIGIN verwenden und bis auf die Personalbereiche eine Pflege erlauben.


Problem:
Nun würden wir jedoch gerne die Berechtigungsprüfung auf Personalteilbereiche erweitern. Leider ist auf den ersten Blick eine Berechtigungssteuerung hier nicht möglich.
Alternativ könnte man über das Berechtigungsfeld VDSK1 "Organisationsschlüßel" eine Berechtigung über die Organisationseinheiten pflegen. Problematisch ist in unseren Fall, dass wir Planstellen einer Organisationseinheiten an unterschiedlichen Standorten haben. Eine Aufteilung des Personal erfolgt hierbei über den Personalteilbereich. Nun ist es gewünscht, dass Mitarbeiter vom Standort 2 auch ausschließlich die Zeitdatenpflege für Standort2 nicht jedoch für Standort1 machen. Eine Aufteilung der Mitarbeiter erfolgt hierbei auf kleinster Ebene innerhalb der Personalteilbereiche.


Lösung:

a) Merkmalpflege

Über die Merkmalpflege PE03 läßt sich das Merkmal "VDSK1 Organisationsschlüssel" durch Customizing unabhängig von der Zuordnung im OM pflegen.

Über das Teilobjekt Struktur läßt sich ein "Feldname für Rückgabewert" zuweisen. Diese Feldnamen kann unter anderen auch BTRTL für Personalteilbereich sein.

Durch die Übergabeart 1 wird das Feld übergeben.

Weitere Felder sind:
BUKRS Buchungskreis
WERKS Personalbereich
BTRTL Personalteilbereich
PERSG Mitarbeitergruppe
PERSK Mitarbeiterkreis
MOLGA Ländergruppierung

Laut Dokumentation lassen sich hier auch weitere Felder eintragen lassen.
"Das hier anzugebende Feld muß ein Tabellen- oder Strukturfeld sein und
in der Form Tabellenname-Feldname angegeben werden."


b) Aktivierung Berechtigungsobjekt

Die zweite Alternative wäre die Aktivierung eines benutzereigenen Berechtigungsobjektes.
Hier würde sich das Berechtigungsobjekt "P_NNNN" anbieten. Dieses muß aktiviert werden. Hier können dann die für die Berechtigung relevanten Felder selbst ausgesucht werden. Dieses könnten dann bspw. Infotyp, Subtyp, Personalbereich und die Zugriffsart sein.

Das Berechtigungsobjekt muß konfiguriert und per Report aktiviert werden.
Danach kann man es in Rollen oder Profile aufnehmen.

Die Aktivierung des Berechtigungsobjektes erfolgt im Customizing. Die Aktivierung erfolgt über den Berechtigungshauptschalter mittels der Transaktion OOAC bzw. im Customizing unter:

Personaladministration->
Werkzeuge->
Berechtigungsverwaltung->
Berechtigungshauptschalter.

Wenn Sie ein kundeneigenes Berechtigungsobjekt (P_PNNNN) verwenden,
müssen Sie dieses in der Transaktion Ber. Objekt-Prüf. unter Transaktionen (SU24) analog zu den Objekten HR: Stammdaten (P_ORGIN), HR: Stammdaten - erweiterte Prüfung (P_ORGXX) und HR: Stammdaten - Personalnummernprüfung (P_PERNR) pflegen.

Kritisch kann es hierbei sein, daß eine solche Änderung mandantenübergreifend erfolgen kann.


Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 27. Oktober 2005
14:34 Uhr

Berechtigungsprüfung SAP User

Neben ST01 (siehe Artikel Anleitung Berechtigungstrace über ST01 , Profilgenerator und das Berechtigungsinformationssystem (Transaktion SUIM ) gibt es auch noch andere Transaktionen die in der Berechtigungsprüfung sehr hilfreich sind.

SU53 liefert alle standardmaessig geprüften Berechtigungsobjekte (mit Worten) für einen Vorgang innerhalb SAP,

SU56 liefert aus den Benutzerpuffer alle zur Zeit vergebenen Berechtigungsobjekte.

Das Layout der Berechtigungsübersicht läßt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungsobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Beide Transaktionen können bei der täglichen Arbeit im Bereich des Berechtigungswesen sehr hilfreich sein und sollten daher in einer allen zugeordneten Aktivitätsgruppe/Rolle zugewiesen sein.

Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" sind die Grundlagen zur Berechtigungsprüfung ebenfalls zusammengefasst.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 18. Oktober 2005
16:09 Uhr

Anzeigeberechtigung SAP Customizing

Sie haben folgende Möglichkeiten:

- um eine Rolle für ein IMG Projekt mit dem PFCG zu erstelllen:

Rolle auswählen > Reiter Menü > Hilfsmittel > Customizing Berecht.
(Siehe auch Authorizations Made Easy Guide 6-38, Hinweis 93769)

- Sie können auch Templates wie zB SAP_BC_CUS_CUSTOMIZER_AG
ihren Bedürfnissen anpassen.

- siehe auch Hinweise:

# 167466 IMG-Berechtigungen mit dem Profilgenerator zu 4.5
# 93769 Zusatzdokumentation zum Berechtigungskonzept
# 46546 Anzeigeberechtigung fuer Aktivitaeten im IMG


Quelle: SAP Forum dvdozenten.de.

Eine ausführlichere Diskussion findet sich hier.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 19. September 2005
12:55 Uhr

Anzeigeberechtigung SAP Customizing mit SPRO_Admin

Für Anzeigeberechtigung im Customizing kannst Du Dir eigene Rollen
erstellen.

In der SPRO_ADMIN (Transaktion zur "Customizing - Projektverwaltung" bzw. ABAP Report SAPLS_IMG_TOOL_5)  erstellst Du Dir zuerst Sichten aus dem IMG ( Referenz-
oder Bereich IMG )

Dann legst Du in der PFCG eine oder mehrere Rollen an.

In der( den ) Rollen gehst Du in den Tabstrip "Menü" nicht Berechtigung, und
wählst im Menü folgenden Eintrag:

"HILFSMITTEL --> CUSTOMIZING BERECHTIGUNG --> HINZUFÜGEN"

Dann wählst Du die eben erstellte Sicht aus.

Die PFCG stellt Dir dann alle TA's aus der Sicht in das Benutzermenü.
diese Aktion kann sehr lange dauern.

Im Tabstrip "BERECHTIGUNG" pflegst Du dann ganz normal die Rolle (
Aktivitäten auf 03 lesen ),
und generierst anschliessend die Profile.

Wichtig ist das Ber,. Obj. "S_TABU_DIS" ( Tabellenpflege ) Aktivität 03 -
Lesen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 15. August 2005
13:27 Uhr

Keine Hierarchieanzeige für Kostenstellen

Beim Start der Kostenstellenhierarchie erscheint die Fehlermeldung 2A252 "Sie haben keine Planvariante eingegeben".

Hierbei fehlt ein Berechtigungsobjekt aus dem HR Bereich. Das Berechtigungsobjekt PLOG wird zu Personalplanungsdaten verwendet.

Als Infotyp sollte hier "1001" für Verknüpfungen und als Objekttypen die Objekte aus dem Bereich Controlling (K/Kostenstelle, KG/Kostenstellengruppe, PC/Profitcenter, PG/Geschäftsprozeßgruppe, PH/Profit-Center-Gruppe, PR/Geschäftsprozeß) freigegeben werden.

Für den Planstatus kann aktiv (1) eingetragen werden.

Als Subtypen sollten die Verknüpfungsarten (A003/gehört zu, B003/umfaßt) eingetragen sein.

Um eine reine Ansicht zu ermöglichen sollte hier der Funktionscode DISP gewählt sein.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 29. Juni 2005
11:35 Uhr

Aktivitätsgruppen nach Transaktion durchsuchen

Innerhalb des Benutzerinformationssystem (Transaktion SUIM) kann man Aktivitätsgruppen nach komplexen Suchkriterien durchsuchen.

Hierbei steht unter S_BCE_68001420 eine Suche nach Transaktionszuordnung zur Verfügung. Diese ermöglicht eine Durchsuchung des Benutzermenüs der Aktivitätsgruppe/Rolle.

Teilweise sind aber Transaktionen auch ausserhalb eines Benutzermenüs einer Aktivitätsgruppe zugeordnet.

Durch die Suche nach Berechtigungswerten
S_BCE_68001423 kann nach den Berechtigungsobjekt "S_TCODE" und durch Eingabe des Berechtigungswertes nach der Transaktion gesucht werden. Für den Bereich HCM sollte hier jedoch auch das Berechtigungsobjekt "P_TCODE" mit durchsucht werden, da teilweise auch hier entsprechende Berechtigungen geprüft werden.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 14. April 2005
09:42 Uhr

Transaktion taucht nicht im Benutzermenü auf

Ein merkwürdiges Verhalten ist mir gerade innerhalb von Benutzermenüs von Aktivitätsgruppen aufgefallen.

Ist eine Transaktion in einem selbst angelegten Menüpfad vergeben (bspw. Aufruf der Bilanz innerhalb der Berichte des Anlagenbuchhalters und innerhalb der Funktionen der Bilanzbuchhaltung) so wird diese Transaktion nur in der zuerst genutzten Aktivitätsgruppe, bzw. deren Benutzermenü übernommen.


Lösung:

identischer Menübaum für identische Funktionen

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 7. Dezember 2004
07:46 Uhr

Berechtigungsobjekte zu einer TAN

Um die zu einer Transaktion zugehörigen Berechtigungsobjekte anzeigen zu lassen hilft die Transaktion SU24 weiter.

Hier können die einzelnen Transaktionscodes angebenen werden (einzeln oder im Intervall)

Es erscheint eine Liste mit den angegebenen Transaktionscodes von denen nach Markierung durch Berechtigungsobjekte->Anzeigen, die zugehörigen Berechtigungsobjekte angezeigt werden können.

ACHTUNG: Hierbei wird Bezug auf die Standardvorgaben genommen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 9. November 2004
11:39 Uhr

Anleitung Berechtigungstrace über ST01

Zur Überprüfung von notwendigen Berechtigungen hinter einer Transaktion oder eines Vorganges innerhalb SAP gibt es die Möglichkeit des Berechtigungstrace.

Der Berechtigungstrace findet im Rahmen des Systemtrace statt: Transaktion ST01 -> Schalter editieren... -> Button 'Berechtigungsprüfung' anklicken -> 'allgemeine Filter' anklicken und im folgenden Popup den eigenen Benutzernamen eintragen -> Zurück -> 'Schreib-Optionen' anklicken und 'Trace auf Platte schreiben' anklicken -> Zurück -> Trace-Schalter -> Editor sichern in -> In laufendes System;

Nun können beliebig Transaktion durchgespielt werden.

Wenn der Trace ausgewertet werden soll, dann gehen Sie wieder in die Transaktion ST01 und wählen Sie -> Sofort Trace stoppen -> Trace-Dateien -> Optionen auswählen... -> Nur 'Trace für Berechtigungsprüfungen' anklicken und unter 'Benutzer' den eigenen Namen angeben -> So Nehmen -> Trace-Dateien -> Liste der Traces -> Doppelklick auf die angezeigte Tracedatei zeigt eine Liste mit allen geprüften Ber.objekten mit Werten.

Nachtrag August 2013

Eine aktuelle Alternative dazu ist die Transaktion SAUTHTRACE, die ihren Schwerpunkt auf Berechtigungsprüfung legt und damit eine interessante Alternative zum Berechtigungstrace über die Transaktion ST01 bietet.

Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.

Nachtrag September 2015:
Im Exxsense Developer Blog wird im Artikel  "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.


Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" sind die Grundlagen zur Berechtigungsprüfung ebenfalls zusammengefasst.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 16. Juli 2004
13:10 Uhr

Aktivitätsgruppen: Orgaebenen

Bei der Anlage von Aktivitätsgruppen ist zu beachten, dass über die Orgaebene allgemeine Feldwerte gepflegt werden können.

Die individuelle Pflege hat hier ganz entscheidende Nachteile.

Diese wären:
- Die Wertepflege über das Dialogfeld "Orgaebene festlegen verändert den Wert nicht mehr".
- Bei der Anpassung abgeleiteter Rollen wird der Berechtigungswert überschrieben.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Hinauf




Werbung


Logo Andreas-Unkelbach.de
© 2004 - 2017 Andreas Unkelbach
Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter Google+

»Schnelleinstieg ins SAP Controlling (CO)« und »Berichtswesen im SAP ® ERP Controlling«
Privates

Kaffeekasse 📖 Wunschliste