Andreas Unkelbach
Logo Andreas Unkelbach Blog

Andreas Unkelbach Blog

ISSN 2701-6242

Artikel über Controlling und Berichtswesen mit SAP, insbesondere im Bereich des Hochschulcontrolling, aber auch zu anderen oft it-nahen Themen.


Artikel zum Stichwort Berechtigung

Alle folgende Artikel sind unter den angegeben Stichwort (TAG) einsortiert. Sollte der gesuchte Artikel nicht dabei sein kann hier auch die Artikelsuche weiter helfen.

Oft sind aber auch die aktuellen Artikel in der jeweiligen Kategorie im Menü interessant.
SAP Fachliteratur ist unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.

Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/



Samstag, 19. August 2023
14:17 Uhr

Umstellung Reporttranskationen auf Parametertransaktionen zum Aufruf SAP Query

Im Artikel "LOAD_PROGRAMM_NOT_FOUND Programm AQCS oder AQZZ bei Aufruf Query per Reporttransaktion - SAP Query nachgenerieren lassen" hatte ich beschrieben, wie bei einer Reporttransaktion zu einer SAP Query das entsprechend aus der SAP Query generierte ABAP Programm erneut generiert werden kann.

Zur Erinnerung, der Programmname zu einer SAP Query ist abhängig davon, ob es sich um eine globale oder eine Query im Standardbereich handelt, folgt aufgebaut:
 
Aufbau Programm für Query
1 2 3 4 5 6
Globaler Bereich AQ ZZ RM_CO ==== Z_QUERY01=====
Standardbereich AQ CS AG_CO ==== Z_QUERY02=====

Aus der Tabelle sind der Aufbau des Programmnamen zu erkennen (insgesamt sind dieses 29 Zeichen bestehend aus den Spalten 2 bis 6. Wobei hier === als Füllzeichen zu sehen sind.

Ausgangslage: Rückfrage zur Massenpflege erneute Generierung der Query für Reporttransaktion

Der Artikel ist schon etwas älter und letztens erreichte mich dazu die Frage, ob es hier nicht die Möglichkeit gibt einer "Massenpflege" eben dieser Query, da mit Umstieg auf EHP8 eine Menge an solcher Transaktionen zu SAP Query nicht mehr funktionieren.

Im Artikel "Änderungen und Nacharbeiten nach Einspielung SAP ERP 6.0 Enhancement Package 8 (EHP 8) insbesondere im CO" bin ich ebenfalls auf dieses Problem eingegangen.

Die Lösung dazu war, dass die Query durch die Transaktion REISSQMAIN bzw. über den Report SAP_QUERY_CALL erneut mit Angabe der Benutzergruppe und Query aufgerufen worden ist.

Workaround: zu bestehenden Reporttransaktionen die Query erneut generieren lassen

Dieses ist relativ umständlich und so liegt der Gedanke nahe, dass es doch eine einfachere Variante geben sollte.

Queryverzeichnis und Vormerken der Generierung
Der erste Gedanke wäre hier im Verzeichnis der SAP Query über die Transaktion SQ02 - Infoset pflegen über das Anwendungsmenü
  • (Mehr)
  • Springen
  • Queryverzeichnis
entweder anhand einer selektierten Benutzergruppe oder direkt über Ausführen in der Liste aller Query die Query auswählen und über die Schaltfläche "Mark. Query" (Programmgeneierung UMSCH+F8) die einzelnen Query erneut generieren zu lassen.

Problematisch dabei ist jedoch, dass dadurch die Query nur zur Generierung vorgemerkt werden und das Coding zum ABAP Programm erst beim nächsten Start der Query durchgeführt werden.

Dieser Aufruf müsste also erneut über SQ00 / SQ01 (Query ausführen) oder über REISSQMAIN erfolgen.

Technischer Hintergrund:
SAP Hinweis: 735939 - SAP Query: Query-Reports nicht nachgeneriert

1. Alternative: Transaktionsaufzeichnung von REISSQMAIN

Denkbar wäre auch, ohne es selbst getestet zu haben, eine Transaktionsaufzeichnung der Transaktion REISSQMAIN per LSMW oder eCAT (siehe "Massenstammdatenpflege mit LSMW oder SECATT dank Transaktionsaufzeichnung - Handbuch erweiterte computergestützte Test-Tool (eCATT) und LSMW"). Basis kann hier ebenfalls das Queryverzeichnis als CSV bestehend aus Benutzergruppe und Query sein.  Das entsprechende Verzeichnis kann, wie im Artikel "Reportmatrix über bestehende kundeneigene SAP Berichte (Report Writer, Recherche oder SAP Query)" beschrieben, über die Transaktion SQ02 per Queryverzeichnis erstellt werden.

Achtung: Ich befürchte jedoch, dass die Aufzeichnung problematisch sein kann, da ja kein Ende der Aufzeichnung mit aufgezeichnet wird sondern nur die Query gestartet aber nicht abgebrochen wird. Dennoch ist es natürlich enen Versuch wert.
 

Dauerhafte Lösung: Umstellung Transaktionen von Reporttransaktion auf Parametertransaktion zum Aufruf von SAP Query

Um künftig solche Probleme zu vermeiden ist es eine gute Idee statt einer Reporttransaktion, wie in den beiden Artikeln "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" und "Transaktion anlegen (Report, Parameter) bspw. für SAP Query / Unterschied Parameter- oder Reporttransaktion" eine Parametertransaktion zum Aufruf einer Query anzulegen oder vorhandene Transaktionen umzustellen und künftig hier weniger Probleme zu haben.

Unterschied Reporttransaktion und Parametertransaktion

Als Reporttransaktion wird die Query, der Report direkt gestartet. Hier könnte nun auch ein Berechtigungsobjekt mit Werten hinterlegt werden, auf die die Berechtigungen der Benutzer geprüft werden. Über das Selektionsbild 1000 gelangt man auch direkt in das Auswahlfenster der Transaktion. Über die Option "Einstiegsbild überspringen" kann der Bericht auch ohne weitere Angaben von Selektionswerten direkt übersprungen werden. Dieses kann zum Beispiel sinnvoll sein, wenn im Bericht schon alle Variablen gefüllt sind und der Bericht nur direkt ausgeführt werden soll. Hier hatten wir den generierten Reportnamen zur SAP Query als ABAP Programm genommen und obiges Problem ist entstanden.

Eine Parametertransaktion ermöglicht es Varianten zu einer Transaktion anzulegen. Hier bietet sich bspw. die Transaktion START_REPORT an.  Hier geben wir in der Parametertransaktion bestimmte Vorschlagswerte zur Transaktion START_REPORT vor und überspringen das Einstiegsbild.  Hierbei werden die Dynprofelder der Transaktion festgelegt. So lautet die Bezeichnung des Feldes Report der Transaktion START_REPORT bspw. "D_SREPOVARI-REPORT". So dass hier der Reportname entsprechend eingegeben werden kann. Interessanter ist hier jedoch noch das Feld Variante (Dynprofeld "D_SREPOVARI-VARIANT"), da hier entsprechend gepflegte Selektionsvariante je Report hinterlegt werden können.  Auf diese Weise kann direkt über die kundeneigene Transaktion eine entsprechende Selektionsvariante zu einen Report (inkl. etwaiger gesperrter Felder) gestartet und ausgewertet werden.  Somit eignet sich diese Transaktionsvariante insbesondere dann, wenn man auch gleich eine Selektionsvariante mit übergeben bzw. entsprechend ausgewählt haben mag.

Parametertransaktion für SAP Query

Als Parameter für die Transaktion START_REPORT wären hier folgende Dynprofelder mit entsprechenden Werten zu füllen.
  • D_SREPOVARI-REPORTTYPE
    AQ
  • D_SREPOVARI-REPORT
    Benutzergruppe (für Querys im globalen Bereich (mandantenunabhängig) muss die 13. Stelle der Benutzergruppe ein ‚G‘ stehen (Leerzeichen!))
  • D_SREPOVARI-EXTDREPOR
    Name der Query.
Gerade der Parameter für die Benutzergruppe ist dabei umständlich, daher erscheint folgende Parametertransaktion sinnvoll.

Hier nutzen wir die Möglichkeit einer Parametertransaktion entweder für die Transaktion REISSQMAIN oder wir legen eine Reporttransaktion zum Report SAP_QUERY_CALL mit Selektionsbild 1000 an.

Bei der anzulegenden Parametertransaktion ist es wichtig, die Markierung bei "Einstiegsbild überspringen" zu setzen und im Abschnitt Vorschlagswerte folgende Werte einzutragen:

 
Parameter zu SAP_QUERY_CALL oder REISSQMAIN
Name des Dynprofeldes Wert
P_WSID Arbeitsbereich
leer lassen oder G für Globaler Bereich
P_UGROUP Benutzergruppe
Die Benutzergruppe in der die Query ist
P_QUERY Query
Name der Query
P_VARI Selektionsvariante
ggf. angelegte Variante zur Query

Nachdem diese Transaktion gesichert ist, kann die Query künfitg auch problemlos über diese Transaktion gestartet werden.

Diese Variante ist auch im SAP Hinweis 2185998 - Anlegen eines Transaktionscodes für eine Query in 2021 beschrieben worden. Bis dahin wurde, bspw. durch die Anlage eines Transaktionscodes über die Rollenpflege (Einfügen einer SAP Query im Rollenmenü) eine Reporttransaktion angelegt.

Ableitung der Parameter aus der Parametertransaktion

Andrea Olivieri hat jedoch in einem Beitrag innerhalb der SAP Community ein ABAP veröffentlicht, durch das die gewünschte Massengenerierung ermöglicht wird. Persönlich habe ich dieses noch nicht ausprobiert, aber ggf. kann damit ihre SAP Basisabteilungen Ihnen eine passende Möglichkeit zur Verfügung stellen.

Der Beitrag "Upgrade – Easy migration of AQ* Report transactions" ist zusammen mit dem Coding auf der Seite https://blogs.sap.com/2015/02/24/upgrade-easy-migration-of-aq-report-transactions/ veröffentlicht worden.

Durch den Funktionsbaustein RSAQ_DECODE_REPORT_NAME werden die notwendigen Parameter aus den Report ermittelt.
  • WORKSPACE/ Arbeitsbereich
  • USERGROUP / Benutzergruppe
  • QUERY / Query
  • und CLIENT
Die einzelnen Programme können durch Selektion nach Programm AQ* in der Tabelle TSTC "SAP Transaktions-Codes" ermittelt werden.

Das oben erwähnte Programm liest scheinbar die entsprechenden Transaktionen aus und passt diese dann von einer Reporttransaktion auf eine Parametertransaktion für REISSQMAIN an.

Gerade bei einer Vielzahl von kundeneigener Transaktionen zu SAP Query ist dies sicher eine elegante Methoide.

Anmerkung: Ich habe selbst das Programm nicht getestet würde mich aber über eine positive Rückmeldung ob es weiterhin funktioniert freuen.

Manuelles Umstellen der Reporttransaktion auf Parametertransaktion

Sofern die Umstellung manuell erfolgen soll kann auch die Tabelle TSTC über das Feld Programm nach AQ* durchsucht werden. Damit sind alle kundeneigene Transaktionen die entsprechend der ersten Tabelle im Artikel Query starten identifiziert (AQZZ für globalen Arbeitsbereich und AQCS für Standardbereich).

Danach können die Transaktionen in der SE93 bearbeitet werden.

Im Artikel "Transaktionsart in SE93 ändern" bin ich auch darauf eingegangen, wie die Art der Transaktion geändert werden kann und so nicht erst ein Löschen und danach eine Neuanlage der Transaktion mit entsprechenden Workbenchaufträgen erfolgen müssen.

Keine Anpassung der Berechtigungsrollen erforderlich

Die Berechtigungsprüfungen, siehe Artikel "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben"  für die Tabellen sind dabei weiterhin zu beachten. Ebenso ist hier die Berechtigungsprüfung beim Lesen von Tabellen, sofern es sich nicht um logische Datenbanken handelt, zu beachten, dass bspw. Berechtigungen auf CO_Objekte wie Kostenstellen oder Innenaufträge nicht beachtet werden. Dennoch sind Query auch weiterhin eine gute Möglichkeit der Auswertung im Berichtswesen, zumindest, wenn ohnehin zentral Auswertungen erfolgen.

Bei der Anlage eines Transaktionscodes wird ein Workbench-Transportauftrag angelegt, sodass die Einträge der Tablle TSTC entsprechend in die weiteren Systeme transportiert werden. Über die SE10 kann dieser Transportauftrag frei gegeben bzw. transportiert werden. Sofern beim Speichern oder Anlage einer Transaktion keine Abfrage eines Transportauftrages kommt, kann es sein, dass hier noch ein Transportauftrag offen ist.

Ist ein entsprechender Eintrag vorhanden, sollte dieser dann freigegeben und transportiert werden. Andernfalls werden Änderungen oder neue Transaktionen im bestehenden offenen Transportauftrag des Users gespeichert.

Für die Änderung bestehender Transaktionscodes sind diese mit der SE93 zu löschen und danach statt als Reporttransaktion als Parametertransaktion anzulegen. Immerhin bestehende Berechtigungen, insbesondere im Berechtigunsobjekt S_TCODE zum Aufruf der Transaktion bleiben bestehen :-).

Ich freue mich immer über Anfragen über das Blog und auch darüber, dass manche Artikel hier auch anderen weiter helfen können.


Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung

Steuersoftware für das Steuerjahr 2023

Lexware TAXMAN 2024 (für das Steuerjahr 2023)

WISO steuer:Sparbuch 2024 (für Steuerjahr 2023)

WISO Steuer 2024 (für Steuerjahr 2023)


* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Samstag, 13. August 2022
14:09 Uhr

Grundlagen Design und Konzept Fiori Oberfläche ab S/4HANA 2020 - Buchauszug »Abschlussarbeiten im Gemeinkosten-Controlling in SAP S/4HANA«

Im Artikel "Bisherige Erkennntnisse rund um SAP S/4HANA und FIORI aus Sicht Rechnungswesen CO und FI" hatte ich schon verschiedene Veränderungen mit SAP S/4HANA beschrieben und dabei auch auf die neue Oberfläche FIORI Bezug genommen. Da sich SAP immer weiter entwickelt, was auch im Artikel "Grundlagen Lebenszyklus SAP S/4HANA Versionen und was ändert sich mit S/4HANA 20.. ?" beschrieben ist, habe ich mich auch im aktuellen Buch »Abschlussarbeiten im Gemeinkosten-Controlling in SAP S/4HANA« mit der FIORI Oberfläche und dem dahinter liegenden Konzept beschäftigt.

Dabei bin ich im Buch auch auf das FIORI Design Konzept eingegangen und möchte dieses hier ebenfalls kurz erwähnen.

Die Grundidee hinter der Fiori-Oberfläche ist, dass der Mensch (Persona) im Mittelpunkt stehen soll und die SAP-Oberfläche gemäß den Funktionen, die dieser Mensch ausübt, gestaltet werden kann. Das Fiori Launchpad (FLP) passt sich rollenbasiert an die Rolle an, die eine Person im Unternehmen ausübt, und ist damit vergleichbar mit dem bisherigen Benutzermenü, das Ihnen ggf. unter ERP bzw. im SAP GUI schon vertraut ist.

SAP Fiori ab Edition S/4HANA 2020

Mit SAP S/4HANA 2020 wurden die Kachelgruppen im Fiori Launchpad durch Bereiche (engl.: Spaces) ausgetauscht. Außerdem wurde das Konzept der Oberflächengestaltung durch Pages (Seiten) erweitert. Die Nutzung von Bereichen können Sie unter Einstellungen im Abschnitt Bereiche und hier die Option BEREICHE VERWENDEN aktivieren. Bereiche selbst sind optional und müssen von ihrer SAP Basis Administration aktiviert werden.

Die Bereiche (Spaces) sind vergleichbar mit einem übergeordneten Menü am oberen Rand des FIORI Launchpad, über das mithilfe von Tabs (die einzelnen Menüpunkte) verschiedene Pages Seiten (Pages) mit Sections Abschnitten (Sections) aufgerufen werden können. Von einem Abschnitt aus lassen sich dann einzelne Kacheln (Tiles) ansteuern.

Die folgende Abbildung zeigt schematisch das aktuelle Konzept der Fiori-Oberfläche bzw. des Launchpads. Dabei sind die neuen Navigationselemente mit der englischsprachigen Bezeichnung abgebildet.

SAP S/4HANA Fiori Konzept

Die einzelnen Bereiche (1) in der Abbildung dienen zur Navigation innerhalb des Fiori Launchpads. Sie können dabei als Dropdown-Menü, wie im Beispiel BEREICH OFFEN, genutzt werden. Die Bereiche gliedern sich wiederum in einzelne Seiten (2), die anstelle einer klassischen Startseite zur Anzeige der Apps verwendet werden. Einem Bereich können auch mehrere Seiten zugeordnet sein (siehe SEITE 1, SEITE 2 und SEITE 3). Jede Seite (Page) ist zudem in Abschnitte (Sections) (3) aufgeteilt, die auch von den Seiten direkt per Link angesteuert werden können. Die Kacheln (Tiles) (4) werden einem Abschnitt zugeordnet. Über sie können per Klick SAP-Fiori-Apps und andere Anwendungen direkt gestartet werden.

Typen von Fiori-Kacheln/Apps

Zur Unterscheidung wurden unter (5) die unterschiedlichen Typen von Kacheln und unter (6) die App-Typen eingezeichnet, auf die wir gleich noch näher eingehen.

Wie in der Abbildung unter (5) zu sehen, werden in Fiori drei verschiedene Kacheltypen  unterschieden:
  • Dynamische Kachel = zeigt flexibel aktuelle Kennzahlen (KPI) an
  • Nachrichten-Kachel = zeigen Texte wie aktuelle Mitteilungen der Verwaltung an
  • Statische Kachel = stellt lediglich den Titel und ein Icon dar

Über diese Kacheln lassen sich unterschiedliche App-Typen (6) aufrufen:
  • Analytische App = Darstellung von Auswertungen wie Einzelposten oder Bilanzen mit entsprechenden analytischen Informationen oder Indikatoren.
  • Fact Sheet App = Übersicht zu zentralen Objekten (z. B. Anzeige von Stammdaten einer Kostenstelle). Diese Faktenblätter stellen die wesentlichen kontextbezogenen Fakten zu zentralen Objekten dar.
  • Transaktionale App = vergleichbar mit Transaktionen; sie dienen zur Ausführung von Aufgaben, etwa für die Freigabe einer Bestellung oder für die Stammdatenpflege.

Wie eingangs erwähnt, haben Sie es bei den transaktionalen Apps entweder mit nativen Fiori-Apps zu tun, die es nur innerhalb der Fiori-Oberfläche gibt, oder – dank GUI/4HTML – mit aus SAP GUI vertrauten Transaktionen, die im Web aufgerufen werden. Im letzteren Fall dürfte Ihnen der Aufbau der Maske bekannt vorkommen, da aus der Fiori-Oberfläche heraus Transaktionen der SAP GUI aufgerufen werden.

SAP stellt innerhalb der einzelnen Bereiche und Seiten passende Anwendungen zu Geschäftsrollen zusammen. Nach der Anmeldung an der Fiori-Oberfläche sind nur die Anwendungen zu sehen, die auch tatsächlich für die eigene Arbeit erforderlich sind. All diese Apps werden über sogenannte SAP Business Roles bzw. Arbeitsplatzrollen bereitgestellt, die somit eine individuelle Oberfläche unter Fiori gestalten.

Aus Sicht von Basis und Berechtigungen würden Sie zwischen Backend-Rollen, die klassisch über Berechtigungsobjekte und Berechtigungsfeldwerte den Zugriff auf Daten und Programme innerhalb des SAP GUI steuern, und Fiori-Frontend-Rollen, die durch die Zuordnungen der Fiori-Apps einen Katalog an Apps bieten und die Oberfläche des Fiori Launchpads gestalten, unterscheiden.
 

Berechtigungen zur Darstellung von Bereichen und Fiori-Apps

Mit dem neuen Designkonzept von Bereichen sind noch weitere Punkte bei der Gestaltung der Fiori-Frontend-Rollen zu beachten. Sollten Sie beim Umschalten auf das Bereichslayout die Fehlermeldung "EIN IHNEN ZUGEORDNETER BEREICH WURDE NICHT GEFUNDEN. WENDEN SIE SICH AN IHREN SYSTEMADMINISTRATOR." erhalten, sind bestimmte Einstellungen durch die SAP-Basisabteilung zu treffen.

Hier müssen neben den Launchpad-Katalogen (welche in Gruppen definieren, auf welche Kacheln Sie Zugriff erhalten) auch die Launchpad-Spaces (Bereiche) in der Berechtigungsrolle über das Menü der Rolle zugewiesen werden. Kacheln, die in einem solchen Launchpad-Sapce enthalten sind, werden nur angezeigt, wenn Sie auch in einem passenden Launchpad-Katalog enthalten sind. Daher sollten Sie eine entsprechende Vorarbeit bei der Gestaltung Ihrer Berechtigungsrollen zur Nutzung der Fiori-Oberfläche einplanen.

Eine ausführliche Beschreibung zur Vorgehensweise liefert Kapitel 13 (Alternative Darstellung im Launchpad) des Buches »Grundlagen für Einsteiger in SAP S/4HANA« von Manfred Sprenger (Espresso Tutorials, 2022).

Dies Buch kann bei Espresso Tutorials entweder direkt erworben werden oder ist alternativ auch in der SAP Bibliothek Flatrate enthalten.


Für 29,95 € direkt bestellen

Oder als SAP Bibliothek-Flatrate *

Oder bei Amazon **




 

Hinweis - Auszug aus Abschlussarbeiten zum Gemeinkosten-Controlling
Dieser Abschnitt ist ein Auszug aus der aktuellen Buchveröffentlichung »Abschlussarbeiten im Gemeinkosten-Controlling in SAP S/4HANA«. Daneben werden hier aber auch noch weitere Themen rund um die Abschlussarbeiten im Controlling unter SAP S/4HANA besprochen. Das Buch ist im Buchhandel oder auch bei Espresso Tutorials direkt erwerbbar.

 

Abschlussarbeiten im Gemeinkosten-Controlling mit SAP S/4HANA


Eine ausführliche Beschreibung ist unter Buchempfehlungen unter Abschlussarbeiten im Gemeinkosten-Controlling mit SAP S/4HANA (SAP S/4HANA, CO, internes Berichtswesen) zu finden.


Abschlussarbeiten im Gemeinkosten-Controlling mit SAP S/4HANA von Andreas Unkelbach und Martin Munzel
Verlag: Espresso Tutorials GmbH
1. Auflage
(20. Juli 2022) Paperback ISBN: 9783960120551

Für 29,95 € direkt bestellen

Oder als SAP Bibliothek-Flatrate *

Oder bei Amazon **

Oder bei Autorenwelt


Ich würde mich freuen, wenn dieser Auszug sie neugierig gemacht hat und bin sehr gespannt auf ihre Rückmeldungen zum Buch.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung

Steuersoftware für das Steuerjahr 2023

Lexware TAXMAN 2024 (für das Steuerjahr 2023)

WISO steuer:Sparbuch 2024 (für Steuerjahr 2023)

WISO Steuer 2024 (für Steuerjahr 2023)


* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 7. Dezember 2020
19:51 Uhr

Report Painter und Berechtigungsgruppen - Berechtigungen zur Pflege von Report Writer Berichten im CO Berichtswesen

Das Berechtigungskonzept für Objekte wie Kostenstellen, Innenaufträge, Profitcenter greift auch bei angelegten Report Painter Berichten. Allerdings kann es durchaus erforderlich sein, dass bestimmte Berichte nicht von allen Usern direkt aufgerufen werden dürfen. Dafür gibt es die Möglichkeit an vier Stellen Berechtigungsgruppen im Report Painter Umfeld zu hinterlegen, so dass hier die Bearbeitung von ihren Bibliotheken, Standardlayout, Berichten oder Berichtsgruppen eine feinere Bearbeitung eingeschränkt werden kann.

Dieses ist für folgene Objekte möglich, auf deren Pflege der Berechtigungsgruppe aber auch den zugehörigen Berechtigungsobjekten ich nun eingehen möchte.

Berechtigungsgruppe Report Writer: Bericht

Das Berechtigungsobjekt G_800_GRP "Report-Writer: Bericht" emröglicht es zu einer Berechtigungsgruppe ide Aktivitäten
  • 01 Hinzfügen oder Erzeugen
  • 02 Ändern
  • 03 Anzeigen
  • 06 Löschen
zuzuweisen. Die Berechtigungsgruppe selbst ist dabei ein Freitextfeld und kann natürlich auch ein * umfassen.

Im Bericht (Transaktion GRR2) kann im Berichtskopf
  • (Mehr)
  • Bearbeiten
  • Berichtskopf (STRG + UMSCH + F9)
eine Berichtsgruppe ausgewählt oder über das Bleistiftsymbol angelegt werden. Hierbei handelt es sich um ein mandantenabhängiges Objekt, so dass dieses entsprechend transportiert werden muss oder der Status "nicht änderbar" im Produktivmandant geändert werden muss. Als Einträge sind hier BeGr und eine Bezeichnung der Benutzergruppe möglich.

Berechtigungsgruppe Report Writer: Bibliothek

Über das Berechtigungsobjekt G_801K_GLB " Report-Writer: Bibliothek" kann ebenfalls eine Berechtigungsgruppe mit den Aktivitäten 01, 02,03 und 06 gepflegt werden.

Hier wird die Berechitgungsgruppe allerdings in der Pflege der Bibliothek hinterlegt.

Durch die Transaktion GR22 kann dieses für eine bestehende kundeneingene Bibliothek über den Abschnitt Berechtigungsgruppe erfolgen. Auch hier gibt es einen Bleistift zur Pflege der Berechtigungsgruppe sowie die Auswahl der Gruppen.

Beispiele zur Pflege einer kundeneigene Bibliothek sind in den Artikeln:

Berechtigungsgruppe Report-Writer: Standardlayout

Auch das Standardlayout kann über das Berechtigungsobjekt G_801U_GSY "Report-Writer: Standardlayout" eingeschränkt werden.

Die Pflege der Berechtigungsgruppe kann in der Transaktion GR12 direkt unter Berechtgungsgruppe erfolgen.

Auf die Pflege des Standardlayout bin ich im Artikel zuvor eingegangen.

Berechtigungsgruppe Report-Writer: Berichtsgruppe

Hier kann die Pflege über das Berechtigungsobjekt  G_803J_GJB " Report-Writer: Berichtsgruppe" eingeschränkt werden.

Die Berechtigungsgruppe kann in der Transaktion GR52 "Berichtsgruppe ändern" im Kopf unter Berechtigungsgruppe hinterlegt werden.

Da Berichtsgruppen mehrere Berichte einer Bibliothek zusammenfasst, kann es sinnvoll sien, diese nicht zu voll zu stopfen, so dass hier eine Einschränkung der Pflege hilfreich ist.

Ferner werden in dieser Berichtsgruppe auch die Empfängerberichte zugeordnet (siehe Artikel "RW/RP Empfängerberichte zuordnen".
 

Nutzen von Berechtigungsgruppen bei Report Painter

Gerade wenn kundeneigene Bibliotheken angelegt worden sind oder Anpassungen am Standardlayout vorgenommen sind, kann es sinnvoll sein, dass hier eine Personengruppe nur die Berechtigung zur Anpassung hat, da andernfalls eine Vielzahl von Änderungen die Objekte bearbeitet und hier eigentlich eine Übersichtlichkeit gewünscht wird.

Es sind also keine Berechtigungsobjekte die die Auswertung von Report Painter Berichten beeinflussen (hierzu sind die üblichen Berechtigungsprüfungen auf Summen und entsprechende Daten gültig) sondern eine feinere Berechtigungsprüfung zur Steuerung welche Gruppe von Anwendende Anpassungen an Bibliotheken, Layout, Berichtsgruppen oder einzelnen Berichten steuert.

 

Hinweis:

Eine kurze Einführung in das Thema Report Painter und Report Writer habe ich im Artikel "Grundlagen Kurzeinführung und Handbuch Report Painter Report Writer" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Wissenschaft und VG Wort
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Sonntag, 11. Oktober 2020
13:03 Uhr

Datenmigration von Benutzer und Berechtigungsrollen unter S/4HANA mit Migrationscockpit LTMC durch eigene Migrationsobjekte per Migrationsobjektmodellierer LTMOM

Das Thema Datenmigration unter S/4HANA wird nicht nur im Rechnungswesen sondern auch in anderen SAP Komponenten relevanter. Im Artikel "Fragen und Antworten zur Datenmigration nach SAP S/4 HANA mit LTMC und LTMOM - 📚 Buchveröffentlichung zum SAP S/4HANA Migration Cockpit" bin ich schon auf die ein oder andere Fragestellung eingegangen.

Eine der wichtigsten Fragen, gerade auch von der SAP Basis (BC), dürfte sein, wie vorgegangen werden kann, wenn ein passendes Migrationsobjekt "noch" nicht vorhanden ist.

Migration von Benutzerstammdaten und Rollenzuweisungen unter S/4HANA mit LTMC


Ausgangslage
Unter SAP S/4 HANA ist eine Massenpflege von Benutzer und Rollenzuweisungen geplant. Hier stellt sich die Frage, ob nicht durch das Migrationscockpit als Alternative beziehungswesie Nachfolge der LSMW möglich ist.

Lösungsansatz:
Die seitens SAP als "verfügbaren Migrationsobjekte" gepflegten Objekte haben derzeit ihren Schwerpunkt im Bereich Rechnungswesen und Logistik wie auch anhand der Tabellen der Migrationsobjekte für die On-premise  aber auch Cloud Version von SAP S/4HANA zu sehen ist (siehe "SAP Help Portal: Verfügbare Migrationsobjekte").

Unter SAP ERP hätte ich nun eine Transaktionsaufzeichnung mit eCATT oder auch der bisherigen Methoden wie LSMW vorgeschlagen (siehe Beitrag "Massenstammdatenpflege mit LSMW oder SECATT dank Transaktionsaufzeichnung - Handbuch erweiterte computergestützte Test-Tool (eCATT) und LSMW") aber in der OnPremise Version von S/4HANA ist es dank des Migrationsobjektmodellierer (Transaktion LTMOM) möglich auch eigene Migrationsobjekte anzulegen.

Das grundsätzliche Vorgehen habe ich im Kapitel 4 »SAP S/4HANA Migrationsobjekt-Modellierer« beschrieben.


 
SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM
Verlag: Espresso Tutorials GmbH
1. Auflage (14. April 20202)
Paperback ISBN: 9783960120179

Für 29,95 € direkt bestellen

Oder als SAP Bibliothek-Flatrate *

oder bei Amazon


An dieser Stelle möchte ich daher nur auf den vorgeschlagenen Lösungsansatz eingehen und hoffe, dass dieser auch weiter geholfen hat.

Eigenes Migrationsobjekt mit LTMOM anlegen


Bei der Anlage eines Migrationsobjekt unterscheiden wir zwischen:
  • Quellstruktur: Hier dürften Dateien als Quelle häufig gewählt weden
  • Zielstruktur: Hier wird definiert wohin die gelieferten Daten gesetzt werden.

Dabei kann die Zielstruktur über ein Funktionsbaustein (FUMO) definiert werden. Damit ein Funktionsbaustein als Basis für ein Migrationsobjekt genutzt werden kann, hat dieser folgende Anforderungen zu erfüllen:

Aufbau eines Funktionsbausteins für Migrationsobjekte

Die zur Versorgung bestimmter Tabellenfelder (bspw. die USR* Tabellen) hinterlegten Funktionsbausteine müssen folgende Anforderungen erfüllen:
  • Die Steuerung des Funktionsbausteins erfolgt über das Migrationscockpit (LTMC), alle Meldungen (Fehler und Hinweise) müssen im Format BAPIRET2 als Tabelle oder Struktur zurückgegeben werden.
  • Sofern eine Simulation der Datenmigration ebenfalls geplant ist muss auch ein Merkmal zur Verfügung gestellt werden, damit eine Simulation der Dateneinspielung innerhalb der Dateneinspielung erfolgen kann, bevor die Daten in dei Datenbank geschrieben werden.

Funktionsgruppe S_USER und passende Funktionsbausteine

Ein Blick auf passende Funktionsbausteine für die Benutzer und Berechtigungsmigration hat als passsenden Funktionsbaustein BAP_USER_CEATE1 ergeben. Hier sind dann tatsächlich alle Felder eines Benutzerstammsatzes enthalten.

Allerdings fehlt hier die Zuordnung von Rollenzuordnungen. Diese Massenpflege kann dann mit der Transaktion SU10 erfolgen.

Alternativ könnte ein zweites MIgrationsobjekt auf Basis des Funktionsbaustein BAPI_USER_ACTGROUPS_ASSIGN "Benutzer-Rollenzuordnung ändern" verwendet werden.

Beide Funktionsbausteine in Kombination wirken auf mich so, als wäre es hier möglich die Zielstruktur (sprich das SAP System) mit passenden Daten aus einer Quellstruktur zum Beispiel zwei XML / Excel Templatedateien zu versehen.

Fazit

Die erwähnte Vorgehensweise war nun nur ein Lösungsansatz aber ich bin neugierig, ob dieses dann auch im konkreten Anwendungsfall funktioniert hat. Auf den ersten Blick sahen die verfügbaren Datenfelder allerdings passend aus und ich würde mich freuen, wenn auch SAP Basis hier von der Neuerung profitieren wird.

Für einen vergleichbaren Fall unter SAP ERP haben wir vor einigen Tagen die Transaktion SU01 aufgezeichnet und auch im Rahmen einer LSMW/eCATT/Datenmigrationsschulung wird dieser Anwendungsfall als Beispiel sicherlich ebenfalls aufgegriffen :-) und ich bin froh, dass übers Blog aber auch per eMail immer einmal wieder neue Themenvorschläge und spannende Fragen zugesandt werden, aber auch sonst der Austausch rund um SAP und künftig auch S/4HANA wie selbstverständlich gelebt werden kann.

Weitere Artikel zum Bereich SAP Basis und Berechtigungen

Besonders im Bereich Basis (BC) und Berechtigungen sind immer wiederkehrende Aufgaben durch SAP praktisch unterstützt. So kann die Berechtigungsanalyse (siehe Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" insbesondere mit STAUTHTRACE) oder auch die Grundlage für Berechtigungen (siehe "Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten")  sowie speziele Anforderungen wie die Massenpflege von Sammelrollen (siehe "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode") und natürlich Massenpflege von Berechtigungsobjekten und Berechtigungsfeldwerten ("Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL") und der Massenupload von Rollen ("Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)").

Daneben arbeiten SAP Basis und Modulverantwortliche ebenfalls eng zusammen, was auch an Analysen von Änderungsbelegen wie im Artikel "Änderungsbelege zu CDHDR und CDPOST für SAP Objekte wie Stammdaten im Rechnungswesen (Report/Transaktionscode RSSCD100)" beschrieben zu lesen ist.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 22. Juni 2020
20:07 Uhr

Die Anatomie der SAP Berechtigung oder Dokumentationen zu SAP Berechtigungsobjekten und Berechtigungsfeldwerten

Im Rahmen der Pflege von SAP Berechtigungen (Stichwort "Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen" und "SAP Query: Berechtigung (organisatorisch und technisch)" fragte mich eine Kollegin wo im SAP System zu Berechtigungsobjekten und Berechtigungsfeldwerten eine Dokumentation zu den zu pflegenden Berechtigungen zu finden sind, was gerade bei neuen Berechtigungsvergaben oder auch bei der Einrichtung von "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" abseits vom zu pflegenden Berechtigungskonzept der Einrichtung auch für ein besseres Verständnis zum SAP Berechtigungswesen hilfreich ist.

Benutzerverwaltung (Transaktion SU01)

Hier musste ich dann ebenfalls einen Moment suchen an welcher Stelle für SAP Keyuser und nicht nur für die SAP Basis im SAP System eine Berechtigung aufrufbar ist und mag dieses gerne zum Anlass nehmen um hier im Artikel ein paar Grundlagen zur "Anatomie" der SAP Berechtigungen schreiben.

Für den Zugang zum SAP System ist als erstes eine SAP Benutzerkennung (User) erforderlich. Über die Benutzerpflege Transaktion SU01 (bzw. SU01D) können hier neben (Initial)passwort und Personendaten auch Rollen (aus denen Profile abgeleitet werden) zugeordnet werden.

Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA

Bei den Rollen gibt es eine Besonderheit wenn das entsprechende SAP System auf S/4HANA beruht. Während unter SAP ERP nur Rollen mit Berechtigungen für das GUI System relevant waren sind für die Anwendungen unter FIORI entsprechende Businessrollen erforderlich. Hier sind neben den Rollen in den Berechitgungsobjekte und Berechtigungswerte eingetragen werden auch sogenannte Business Rolen.

Beim Aufruf der FIORI Oberfläche stheen unterschiedliche Rollen (Fiori-Gruppen) mit sachlich zusammenhängenden FIORI Kacheln zusammen. Als Beispiel sind hier die Befhelsgruppe Stammdaten in der dann die FIORI Kachel "Kostenstelle verwalten" zu finden ist.

Damit diese FIORI Apps/Kacheln und Gruppen angezeigt werden muss eine entsprechende Berechtigungen aufgrund einer Gruppen und Katalogzuordnung erfolgen. Diese werden über spezifische Gruppen zugeordnet, die neben den normalen Berechtigungen (wie Kostenstellen anlegen, ändern, anzeigen) auch noch Zugriff auf die passenden FIORI Apps zuweisen.

In der Referenzbibliothek für SAP-Fiori-Apps unter https://fioriappslibrary.hana.ondemand.com/ kann nach den einzelnen Apps unter "All Apps" gesucht werden" Über den Punkt IMPLEMENTATION INFORMATION sind im Abschnitt Business Role(s) auch Musterrollen für FIORI Kataloge die diese Aktivität enthalten mit aufgeführt.

 

Grundlagen SAP Berechtigungen inklusive Fiori - Online Training

Grundlagen SAP Berechtigungen inklusive FIORI - Online Training

Zum Thema SAP Berechtigungen und SAP S/4HANA kann ich für SAP-Administratoren, ABAP-Entwickler sowie Personen, die sich aktuell oder zukünftig mit SAP-Berechtigungen beschäftigen, den SAP Onlinekurs von Tobias Harmes als Blended-Learning von Espresso Tutorials empfehlen.

Der Onlinekurs umfasst dabei folgende Themen.
  • Einführung in den Kurs
  • Warum sind SAP-Berechtigungen eigentlich wichtig?
  • Wie funktionieren SAP-Berechtigungen technisch?
  • Entwicklung und Pflege von Rollen
  • SAP-Fiori-Berechtigungen/Kachel-Berechtigungen in S/4HANA
  • Entwicklung von Berechtigungsprüfungen
Persönlich empfinde ich den Kurs als sehr gelungen auch da hier praxisorientiert beim neuen Aufbau von Berechtigungen unter SAP S/4HANA weiter geholfen werden kann.

Berechtigungsrollen (Transaktion PFCG)

In der Rollenpflege (Transaktion PFCG) wird nicht nur das Rollenmenü einer Einzelrolle gepflegt, sondern im Reiter Berechtigungen können auch die Berechtigungsobjekte und Berechtigungsfeldwerte gepflegt werden.

Diese Einzelrollen können auch in Sammelrollen zusammengefasst werden. Auf die Besonderheiten im Umgang damit bin ich kürzlcih erst im Artikel "SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode" eingegangen möchte hier aber für einen Berechtigungsüberblick lieber auf die Rollen und Zuordnung von Berechtigungsobjektfeldwerten in derRollenpflege mit der PFCG eingehen.

Hierbei werden die Berechtigungen entweder aus dem Rollenmenü abgeleitet (durch die Berechtigungsvorschlagswerte (Transaktion SU24) oder können im Expertenmodus auch manuell bearbeitet werden. Dabei sind die einzelnen Berechtigungsobjekte in Objektklassen aufgeteilt. So ist in der Objektklasse AAAB (Anwendungsübergreifende Berechtigungsobjekte) das Berechtigungsobjekt S_TCODE (Transaktionscode-Prüfung bei Transaktionsstart) mit dem Berechtigungsfeldwert TCD (Transaktionscode) zu finden.

Per Standard sind hier die Transaktionen aus dem Rollenmenü als abgeleitete Berechigungswerte zu finden. Über die Werthilfe (F4) können teilweise die verfügbaren Funktionen Felder zu diesen Feld aufgerufen werden.

Nebenbei wenn die Vorschlagswerte aus der SU24 noch offene Felder haben und hier Einträge erfolgt sind, erscheint ein GEPFLEGT neben dem berechitgungsobjekt und bei manuell hinzgefügten Berechtigungsobjekten ein MANUELL.

Hier ist es durchaus auch möglich ein Berechigungsobjekt über die Schaltfläche MANUELL mehrfach in die Rolle einzutragen.

Nachdem alle Berechitgungen gepflegt sind muss die Rolle gesichert und generiert werden sowie ein Benutzerabgleich ausgeführt werden. Dieses soll aber nun kein Thema hier im Artikel sein. Dieses kann auch mit der Transaktion PFUD erfolgen (siehe Kommentare zum Beitrag "SAP BC: Benutzerpuffer leeren" :-)

Dokumentationen zum Berechtigungsobjekt

Neben der teilweise vorhandenen Onlinehilfe zu einzelnen Berechtigungsobjekten stellt scih die Frage wie die Dokuemtation zum Berechitgungsobjekt aufgerufen werden kann.

Hier gibt es u.a. zwei Möglichkeiten um die Dokumenation aufzrufen.

SUIM - Benutzerinformationssystem - Berechitgungsobjekte


Diess ist entweder im SAP Menü unter
  • Werkzeuge
  • Administration
  • Benutzerpflege
  • Infosystem
oder direkt über die Transaktion SUIM (Benutzerinformationssystem)
und von dort unter
  • Berechtigungsobjekte
  • nach Objektname, -text
möglich.

In beiden Fällen wird die Transaktion S_BCE_68001410 gestartet. HIer kann dann nach einen berechitgungsobjekt über Berechtigungsobjekt, Berechtigungsobjekttext, Objektklasse und weitere Optionen gesucht werden.

In einer ALV Liste erscheinen dann die relevanten Berechitgungsobjekte und über das I in der Spalte Doku kann die Dokumentation zum Berechitgungsobjekt aufgerufen werden in der dann wesentlich ausführlciehre Informationen zum jeweiligen Berechitgungsobjekt sowie die definierten Felder angezeigt werden.
 

Pflege der Berechtigungsobjekte (Transaktion SU21)

Alternativ kann auch die Pflege der Berechtigungsobjekte über die Transaktion SU21 (Report RSU21_NEW) aufgerufen werden. Auf der linken Seite können die einzelnen Klassen und Objekte ausgewählt werden um sich dann zum Berechtigungsobjekt die vorhandenen Berechtigungsfelder und Kurzbeschreibungen sowie über die Schaltfläche "Dokumentation zum Objekt anzeigen" auch die Doku zum Objekt aufgerufen werden kann.

Neben vorhandenen Berechtigungsobjekten können hier auch eigene Berechtigungsobjekte angelegt weren und auch vorhandene Berechtigungsfelder wie Aktivität (ACTVT) ausgefwählt werden. Zu den einzelnen Feldern kann dann, wie bei ACTVT, die zulässigen Optionen die am Feld hinterlegt sind festgelegt werden. So kann für ein eigenes Berechtigungsobjekt mit dem Berechtigungsfeld ACTVT die Aktivität 01 Hinzufügen oder Ersetzen, 02 Ändern und 03 Anzeigen ausgewählt werden und würde dann als Auswahl im Berechtigungsfeld in der Rollenpflege zur Verfügung stellen.

Über die Schaltfläche Feldpflege könenne auch eigenentwickelte Berechtigungsfelder erstellt werden denen entweder ein bestimmtes Datenelement zugeordent wird oder auch Suchhilfen oder Prüftabellen hinterlegt werden. Auf RZ10.de ist hier im Artikel "Erstellen von Berechtigungsobjekten mit der SAP Transaktion SU21" das Thema ausführlicher inklusive Videoaufzeichnung beschrieben worden.

Berechtigungsprüfung

Bei fehlenden Berechtigungen hilft neben der bekannten SU53 zur näheren Analyse von Berechtigungsobjekten auch die SAP Basis mit einen Berechtigungstrace weiter.  Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" ist darauf näher eingegangen worden.

Fazit

Auch wenn Keyuer (Fachbereichsuser/Anwendungsbetreuung) nicht auch eigene Berechtigungsobjekte entwickeln müssen und hier eine Zusammenarbeit mit der SAP Basis imemr vom Vorteil ist sind es doch oft auch Fachfragen wie "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" die durch Kenntnisse im Berechtigungswesen beantwortet werden können.

Zusammen mit der SAP Basis kann dann auch die Massenpflege von Berechtigungsfledwerten (PFCGMASSVAL) oder der Massendownload von Berechtigungsrollen (PFCG_MASS_DOWNLOAD) gemeinsam angegangen werden.

Weiterbildung im Bereich Berechtigungswesen

Neben SAP Buchempfehlungen zu SAP Berechtigungen kann ich auch die Bücher von Espresso Tutorials wie "SAP-Berechtigungen für Anwender und Einsteiger" von Andreas Prieß * oder auch das Videotutorial "SAP Berechtigungen Grundlagen - Techniken und Best Practices für mehr Sicherheit im SAP" von Tobias Harmes empfehlen.

Beide sind, neben anderen Medien, auch in der Espresso Tutorials Flatrate enthalten, die ich auch ausführlicher unter SAP Know How vorgestellt habe.

Auf das Thema Weiterbildung im SAP Umfeld werde ich auch bei nächster Gelegenheit noch etwas ausführlicher eingehen.

Als kleiner Vorgriff mag ich hier einige SAP Blogs zum Thema SAP Basis verweisen oder auch der VideoPodcast "RZ10 LIVE SAP BASIS UND SECURITY"  von rz10.de greift Themen im Bereich Berechtigungen immer wieder auf und ist hier lehrreich :-).

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 9. Juni 2020
18:52 Uhr

SAP Berechtigungen Massenpflege Einzelrollenzuordnungen in Sammelrollen per Funktionsbaustein (FuBa) oder Transaktionscode

Neben der Massenpflege von Berechtigungsfeldwerten über die Transaktion PFCGMASSVAL (siehe Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL" oder auch "Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)") sind auch Sammelrollen immer wieder ein spannendes Thema.

In der Transaktion PFCG könenn Sammelrollen durch den Button "Sammelrolle" anlegen angelegt werden. In einer Sammelrolle werden nun nicht einzelne Menüs und Berechtigungen vergeben sondern einzelne Rollen zusammengefasst. Nun kann diese Sammelrolle (bspw. Kreditorenbuchhaltung) einer Person zugeordnet werden und alle dieser Sammelrolle zugeordneten Einzelrollen werden der entsprechenden Person zugewiesen. Gerade für die Benutzerpflege erleichtert dies oftmals eine Menge Arbeit und auch für das Berechtigungskonzept können Sammelrollen mehr die Funktion der einzelnen Personen abbilden, als dieses Einzelrollen können.

Ausgangslage:
Eine spannende Mailanfrage ist nun Ausgangslage für diesen Blogartikel. Hier wurde die Frage gestellt, wie ohne ABAP Kenntnisse Berechtigungsrollen massenhaft geändert werden können. Die Transaktion PFCGMASSVAL ist bereits bekannt, aber es soll aus einer Liste von Sammelrollen bestimmte Einzelrollen entfernt werden. In der PFCG ist hier aber keine Möglichkeit gefunden worden.

Verwendungsnachweis von Einzelrollen in Sammelrollen

Für einzelne Rollen kann in der Transaktion PFCG über die Schaltfläche "Verwendungsnachweis" (Viereck mit Pfeilen) festgestellt werden in welcher Sammelrolle eine Rolle verwendet wird. Hier ist dann eine Liste mit allen Sammelrollen, in der die Einzelrolle verwendet wird aufgeführt.

Sollen mehrere Rollen ausgewertet werden bietet sich hier auch das bewährte Benutzerinformationssystem (Transaktion SUIM) an.

Hier kann über
  • Benutzerinformationssystem
  • Rollen
  • Rollen nach komplexen Selektionskriterien
  • nach Rollennamen
oder alternativ die Transaktion S_BCE_68001418 nach Einzelrollen oder Sammelrollen gesucht werden. Aus der Liste mit Einzelrollen kann über die Schaltfläche "Enthalten in Sammelrollen" oder die Tastenkombination STRG + UMSCH + F2 die Nutzung der Einzelrolle in Sammelrollen aufgerufen werden.

Alternativ kann hier aber auch die Tabelle AGR_AGRS ausgewertet werden. Das Tabellenfeld CHILD_AGR "In Sammelrolle enthaltene Einzelrolle" dient dabei als Selektionsfeld für die Einzelrollen und im Feld AGR_NAME ist dann die entsprechende Sammelrolle ersichtlich.

Hier verweise ich auch sehr gerne auf den Übersichtsartikel "Standardtabellen der Benutzer- und Berechtigungsverwaltung" von RZ10.de :-).

Massenpflege von Einzelrollenzuordnungen in Sammelrollen

Nachdem nun die Einzelrollen und Sammelrollen identifiziert sind stellt sich die Frage, wie die Einzelrollen aus den Sammelrollen entfernt werden können. Hier bietet sich leider die Transaktion PFCGMASSVAL nicht an. Alternativ könnte der Funktionsbaustein PRGN_RFC_DEL_AGRS_IN_COLL_AGR im Rahmen eines ABAP Report dazu verwendet werden, um Einzelrollen aus Sammelrollen zu entfernen.

Seitens der SAP gibt es aber auch eine Transaktion zur Massenpflege von Einzelrollenzuordnungen in Sammelrollen, die hier diesen Programmieraufwand abnimmt und auch einige weitere Funktionen anbietet.

Über den Transaktionscode PFCGMASSCOLLASSIGN  kann der Report "PFCG_MASS_COLL_ASSIGN" gestartet werden. Dieses Programm ist für die "Massenpflege von Sammelrollen".

Sollte diese Transaktion bei Ihnen nicht vorhanden sein finden Sie im SAP Hinweis 2789668  nähere Informationen. Hier finden Sie auch die Korrekturanleitung bzw. auch den Hinweis in welchem Support Package (740) dieser enthalten sein sollte.

In der Standardselektion können einzelne Sammelrollen gewählt werden und es können unterschiedliche Ausführungen selektiert werden:
  • Simulation
  • Ausführung mit vorhergehender Simulation
  • Direkte Ausführung
Im Abschnitt Hinzufügen oder Löschen von Zuordnungen von Einzelrollen kann über Änderung zwischen
  • A Hinzufügen
  • D Löschen
auch mehrere Einzelrollen hinzugefügt oder entfernt werden.

Über den Abschnitt Optionen ist dann sowohl ein
  • Profilabgleich für Benutzer (PFUD)
als auch
  • Langtext ergänzen (mit Schalftläche Text)
für die Dokumentation innerhalb der Rolle möglich.

Im Abschnitt "Rollentransport" sind auch Einstellungen zum Transport vonnn Berechtigungen als mandantenabhängige Customizing-Objekte, sofern in der SCC4 aktiviert vorhanden, sofern die SCC4 Einstellungen aktiv sind.

Fazit

Die Themen SAP Basis und Berechtigungen sind auch immer wieder im gleichnamigen Podcast  "RZ10 LIVE SAP BASIS UND SECURITY" ein Thema und auch für Keyuser bspw. aus Controlling oder Rechnungswesen interessant und lehrreich. Da mein erster Kontakt mit SAP auch im Bereich Berechtigungswesenswesen war, bin ich auch immer noch sehr froh hier gemeinsam mit unserer SAP Basis im Thema bleiben zu können und freue mich immer wieder intensiver mit solchen Fragestellungen mich beschäftigen zu können.

Inhaltlich macht die Arbeit im Bereich SAP Basis und Berechtigungen auch dann noch Freude, wenn der eigene Schwerpunkt mittlerweile mehr im Bereich Controlling und Berichtswesen liegt.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung

Steuersoftware für das Steuerjahr 2023

Lexware TAXMAN 2024 (für das Steuerjahr 2023)

WISO steuer:Sparbuch 2024 (für Steuerjahr 2023)

WISO Steuer 2024 (für Steuerjahr 2023)


* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 12. Mai 2020
22:27 Uhr

Änderungsbelege zu CDHDR und CDPOST für SAP Objekte wie Stammdaten im Rechnungswesen (Report/Transaktionscode RSSCD100)

Gerade im Rechnungswesen, insbesondere auch im Controlling, stellt sich oft die Frage, wann und durch wen und wann eine Änderung von Stammdaten erfolgt ist. Dieses kann auch aus Sicht der Revision relevant sein und hat manchmal auch andere Hintergründe.

Im Gespräch mit einen Kollegen hat sich herausgestellt, dass nicht nur in der Stammdatenpflege selbst die Änderungsbelege zum Feld ausgewertet werden können, sondern auch eine übergreifende Auswertung anhand der Objektklasse für alle Änderungsbelege im SAP System möglich ist.

Ausgangslage:
Für eine Auswertung der gesperrten Kostenstellen kann die Transaktion KS13 genutzt werden.

Allerdings hat diese Auswertung unter:
  • Rechnungswesen
  • Controlling
  • Kostenstellenrechnung
  • Infosystem
  • Berichte zur Kostenstellenrechnung
  • Stammdatenverzeichnis
  • Kostenstellen: Stammdatenbericht (Transaktion KS13)
den Nachteil, dass hier zwar für alle Kostenstellen die (gesetzten) Kennzeichen für
  1. Primärkosten (Ist)
  2. Primärkosten (Plan)
  3. Sekundärkosten (Ist)
  4. Sekundärkosten (Plan)
  5. Erlöse (Ist)
  6. Erlöse (Plan)
  7. Obligofortschreibung
zwar mit X markiert sind, wenn diese gesetzt sind aber nicht ersichtlich ist, wann diese Sperre gesetzt worden ist. Um dieses Datum zu erfahren, muss in der Stammdatenpflege zur Kostenstelle (KS02, KS03) über

UMFELD->ÄNDERUNGSBELEGE->ZUM FELD

zu jeden einzelnen Feld eine Auswertung der Änderungen durchgeführt werden um zu erfahren, wann hier eine Änderung erfolgte.

Leider ist es hier nicht so einfach eine Änderungsauswertung wie "Änderungsbelege zu Systemstatus (JEST) bei Innenaufträgen per Query auswerten" bei den CO Innenaufträgen durchzuführen. Auch bei Stammdatengruppen war dieses mit einer im Artikel "Änderungsbelege für Stammdatengruppen im Customizing oder letzte Änderung über Query bspw. für Innenauftragsgruppen" beschriebenen Query möglich.
 

Tabellen CDHDR und CDPOS zur Änderungsprotokollierung

Eine Protokollierung der Stammdatenänderungen von Kostenstellen (aber auch von anderen Stammdatenobjekten erfolgt in den Tabellen
  • CDHDR Änderungsbelegkopf
  • CDPOS Änderungsbelegpositionen
Zweitere ist eine Clustertabelle, die leider nicht direkt in einer Query verwendet werden kann, da es sich um eine Struktur handelt. Die Einstellung zur Protokollierung kann über die Transaktion AUT03 erfolgen. Eine Änderung kann hier aber aus Revisionsgründen problematisch sein, daher möchte ich an dieser Stelle nicht weiter darauf eingehen, sondern auf die Auswertung der Tabelle CDHDR eingehen.

Über die Felder Objektklasse und ObjectID könnten hier das Objekt KOSTL für Kostenstelle und Objektwert bestehend aus der Objektbezeichnung (Kostenrechnungskreis und die Kostenstelle inkl. führenden 0) die Änderungsbelege mühsam ausgewertet werden.

Hier sind dann Änderungsdatum UDATE, Uhrzeit der Änderung UTIME und Transaktion mit der die Änderung durchgeführt wurde TCODE ersichtlich. Die Änderungen (insbesondere wleche Felder geändert worden sind) sind nun aber in der Tabelle CDPOS zu finden.

Änderungsbelege für Objektklasse in SAP anzeigen

Um diese auszuwerten, gibt es im SAP System einen ABAP Report RSSCD100 der auch über den Transaktionscode (Parametertransaktion) RSSCD100 Änderungsbelege anzeigen gestartet werden kann.

Über die Objektklasse kann nun für unterschiedliche Object-id (oder alternativ alle eine Liste aller Änderungen ab Datum bis Datum (inklusive Uhrzeit) und auch mit einer Selektion des letzten Änderer ausgeführt werden.

Relevant für unsere Auswertung ist das Feld Objektklasse sowie der Änderungszeitraum:
  • ab Datum
  • ab Uhrzeit
  • bis Datum
  • bis Uhrzeit
  • ggf. noch letzter Änderer.
Die Transaktion RSSCD100  bietet noch eine Menge anderer Optionen an.
Unter anderen die Option "Lesen aus dem Archivinfosystem, Lesen aus der Datenbank, Plus(+) oder auch Stern (*) kein WIldcard. Sind diese Optionen nicht gewünscht kann acuh der ABAP Report RSSCD200  verwendet werden. Dieser ist keinen Transaktionscode zugeordnet und hat dafür weniger Optionen beim Aufruf. Ich würde daher die Transaktion RSSCD100 und nicht SA38 für den Report RSSCD200 verwenden.
 

Änderungsbelege für Kostenstelle, Materialstamm, Kreditor und andere Objekte anzeigen (Objektklassen)

Als Objektklasse können im Rechnungswesen zum Beispiel folgende Werte genutzt werden:

Gemeinkostencontrolling CO-OM / Profitcenterrechnung EC-PCA
  • KOSTL  Kostenstelle
  • PRCTR  Profitcenter
  • KSTAR  Kostenart
  • RKAUFTRAG  Innenauftrag
Public Secter Management
  • FMFCTR  Finanzstelle
  • FMFONDS  Fonds
  • FMCI  Finanzposition
Finanzbuchhaltung
  • KRED  Kreditorenstammdaten
  • DEBI  Debitorenstammdaten
  • ANLA Anlagenstammdaten (FI-AA)
Logisitk / Einkauf
  • MATERIAL  Materialstamm
  • EINKBELEG Einkaufsbeleg
  • BANF Bestellanforderung
  • FAKTBELEGE  Faktura/Rechnung
  • VERKBELEG  Verkaufsbeleg/Angebot/Auftrag
und andere...

Auswertung Änderungsbelege der Objektklasse ... als ALV

Im Ergebnis erhalten wir eine ALV Liste mit u.a. folgenden Feldern:
  • Objektwert
    Bei der Auswertung von KOSTL (Kostenstellen) ist dieses die Objektnummer der Kostenstelle bestehend aus Kostenrechnungskreis sowie die Kostenstellennummer mit führenden 0
  • Belegnummer
    Der Änderungsbeleg
  • Benutzer
    SAP User der die Änderung durchgeführt hat (letzter Änderer)
  • Vorname, Nachname, Abteilung  zum Benutzer
  • Datum, Uhrzeit der Änderung
  • TCode
    Transaktionscode mit dem die Ändeurng durchgeführt wurde (bspw. KS02)
  • Tabelle und Kurzbeschreibung der Tabelle
    Zum Beispiel CSKSB "Struktur Kostenstellenstamm für Änderungsbelege"
  • Tabellenschlüssel
    Technischer Änderungsschlüssel?
  • Feldname
    Welches Feld wurde im Stamm geändert, bspw. ABTEI für Abteilung oder die Sperrkenzeichen
  • Kurztext, kurz, mittel, lang
    des Feldes das geändert wurde
  • alter Wert
  • neuer Wert
  • Änd.kz.
    Dieses Änderungskennzeichen beschreibt die Art der Änderung
    • U - Update
    • I - Insert
    • E - Delete (singele field documentation)
    • D -  Delete
    • J - Insert (single field documentation)
  • meitens dürfte dieses U für Update sein
Damit ist es recht umfangreich möglich entsprechende Auswertungen über die Sperrkenzeichen auszuführen. Hierzu muss nur in der ALV Liste zum Objekt KOSTL die entsprechenden Feldnamen gefiltert werden. In der Regel dürfte hier aber das Feld BKZKP "Primärkosten Ist" ausreichend sein.

Fazit

Dieser Report ist sehr umfangreich dürfte aber obige Anforderung tatsächlich efüllen und zeigt gleichzeitig eine Möglichkeit um Massenänderungen nachzuvollziehen zu können. Durch den eigenen Transaktionscode ist es sogar möglich den Report berechtigungsseitig direkt ohne Zuordnung der SA38 zuzuweisen. :-).
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 21. Januar 2019
21:36 Uhr

Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)

Neben der Einrichtung einer neuen Arbeitsumgebung (siehe auch meine Empfehlungen im älteren Artikel zum Thema "Arbeitsrechner neu einrichten"), ein wenig Umgestaltung meiner Internetseite und Updates zum Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" hatte ich mich auch wieder etwas mehr mit Fragen rund um das Thema Berechtigungen in SAP gekümmert.

Ausgangslage war die Herausforderungen im Artikel  "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL" wo ich im Laufe der Recherche auf die Möglichkeit zur Massenänderung von Berechtigungswerten innerhalb der Rollen gestossen bin.

Mit der Änderung der Berechtigungsobjekte alleine ist es aber nicht getan denn irgendwie müssen ja auch die Änderungen in das Produktivsystem gelangen. Daher soll sich dieser Artikel noch einmal rund um Fragen zum Berechtigungswesen drehen und die Erkenntnisse im vorherigen Artikel zusammenfassen.
 

Massenänderungen von Berechtigungsrollen mit PFCGMASSVAL

Thomas Berger stellt diese Transaktion im "SAP Basis und Solution Manager " im Artikel "ABAP Rollenpflege – Massenpflege von Werten (SAP Note 2177996)". Die entsprechende Transaktion PFCGMASSVAL ist entweder als Korrekturanleitung oder aber schon als Support Package mit eingespielt.

Durch die Transaktion PFCGMASSVAL (Report PFCG_MASS_VAL ) besteht die Möglichkeit  Rollen in einer Mehrfachauswahl zu selektieren (inkl, einer Suche nach Rollen mit Berechtigungsdaten (Berechtigungsobjekt und Feldwerte ebenso nach Benutzerzuordnung oder Pflegestatus).

Danach kann  eine Simulation durchgeführt werden, die Ausführung mit vorheriger Simulation oder eine direkte Ausführung gestartet werden.

Bei der Art der Feldänderungen kann zwischen:
  • Organisationsebene ändern
  • Feldwerte von Berechtigungen zu einem Objekt ändern
  • Feldwerte von Berechtigungen zu einen Feld ändern (Objektübergreifend)
  • Hinzufügen einer manuellen Berechtigung zu einem Objekt
  • Löschen einer manuellen Berechtigung zu einen Objekt
Bei den Feldänderungen für Berechtigungen kann anhand eines selektierten Berechtigungsobjektes für die einzelnen Berechtigungsfeldwerte
  • Hinzufügen
  • Ersetzen
  • Alles ersetzen
  • Löschen
gewählt werden.

Je nachdem, ob ihre Berechtigungen an ein Automatisches Transportsystem (Einstellungen SSC4) angeschlossen sind wird hier informativ auch im Abschnitt Rollentransport darauf eingangen. Sollte die SCC4 Einstellung nicht aktiv sein, kann jedoch im Anschluss an der Änderungen die gewünschten Rollen markiert werden und in der Drucktastenleiste die Transportfunktion angestossen werden.

Nähere Informationen dazu sind im OSS Hinweis / SAP Note 1723881 zu den SCC4-Einstellungen zu finden.

Massen Download und Upload von Berechtigungsrollen


Sofern die Rollen nicht an ein Transportsystem angeschlossen sind können diese auch per Upload und Download innerhalb der Systemlandschaft (oder auch zu anderen SAP Systemen) transportiert werden.

Innerhalb der Rollenpflege (Transaktion PFCG) kann über das Menü ROLLE->DOWNLOAD eine einzelne Rolle in eine Datei heruntergeladen werden und über ROLLE->UPLOAD auch hochgeladen werden.

Gerade wenn nun aber mehrere Rollen wie oben beschrieben geändert worden sind stellt sich die Frage, wie diese heruntergeladen werden können.

Innerhalb der Transaktion PFG gibt es im Menü HILFSMITTEL die Möglichkeit nicht nur zum Massenabgleich von Rolle (Transaktion PFUD siehe Abschnitt Benutzerabgleich für Rollen und Profile mit PFUD im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden") sondern auch die Möglichkeit zum Massentransport aber auch Massendownload.

Der Massendownload (Report PFCG_MASS_DOWNLOAD) ermöglicht die Mehrfachselektion von Rollen die nach Ausführung in eine Textdatei gemeinsam gespeichert werden. Beim massendownload werden alle Berechtigungsdaten und Rollenmenü sowie bei Sammelrollen auch alle enthaltene Rollen und sofern die Rollen von anderen abgeleitet worden sind auch diese mit heruntergeladen. Die Benutzerzuordnung wird dabei nicht heruntergeladen.

Im Nachfolgesystem kann diese Datei dann, wie auch bei einer Einzelrolle, über PFCG im Menü ROLLE > UPLOAD aus der Datei wieder eingespielt werden. Dabei werden dann alle in der Datei befindlichen Rollen hochgeladen, so dass eine Selektion hier nicht möglich ist. Allenfalls könnte die Datei bearbeitet werden. Notwendige Berechtigungen werden über das Berechtigungsobjekt S_USER_AGR und den Aktivitäten DL und UL abgebildet. Natürlich sind auch Berechtigungen für die Rollenpflege selbst erforderlich.

Wissen rund um Berechtigungen nicht nur ein Thema für die SAP Basis Betreuung


Das Thema Berechtigungen ist sicherlich etwas, dass für jedes Modul immer mal wieder relevant wird, so ist es auch kein Wunder, dass innerhalb meiner Blogroll sich auch einige SAP Blogs mit Artikeln rund um SAP Basisfragen kümmern.

Als Beispiel mag ich hier ein zwei Blogs besonders erwähnen: Wobei auch die anderen Blogs innerhalb der Webempfehlungen das Thema Berechtigungen ansprechen.

Eine häufige Anfrage wie "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" können durch Know How rund um das SAP Berechtigungswesen oder eines gut dokumentierten Berechtigungskonzeptes positiv beantwortet werden. Eigentlich sollte ich auch "Meine Bibliothek" der Buchempfehlungen zum Thema "SAP Basis (BC)" bei Gelegenheit einmal aktualisieren, da sich hier ebenfalls einige neue Bücher eingefunden haben.

An dieser Stelle soll dieser Artikel aber lediglich, dass zum Ende des letzten Artikel ergänzte Thema Massenpflege von Berechtigungen noch einmal zusammenfassen, so wie ich dieses zu den Themen LSMW, eCATT und MASS auch im Artikel "Massenstammdatenpflege mit LSMW oder SECATT dank Transaktionsaufzeichnung - Handbuch erweiterte computergestützte Test-Tool (eCATT) und LSMW" versucht habe.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 18. Januar 2019
18:34 Uhr

Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL

Hin und wieder kann es tatsächlich interessant sein auch schon ältere Themen,die hier im Blog  behandelt worden sind, sich aber über mehrere Artikel verstreut haben noch einmal zusammenzufassen.

Ausgangspunkt ist die Frage, dass  ein bestimmter Personenkreis nur Sachkosten ohne Personalkosten auf Kostenstellen und Innenaufträge auswerten können sollen. Dieses lässt sich natürlich auch beliebig auf andere Kostenarten übertragen.

Der erste Gedanke war hier recht naheliegend anhand der Konten selbst eine Berechtigung zu pflegen. Sowohl beim Sachkonto als auch bei der Finanzposition besteht die Möglichkeit eine sogenannte Berechtigungsgruppe zu hinterlegen.

Im Rahmen dieses Artikel kam dann auch schnell die Frage auf, wie das vorhandene Berechtigungskonzept angepasst werden kann. Dieses wird in einen späteren Abschnitt erläutert.

Berechtigungsgruppe in den Stammdaten Sachkonto und Finanzposition hinterlegen

In den Stammdaten des Sachkonto (Transaktion FS00) ist das Feld Berechtigungsgruppe im Reiter Steuerungsdaten zu finden.  Ebenso findet sich das Feld Berechtigungsgruppe in der Finanzposition (Transaktion FMCIA) unter den Grunddaten.

Über sogenannte Berechtigunsgruppen, die in ihrer Bezeichnung frei wählbar sind, kann ein weiterer Berechtigungsschutz ermöglicht werden.

Die Vorgehensweise ist ausführlich im Artikel "SAP BC: Personalkontenberechtigungen" erläutert. Die entsprechende Ausprägungen können in folgende Berechtigungsobjekten vorgenommen werden:
  • Berechtigungsobjekte für FI Sachkonto
    • F_BKPF_BES "Buchhaltungsbeleg: Kontenberechtigung für Sachkonten"
      Berechtigungsfelder: Aktivität, Berechtigungsgruppe
    • F_SKA1_BES "Sachkonto: Kontenberechtigung"
      Berechtigungsfelder: Aktivität, Berechtigungsgruppe
  • Berechtigungsobjekte für PSM Finanzposition
    • F_FICA_FPG "Haushaltsmanagement: Berechtigungsgruppe der Finanzposition"
      Berechtigungsfelder Aktivität Berechtigungsprüfung, Berechtigungsgruppe der Finanzposition, Finanzkreis
    • F_FICA_FTR "Haushaltsmanagement HHM-Kontierung"
      Berechtigungsfelder:
      Aktivität Berechtigungsprüfung
      FIFM: Berechtigung Datum
      Finanzstelle
      Finanzkreis
      Fonds
      Finanzposition
    • F_FICB_FPS "Finanzmittelrechnung/Haushaltsmanagement Finanzposition"
      Berechtigungsfelder:
       Aktivität Berechtigungsprüfung
       FIFM: Berechtigung Datum
       Finanzkreis
       Finanzposition

Berechtigungsobjekte im Controlling mit Bezug auf Kostenarten für CO-OM (Kostenstellen und Innenauftrag)


Damit würde sich grundsätzlich diese Berechtigungsobjekte anbieten um die gewünschte Berechtigungssteuerung umzusetzen. Allerdings baut manches Berichtswesen leider nicht nur auf PSM-FM auf, sondern es werden auch die CO-OM (Gemeinostenrechnung) Objekte direkt über die Kostenart ausgewertet.

Eine Berechtigungsvergabe im Modul CO für das Berichtswesen ist nur über die beiden Berechtigungsobjekte K_CCA, K_REPO_CCA für Kostenstellen und K_ORDER, K_REPO_OPA  für Innenaufträge möglich.  Hier sind jedoch nur Kostenarten entweder als Einzelwerte oder als Intervall positiv berechtigt, so dass keine negative Kostenartenberechtigung (Ausschluss bestimmter Kostenarten) noch Kostenartengruppen hinterlegt werden können. Die Berechtigungsobjekte sind dabei wie folgt ausgeprägt:
  • Berechtigungsobjekte für Kostenstellen
    • K_CCA "CO-CCA: Allg. Berechtigungsobjekt für Kostenstellenrechnung"
      Berechtigungsfelder:
      Aktionen der Berechtigungsprüfung
      Kostenart
      CO-OM Verantwortungsbereich
    • K_REPO_CCA "CO-CCA: Reporting auf Kostenstellen / Kostenarten"
      Berechtigungsfelder:
      Aktivität
      Kostenrechnungskreis
      Kostenstelle
      Kostenart
  • Berechtigungsobjekte für Innenaufträge
    • K_ORDER "CO-OPA: Allgemeines Berechtigungsobjekt für Innenaufträge"
      Berechtigungsfelder:
      Berechtigung Innenauftrag: Berechtigungsprüfung CO-OM
      Aktionen der Berechtigungsprüfung
      Kostenart
      CO-OM Verantwortungsbereich
    • K_REPO_OPA "CO-OPA: Reporting auf Aufträgen"
      Berechtigungsfelder:
      Aktivität
      Auftragsart
      Kostenrechnungskreis
      Kostenart
Insbesondere die Aktionen 3027: Summensätze selektieren und 3028: Einzelposten selektieren bei K_ORDER und K_CCA dürften diene Erfordernisse entsprechen.

Damit ist nur eine Steuerung über eine positive Berechtigungsfeldpflege für Kostenarten möglich. Dieses bedeutet, dass alles verboten ist, was nicht explizit erlaubt ist. Der Nachteil ist nur, dass die Berechtigungsausprägungen additiv wirken, so dass sich die Berechtigungen unterschiedlicher Rollen summieren.

Berechtigungsvergabe auf Ebene der Belegart


Eine andere Alternative wäre noch anhand der Belegart der gebuchten Belege eine Berechtigungsgruppe zu hinterlegen. Dieses ist im Artikel "Belegartberechtigung F_BKPF_BLA" ausführlicher beschrieben. Diese Belegart wird auch auf den Kostenrechnungsbeleg fortgeschrieben, so dass hier ggf. über die Art der Belege eine Berechtigung vergeben werden kann. Im Artikel "Grundlagen Finanzbuchhaltung - Customizing von Nummerkreis und Belegarten"  bin ich ebenfalls auf  Belegarten eingegangen.

Massenänderungen von Berechtigungsfeldwerten PFCGMASSVAL

Gerade wenn schon Intervalle mit Kostenarten gepflegt sind dürfte der OSS Hinweis / SAP Note 2177996 weiterhelfen. Hierdurch wird die Transaktion PFCGMASSVAL  zur Verfügung gestellt mit der die Berechtigungswerte mehrerer Rollen auf einmal gändert werden können.

Thomas Berger stellt diese Transaktion im "SAP Basis und Solution Manager " im Artikel "ABAP Rollenpflege – Massenpflege von Werten (SAP Note 2177996) ".

Da eine Änderung per LSMW oder eCATT von Berechtigungsfeldwerten durch die unterschiedlichen Positionen der Werte nicht ohne weiteres möglich ist kommt hier die Lösung "Massenstammdatenpflege mit LSMW oder SECATT dank Transaktionsaufzeichnung - Handbuch erweiterte computergestützte Test-Tool (eCATT) und LSMW" nicht in Frage.

Wie im oberen ARtikel von Thomas Berger geschildert besteht nach Aufruf der Transaktion PFCGMASSVAL  die Möglichkeit zum einen Rollen in einer Mehrfachauswahl zu selektieren (inkl, einer Suche nach Rollen mit Berechtigungsdaten (Berechtigungsobjekt und Feldwerte ebenso nach Benutzerzuordnung oder Pflegestatus (Als Selektion).

Danach kann  eine Simulation durchgeführt werden, die Ausführung mit vorheriger Simulation oder eine direkte AUsführung gestartet werden.

Bei der Art der Feldänderungen kann zwischen:
  • Organisationsebene ändern
  • Feldwerte von Berechtigungen zu einem Objekt ändern
  • Feldwerte von Berechtigungen zu einen Feld ändern (Objektübergreifend)
  • Hinzufügen einer manuellen Berechtigung zu einem Objekt
  • Löschen einer manuellen Berechtigung zu einen Objekt
Bei den Feldänderungen für Berechtigungen kann anhand eines selektierten Berechtigungsobjektes für die einzelnen Berechtigungsfeldwerte
  • Hinzufügen
  • Ersetzen
  • Alles ersetzen
  • Löschen
gewählt werden.

Für unseren Fall der Pflege des Berechtigungsfeldes KSTAR im Berechtigungsobjekt K_ORDER bietet sich die Änderung  ERSETZEN an und es können  über die Schaltfläche Zu ersetzende Werte und die Schaltfläche Werte entsprechende Änderungen eingeplant werden.

Damit ist eine Massenänderug tatsächlich auch für eine Vielzahl von Rollen möglich.

Je nachdem, ob ihre Berechtigungen an ein Automatisches Transportsystem (Einstellungen SSC4) angeschlossen sind wird hier informativ auch im Abschnitt Rollentransport darauf eingangen. Sollte die SCC4 Einstellung nicht aktiv sein, kann jedoch im Anschluss an der Änderungen die gewünschten Rollen markiert werden und in der Drucktastenleiste die Transportfunktion angestossen werden.

Nähere Informationen dazu sind im OSS Hinweis / SAP Note 1723881 zu den SCC4-Einstellungen zu finden.

Im Rahmen der Transaktion PFCG ist es möglich Berechtigungsrollen über die Menüpunkte Rolle- Upload und Download mit einen Speichermedium von einem Testsystem in ein Produktivsystem auch ohne Transportauftrag zu übertragen. 

Notwendige Berechtigungen werden über das Berechtigungsobjekt S_USER_AGR und den Aktivitäten DL und UL abgebildet.

Sofern erst einmal geklärt werden soll, welche Berechtigungen nun eigentlich noch fehlen ist der Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" weiterhin hilfreich. Auch wenn die Pflege von Berechtigungen im Bereich HCM bei mir schon eine Weile zurück liegt dürfte auch der Artikel "Infotypberechtigung anhand Personalteilbereiche" weiterhin aktuell sein.

Wenn es um die Suche von solchen Lösungen geht bin ich übrigens noch immer sehr froh um meine Blogroll (siehe unter den Webempfehlungen) und die dort ebenfalls verlinkte Websuche über einige bekannte SAP Seiten. Daneben sind immer noch Bücher eine wichtige Quelle um sich auch in anderen Modulen noch Wissen anzulesen. Hierzu findet sich unter Buchempfehlungen eine Übersicht einiger von mir gerne genutzter Bücher.

In der Desktop Version dieser Internetseite habe ich hier auch an der Seite ein entsprechendes Menü ergänzt, so dass heir schnell auf das jeweilige Modul oder die Suche zugegriffen werden kann.

Fazit

Gerade bei einen bestehenden Berechtigungskonzept ist eine nachträgliche Berechtigungsanpassung schwierig, insbesondere dann wenn eine Trennung von funktionalen und operativen Berechtigungen zwar vorgenommen worden sind aber tatsächlich die Kontierungsobjekte (wie Kostenstelle, Kostenart, Finanzposition, Finanzstelle, ...) in einer gemeinsamen Rolle gepflegt sind.

Gerade in diesen Fall ist die Transaktion PFCGMASSVAL tatsächlich eine gute Unterstützung, allerdings ist bei der Einführung eienr Berechtigungsgruppe zu beachten, dass ggf. übergeleitete Belege (Abrechnung aus externen HCM System) ebenfalls durch Berechtigungen auf neue Probleme stossen können. So muss auch der technische User für die Abrechnung entsprechende Berechtigungen zum Buchen auf der Berechtigungsgruppe haben.

Gerade für Keyuserinnen und Keyuser kann es daher tatsächlich interessant sein das bestehende Berechtigungskonzept zu überarbeiten und vielleicht gemeinsam mit der SAP Basis sich diese Transaktion genauer anzusehen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Sonntag, 4. November 2018
11:53 Uhr

SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben

Nachdem ich im Rahmen einer Arbeitsgruppe des Competence Center für Hessische Hochschulen schon einen "Auffrischungsworkshops SAP Query im Hochschulcontrolling und Hochschulberichtswesen" gehalten habe hat sich dann noch ein Tagesseminar zum Thema »SAP Query in SAP ERP« mit Auswertung von Stamm und Bewegungsdaten aus den Modulen des Rechnungswesens (CO, FI, PSM-FM) ergeben.

Dieses war auch relativ schnell ausgebucht und ich hoffe, dass die angebotenen Übungen tatsächlich weiter geholfen haben um die Möglichkeiten mit SAP Query im Hochschulberichtswesen darzustellen.

Handout SAP Query Schulung

Eine wichtige Frage, die auch in der Schulung behandelt worden ist, war wie Endanwende später die erstellte Query aufrufen und nutzen können. Selbstverständlich besteht die Möglichkeit über Benutzergruppen und die Transaktion SQ00 eine Query direkt zu starken und berechtigungsseitig hier die Pflege der Query einzuschränken, aber eleganter und praktischer ist es in meinen Augen der erstellten Query eine eigene Transaktion zuzuweisen.

Report-Transaktion für SAP Query

Hierzu kann über die Transaktion SE93 eine sogenannte Reporttransaktion angelegt werden.

Diese Reporttransaktion ruft direkt einen ABAP Report auf und über das Selektionsbild 1000 gelangt man auch direkt in das Auswahlfenster der Transaktion und kann in der Reporttransaktion auch im Punkt Start mit Variante eine passende Variante für die Query anlegen und diese direkt starten um eine bestimmte Vorauswahl in der Selektion zu speichern und hier auch eine Layoutvariante zu hinterlegen.

Reportname zu SAP Query

Die Frage ist nun nur, wie kann der Reportname herausgefunden werden. Im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query / Unterschied Parameter- oder Reporttransaktion" bin ich schon einmal darauf eingegangen, dass in der Transaktion SQ01 im Menü über QUERY->WEITERE FUNKTIONEN->REPORTNAME ANZEIGEN der zugeordnete Reportname angezeigt werden kann.

Dabei ist die Namenslogik des Reportnamen wie folgt aufgebaut:
  • Mandantenabhängige (Standardbereich) Query beginnen mit AQCS
  • Globale (Globaler Beeich) Query beginnen mit AQZZ
danach folgt die Benutzergruppe in der die Query zugeordnet ist und der Name der Query. Dieser wird mit == aufgefüllt, so dass eine Gesamtlänge des Reportnamens von 30 Zeichen sich ergibt.

So wird die Query AQ mit der Bezeichnung  ZCOFM_PROJEKTE der Benutzergruppe ZBUCH im Standardbereich CS(mandantenabhängig) als Report mit folgender Bezeichnung zugeordnet:
  • AQCSZBUCH=======ZCOFM_PROJEKTE

Nachdem der Reportname zur Query in der Reporttransaktion hinterlegt wird ist nun noch eine Frage, wie die Berechtigungen für die SAP Query-Transaktion vergeben werden können. Hierzu müssen entsprechende Berechtigungsobjekte mit Berechtigungsfeldwerten versehen werden.

Parametertransaktion zu SAP Query

Eine bessere Alternative ist jedoch die Anlage einer Parametertransaktion zu SAP Query. Diese ist im Artikel "Umstellung Reporttranskationen auf Parametertransaktionen zum Aufruf SAP Query" näher beschrieben inklusive einen Hinweis, warum eine Reporttransaktion Probleme bereiten kann.
 

Berechtigungsobjekte und Berechtigungsfeldwerte auf Tabellen und Tabellenberechtigungsgruppe

Dabei ist natürlich nahe liegend das Berechtigungsobjekt S_TCODE "Transaktionscodeprüfung bei Transaktionsstart" mit im Berechtigungsfeld Transaktionscode mit der neu angelegten Transaktion bspw. ZUNKELBACH zu füllen.

Neben der reinen Berechtigung für den Start der Transaktion sind aber auch noch die Berechtigungen für das Lesen der Daten mit der Query erforderlich.

Hier sind zwei Berechtigungsobjekte noch zu füllen.

Das Berechtigungsobjekt S_TABU_DIS "Tabellenpflege (über Standardtools wie zB SM30) ist mit der Aktivität 03 Lesen zu versehen und im Berechtigungsfeld Tabellenberechtigungsgruppe zu hinterlegen. Die Zuordnung von Tabellen zu Berechtigungsgruppen erfolgt mandantenunabhängig über die Transaktion SE54 (Speicherort der Einstellungen ist dann die Tabelle TDDAT Pflegebereiche für Tabellen) einzusehen.

Ferner ist auch das Berechtigungsobjekt S_TABU_NAM "Tabellenzugriff über generische Standardtools" ebenfalls mit der Aktivität 03 und den relevanten Tabellennamen zu pflegen.

Es bietet sich tatsächlich an hier über einen Testuser und der Transaktion SU53 die entsprechenden Berechtigungsfeldwerte zu ermitteln. Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" bin ich auch auf die Frage der Berechtigungsprüfung nebst einer Anzeige der fehlgeschlagenen Berechtigungsprüfungen für eine andere Benutzerkennung eingegangen.

Eine Auswertung für Stammdaten im Bereich CO-OM (zum Beispiel "Auswertung sprechender Nummernkreisintervalle von CO Innenaufträgen mit Query Zusatzfeldcoding und Unterscheidung numerischer oder alphanumerischer Schlüssel") verlangte als Berechtigungsausprägung folgende Angaben in den Berechtigungen:
  • S_TABU_DIS
    Anzeigeberechtigung auf Tabellenberechtigungsgruppe:
    KA          CO:Anwendungstabelle
    KEC        CO-PA:Customizing
und zum direkten Lesen der Tabellen für die Stammdaten der Innenaufträge sowie  der Stammdaten der Profit-Center (EC-PCA) zu lesen.
  • S_TABU_NAM
    Anzeigeberechtigung für Tabellen
    AUFK    Auftragsstammdaten
    CEPCT   Profit-Center-Stammdaten Texte
Während eine Auswertung der Stammdaten im Bereich FI für Kreditoren wie im Artikel "Query über IBAN und Stammdaten Kreditor oder Debitor (Zusatztabellen in SAP Query)" beschrieben folgende Berechtigungen benötigte:
  • S_TABU_DIS
    Anzeigeberechtigung auf Tabellenberechtigungsgruppe
    FA   RF:Anwendungstabelle
    &NC&   ohne Berecht.gruppe
und der Stammdaten der Kreditoren (Lieferanten) sowie der IBAN Verbinudng (TIBAN).
  • S_TABU_NAM
    Anzeigeberechtigung für Tabellen
    LFBK Lieferantenstamm (Bankverbindungen)
    TIBAN  IBAN
Sollen statt der Kreditoren (Lieferanten) die Debitoren (Kunden) ausgewertet werden ist hier natürlich KNBK Kundenstamm (Bankverbindungen) zu hintelegen.

Gerade die Aussteuerung von Berechtigungen sowie die Umsetzung eines Berechtigungskonzeptes ist ein Grund warum die anwendungsbetreuende Keyuser der jeweiligen Fachabteilungen ebenfalls eng mit der SAP Basis und der Berechtigungsvergabe zusammen arbeiten sollten. Ein weiteres Thema ist hier, insbesondere bei mehreren Mandanten innerhalb des SAP System, auch eine Frage der Namenskonvention. Eine Reporttransaktion wird über einen Workbenchauftrag transportiert und steht damit mandantenübergreifend im System zur Verfügung. Die Query liegt dafür ggf. jedoch im mandatenabhängigen Bereich (es sei denn es ist eine globale Query). Die unterschiedlichen Möglichkeiten zum "Transport von InfoSet mit ABAP-Coding und Query per Transportauftrag" wurden ja schon beschrieben. Sinnvoll kann es hier sein bei kundeneigene Transaktionen als Namensraum Z gefolgt von der Mandatennummer zu verwenden, so dass hier keine Verwechslung entsteht.Sinnvolle Namenskonventionen für kundeneigene Entwicklungen sollten ebenfalls in einen Fachkonzept, wenn nicht sogar im Berechtigungskonzept, hinterlegt werden.

Schulung zu SAP Query


Berichtswesen mit SAP Controlling am Beispiel SAP Query

Persönlich hat mir die Ausarbeitung der SAP Schulung zum Thema SAP Query im Berichtswesen viel Freude gemacht und ich hoffe, dass die Begeisterung für die einzelnen Berichtstools und Möglichkeiten gerade im Kontext Hochschulcontrolling und Hochschulberichtswesen hier überzeugend dargestellt worden sind. Eine Darstellung der von mir im Berichtswesen besonders gern genutzten Tools und Möglichkeiten habe ich auch im Buch »Berichtswesen im SAP®-Controlling«  geschildert, dass ebenfalls einen guten Überblick über den Aufbau eines Berichtswesen sowie eine Einführung über "Unterschiedliche Auswertungsmöglichkeiten im Controlling (Report Writer, Recherchebericht, SAP Query) und natürlich Excel ;-)" bietet.

Da das Tagesseminar relativ schnell ausgebucht war bin ich gespannt, ob sich noch einmal eine Nachfrage für ein erneutes Seminar zum Thema finden wird. Ansonsten bleibt es erst einmal bei den Buchempfehlungen die ich auch hier online gerne gebe.

Gerade im Bereich des Berichtswesen auch und besonders für Hochschulen ist auch ausserhalb des Controlling ein sinnvolles Berichtswesen auch daran gekoppelt welche Möglichkeiten zur Auswertung im jeweiligen System zur Verfügung stehen. Daher möchte ich mich auch bei den Teilnehmerinnen und Teilnehmern meiner Schulung bedanken die sowohl eine gute Bewertung als auch durch ihre rege Beteiligung eine Menge an Feedback gegeben haben.

Die Schulung selbst ist relativ umfangreich und anspruchsvoll gewesen, jedoch war die Rückmeldung auch so, dass selbst erfahrende Anwendende noch den ein oder anderen neuen Aspekt dieses Tool kennen gelernt haben. Die Besetzung mit Keyuserinnen und Keyusern aus den Modulen FI, CO, PSM-FM und auch MM sowie geplant HCM hat gezeigt, dass es sinnvoll war hier die Übungen zwar aus den Modulen des Rechnungswesen (CO, FI. PSM-FM) zu nehmen aber so zu wählen, dass diese grundsätzliche Funktionen wie die Nutzung von Join, logische Datenbanken oder auch Zusatztabellen, Zusatzfeldern und Zusatzfeldcoding beschrieben hat.

Teilweise sind die vorgestellten Übungen auch schon in diversen Blogartikeln ausführlich behandelt, allerdings dürfte die Zusammenstellung der Beispiele auch für den ein oder anderen interssant sein. Durch die ausgewählten Beispiele, die sich ursprungsbedingt natürlich in der Hauptsache im CO Umfeld befinden, sollten die verschiedenen Möglichkeiten vorgestellt werden und ich hoffe, dass diese auch für andere Personen übertragbar sind. Sowohl im Finanzwesen als auch im Personalwesen werden tatsächlich auch logische Datenbanken genutzt.

Auf eine Wiederholung der Schulung freue ich mich ebenso wie mir auch das Aktualisieren und Ergänzen der Schulungsunterlagen auf Basis von Rückmeldungen und Fragen Freude gemacht hat. Entsprechend gerne stehe ich mit meinen Angebot für eine künftige Schulung zur Verfügung. Die Schulung slebst ist in vier Abschnitten mit entsprechenden Übungen aufgeteilt und widmete sich nicht nur der Grundlagen von SAP Query mit den einzelnen relevanten Elementen (Arbeitsbereich, Benutzergruppe, Infoset, Query), der Identifizierung von Daten (wo diese gespeichert sind sowie auch die Erweiterung der Query durch lokale Felder, Zusatztabellen und Zusatzfelder inklusive Zusatzfeldcoding das noch weitere Möglichkeiten bietet. Die Übungen zeigten nicht nur die Anwendung dieser Möglichkeiten sondern durch praktische Übungen auch Auswertung von Stamm und Bewegungsdaten aus den Modulen des Rechnungswesens  (CO, FI, PSM-FM).
 

Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Wissenschaft und VG Wort
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Sonntag, 5. August 2018
14:52 Uhr

SAP BC: Profilparameter Anzahl Modi in SAP per RZ10 setzen

Manchmal bringt der Austausch mit Kollegen auch basisnahe Themen auf den Tisch beziehungsweise erinnert man sich an Einstellungen die scheinbar feste Einschränkungen innerhalb eines SAP System öffnen können. So hatten wir uns diese Woche über die maximal mögliche Anzahl der Modi innerhalb des verwendeten SAP System unterhalten.

Was ist ein SAP Modus?

Unter SAP Modus oder Instanz sind vereinfacht ausgedrückt einzelne Fenster die innerhalb ihres SAP System geöffnet sind. Diese können entweder durch das Menü
  • System>
  • Neues Gui Fenster (Tastenkombination STRG + N)
oder über die Symbolleiste "Neuen Modus erzeugen"
und auch über Transaktionscodes vorrangestellt mit /O erzeugt werden.

Irgendwann erscheint dann aber tatsächlich die Meldung "Maximaler Anzahl Modi erreicht". Hier stellt sich dann das Problem, dass einfach zu viele Modi geöffnet sind.

Im Standard passiert dieses bei sechs geöffneten Modi die sich allerdings, wie so oft bei SAP, auch entsprechend anpassen lassen.

Dazu muss das Systemprofil DEFAULT.PFL angepasst werden.

Was ist das Systemprofil DEFAULT.PFL?

Über die Systemparameter lassen sich, vergleichbar zur CONFIG.SYS in MS DOS Betriebssysem Parameter einstellen, die entsprechende Auswirkungen auf das gesamte SAP System haben.

Pflege per Transaktion RZ10

Hier zu kann im SAP Menü unter:
  • WERKZEUGE >
  • CCMS >
    (Computer Center Management System)
  • KONFIGURATION >
Die Transaktion RZ10 für Systemprofil aufgerufen werden. Nach Aufruf der Transaktion kann das DEFAULT Profil ausfgerufen werden. Alle Änderungen werden hier in unterschiedlichen Versionen gespeichert, so dass bei der Auswahl die letzte Version des Default-Profil je System gewählt werden kann.

Beim Bearbeiten des Profils stehen hier drei Optionen zur Verfügung:
  1. Verwaltungsdaten
  2. Grundpflege
  3. Erweiterte Pflege
Unter den Verwaltungsdaten wird bspw. der Pfad zur Datei DEFAULT.PFL angezeigt.
Dieses kann dann bspw. der Pfad am Betriebssystem zur Datei
USER > SAP > SID (System ID) > SYS > profile > DEFAULT.PFL
sein. Dabei unterscheiden sich User, SAP und SID je nach System aber die Unterverzeichnisse bleiben gleich.

Unter den Punkt Grundpflege verbergen sich Einstellungen wie der Datenbankrechner im Abschnitt Rechner und Services oder auch im Abschnitt Allgemeine Angaben der Defaultmandanten. Hier ist dann zum Beispiel der Mandant 300 bei der Anmeldung per SAP Gui voreingestellt.

Für die Einstellungen von eigenen Profilparametern ist der Punkt Erweiterte Pflege relevant. Sofern vorhanden können hier einzelne Systemparamter gepflegt werden, oder aber neue Parameter über die Schaltfläche "PARAMETER" angelegt werden.

Anzahl der erlaubten SAP Modi pflegen Parameter rdisp/max_alt_mode

Die Anzahl der erlaubten SAP Modi kann zum Beispiel über den Parameter rdisp/max_alt_mode  gesteuert werden.  Bei Auslieferung ist dieses systemseitig mit 6 voreingestellt (selbst wenn der Parameter nicht in der Übersicht auftaucht). Je nach GUI Stand kann der Wert aber auf 9 beziehungsweise 16 Instanzen eingestellt werden.

Dabei ist zu beachten, dass diese Einstellung sowohl systemweit als auch userübergreifend gültig ist und ein Neustart des SYSTEM erforderlich ist (dieses gilt jedoch für alle Parameter). Danach können auch mehrere Modi geöffnet werden.

Ferner sollte hier auch direkt geprüft werden, dass der Parameter login/disable_multi_gui_login  auf 1 gestellt ist, so dass hier keine Mehrfachanmeldung der User erlaubt ist (die Modi würden sonst für jede Anmeldung gelten).

Immerin kann dieser Parameter auch benutzerbezogen gepflegt werden.

Report RSPARAM Revision der Parameter

Über den ABAP Report (Transaktion SA38) RSPARAM können die aktuellen Einstellungen der Paramter überprüft werden.

Dabei werden in Tabellenform die derzeitigen Einstellungen ausgwertet:

In der ersten Spalte ider der Parametername zu sehen, die zweite Spalte enthält den individuell eingestellten Wert und in der dritten Spalte ist der Defaultwert (von SAP vorgegeben) zu sehen. Sofern die zweite Spalte leer ist hat der Defaultwert Gültigkeit,

Fazit

Änderungen an solchen weitreichenden Einstellungen sollten stets in Abstimmung mit der SAP Basis erfolgen (und das nicht nur, weil ein Neustart des SAP System erforderlich ist). Weitere Einstellungen der SAP Profilparameter sind passenderweise im Blog RZ10.DE im Artikel "Profilparameter zur Umsetzung von Kennwortrichtlinien in SAP-Systemen" vorgestellt. Das Blog selbst ist auch an anderer Stelle insbesondere was das Thema SAP BC und Berechtigungen anbelangt aber auch für andere Themen immer wieder einen Besuch wert. Gerne verweise ich an dieser Stelle auch noch auf einige andere SAP Blogs innerhalb meiner Webempfehlungen.
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Samstag, 11. Juni 2016
10:49 Uhr

Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen

Wie schon im Artikel "Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?" angesprochen ist das Thema Berechtigung im Alltag immer wieder aktuell. So hatten wir letztens eine Diskussion über das Ausführen von SAP Query als Keyuser und eine Diskussion mit Basis und bestehenden Berechtigungskonzepten.

Als eine schnelle Lösung möchte ich hier zwei Möglichkeiten darstellen.

Hier sollte immer die Frage geklärt werden, welche Berechtigungen zum Ausführen oder Nutzen von SAP Query (siehe "Grundlagen Kurzeinführung und Handbuch SAP Query") genutzt werden soll.

Innerhalb des Abschnitts "1.2. Berechtigungsrollen für Query" bin ich hier auch auf unterschiedliche Rollen zum reinen Ausführen einer Query (zum Beispiel über die Transaktion SQ00) und den Erstellen der Query eingegangen.

Vorschlag: Berechtigungsrolle zum Ausführen von SAP Query

So würde eine Rolle zum Ausführen von SAP Query natürlich die Berechtigung für SQ00 (Berechtigungsobjekt S_TCODE)und folgende Berechtigungsobjekte enthalten.

Daneben bedarf es folgender Berechtigungen:

S_TABU_DIS
ACTVT Aktivität 03
DICIBERCLS Tabellenberechtigung *

S_DEVELOP
ACTVT Aktitivität 03
DEVCLASS Paket $0, T*, Y*, Z*
OBJTYPE Objekttyp DOMA,  DTEL, ENQU, LDBA, INDX, MCID, MCOB, SHLP. SQLT, SQTT, STRU, TABL, TABT, TTYP, TYPE, VIEW, VIET
P_GROUP Berechtigungr.ABAP/4Program *

S_QUERY
ACTVT
Hier reicht das reine Vorhanden des Beechtigungsobjektes aus, ohne dass hier ein Berechtigungsfeldwert einzutragen ist.

Natürlich sollte dieser Vorschlag noch mit vorhandenen Berechtigungskonzepten abgestimmt werden. Inhaltlich ist dieses ohnehin ein Thema, wo verschiedene Abteilungen (und Keyuser) intensiver und harmonisch mit der SAP Basis Abteilung sich abstimmen sollten.

Von daher ist es auch nicht weiter verwunderlich, dass sich auch manche Blogs ausschliesslich mit den Fragen rund um Berechtigungen und entsprechende Konzepte beschäftigen.

Eine entsprechende Schulung im Bereich Berechtigungswesen kann sicherlich auch in das Fortbildungskonzept der einzelnen Fachabteilungen eingebunden werden.

Sicherlich sollte man darauf achten, dass sich sowohl das Berechtigungskonzept als auch die Frage, welche Art von Berechtigungen im Zusammenhang mit gewünschten Berichtswesen um hier auch solche Fragestellungen zu berücksichtigen.

Diese Themen wurden auch im Artikel "Unterschiedliche Auswertungsmöglichkeiten im Controlling (Report Writer, Recherchebericht, SAP Query) und natürlich Excel ;-)" angesprochen.

Hier sind als Thema Report Writer / Report Painter (siehe auch "Grundlagen Kurzeinführung und Handbuch Report Painter Report Writer" ) Recherchebericht, SAP Query und natürlich Query und nicht zu vergessen, das liebste Spielzeug aller Controller Excel (wodurch auch viele Artikel innerhalb der Rubrik "Office" geklärt sind.
 

Alternative: Transaktion für einzelne Query anlegen und diese im Menü hinterlegen

Eine interessantere Alternative ist dabei für einzelne Query eine eigene Transaktion wie im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query / Unterschied Parameter- oder Reporttransaktion" beschrieben anzulegen.

Ebenso bin ich im Artikel "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" auf dieses Thema eingegangen.

Eine spannende Option wäre dann tatsächlich auf diese Weise Query, Report Painter/Writer und andere Berichte in ein kundeneigenes Menü wie im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" beschrieben einzubauen. Diese sind dann auch über Berechtigungen beziehungsweise Rollen einzelnen Usern zuweisbar.


 

Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Berichtswesen im SAP®-Controlling (📖)

Für 19,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 10. Juni 2016
20:52 Uhr

Welche User haben die Berechtigung zur Auswertung einer bestimmten Kostenstelle oder Innenauftrag?

Manchmal kommen auch im Bereich SAP BC (basis components) im Bereich Berechtigungswesen ebenfalls Fragen auf, die nicht nur über einen sprechenden Namen der Berechtigungsrollen (ehemals Aktivitätsgruppen) sondern auch über eine technische Auswertung zu beantworten sind. Daher möchte ich hier eine typische Fragestellung und ihren Weg zur Beantwortung stellen. Im Alltag stellte sich die Frage, welche User eine bestimmte Kostenstelle oder ein bestimmtes Projekt auswerten dürfen.

Benutzerinformationssystem (SUIM)

Grundsätzlich können, meiner bescheidenen Meinung nach, alle Fragen zur Auswertung rund um das Berechtigungswesen über die Transaktion SUIM (Benutzerinformationssystem) beantwortet werden. Inhaltlich handelt es sich hierbei um einen Teilausschnitt des SAP Menü (wie auch im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" im Abschnitt Bereichsmenü beschrieben), welches statt über die Transaktion SUIM auch im normalen SAP Menü unter
  • Werzeuge
  • Administration
  • Benutzerpflege
  • Infosystem
direkt zu finden ist.

Für eine Fragestellung "Wer hat Berechtigungen eine Kostenstelle (zum Beispiel 1040000 für die Abteilung Controlling) auszuwerten oder aber wer darf ein bestimmtes Projekt auswerten?".

Zur Beantwortung dieser Frage kann eine Auswertung der Benutzer nach Berechtigungswerten verwendet werden. Dieser Bericht mit der Transaktion S_BCE_68001397 ist innerhalb des Benutzerinformationssystem (SUIM beziehungsweise im entsprechenden Bereichsmenü) unter:
  • Benutzer
  • Benutzer nach komplexen Kriterien
  • nach Berechtigungswerten
zu finden.

Berechtigung zur Auswertung einer Kostenstelle

Von der Handhabung her kann nun als Berechtigungsobjekt K_CSKS "CO-CCA: Kostenstellen-Stamm" oder noch besser K_REPO_CCA "CO-CCA: Reporting auf Kostenstellen / Kostenarten" eingetragen werden.

Nach Bestätigung des Berechtigungsobjekt mit ENTER kann im Feld "KOSTL - Kostenstelle" die auszuwertende Kostenstelle eingtragen werden.

Berechtigung zur Auswertung von Innenaufträgen oder Fonds im Haushaltsmanagement

Sollen stattdessen Berechtigungen auf Projekte (im Sinne von Innenauftrag oder Fond) überprüft werden bietet sich im Modul Controlling (CO) das Berechtigungsobjekt K_ORDER "CO-OPA: Allgemeines Berechtigungsobjekt für Innenaufträge" an. Hier kann über den CO-OM Verantwortungsbereich nach Kostenstelle oder Innenauftrag gesucht werden, dabei sind Innenaufträge vorrangestellt mit OR* abzufragen.

Gerade im öffentlichen Dienst dürfte aber auch das Modul PSM-FM (Public Sector Management - Haushaltsmanagement) eingesetzt werden. Hier werden Projekte auf Fonds abgebildet. Diese sind im Grunde analog zu Innenaufträgen zu betrachten (so wie auch Finanzstellen als Gegenstück zu Kostenstellen betrachtet werden können.
Für eine Auswertung bieten sich die  Berechtigungsobjekte F_FICA_FCD "Haushaltsmanagement Fonds" oder  F_FICA_FTR "Haushaltsmanagement Finanzbudgetkonto" an die direkt als Berechtigungfeld FOND anbieten wo dieser direkt eingetragen werden kann.

Ergebnisliste komplexe Benutzer nach komplexen Kriterien (Berechtigungsfeldwerten)

Im Ergebnis wird eine Liste aller User mit der entsprechenden Berechtigung ausgewiesen.

Über die Schaltfläche Rollen erhält man ferner auch noch eine Liste aller diesen Usern zugeordneten Berechtigungsrollen, so dass hier eine einfache Auswertung möglich ist.

Fazit

Auch wenn es (sicherlich) ein umfangreiches Berechtigungskonzept gibt in dem auch die einzelnen Berechtigungen der jeweiligen User oder zumindest der Rollen festgehalten sind, können solche Auswertungen auf eine sehr schnelle Weise technisch direkt Auskunft darüber geben, wer für ein bestimmtes Objekt entsprechende Berechtigungen inne hat. Entsprechend hilfreich ist es, besonders für Keyuser, sich auch mit Fragen aus den Beeich Berechtigungen auszukennen.

Ich werde vermutlich im Laufe der Zeit auch noch weitere Bücher aus den Bereich Berechtigungen vorstellen (siehe Buchempfehlungen), aber bis dahin kann ich schon einmal das Buch "SAP ® Handbuch Sicherheit und Prüfung. Praxisorientierter Revisionsleitfaden für R/3-Systeme" empfehlen. Aber auch in der Flatrate von Espresso Tutorial sind Bücher zum Thema Berechtigungen zu finden :-).

Daneben beschäftigen sich auch einige von mir gerne gelesene und auch an dieser Stelle empfohlene SAP Blogs mit den Themenschwerpunkt Berechtigungen.

Der Vollständigkeit halber möchte ich natürlich auch auf einige eigene Artikel rund um das Thema Berechtigungswesen in SAP hinweisen: Die Vielzahl an unterschiedlichen Artikeln rund um das Thema Berechtigungswesen ist vermutlich oder eigentlich ganz sicher durch meinen ersten intensiveren Einstieg rund um SAP begründet. Meine damalige Diplomarbeit zum Thema "Berechtigungswesen in SAP auf Basis der Überarbeitung des vorhandenen Konzeptes der FH Gießen-Friedberg im Bereich Finanzwesen und Controlling" hilft auch heute noch dabei modulübergreifend bestimmte Konzept und Zusammenhänge rund um das Thema BC zu begreifen und in die tägliche Arbeitsweise mit einzubinden.

Entsprechend würde ich auch anderen Keyusern das Thema Berechtigungen empfehlen, da es doch immer wieder einige Fragestellungen aus diesen Bereich gibt, die so mit wenigen Schritten im System und nicht per Dokumentensuche zu beantworten sind. Die ernsthafte Beschäftigung mit der Frage, welche Berechtigung Keyuser (oder Poweruser) erhalten sollen ist nicht nur für die Revision des Berechtigungswesen, Datenschutz und verschiedene damit verbundene Tätigkeiten relevant beziehungsweise zu klären sondern sollte sich auch Gedanken darum machen, welche Tätigkeiten entsprechende Benutzer im SAP System erhalten sollen.
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Smartwatch -Smarte Geräte am Handgelenk
Smartwatch -Smarte Geräte (Wearable) am Handgelenk
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 13. Oktober 2015
22:17 Uhr

SAP Basis Basic oder dank SU53 oder ST01 Trace oder STAUTHTRACE fehlende Berechtigungen finden

Seit meiner Diplomarbeit habe ich mich nicht mehr ganz so intensiv mit Fragen im Bereich des Berechtigungswesen von SAP auseinander gesetzt. Dennoch kommen in der täglichen Praxis immer einmal wieder Fragen zum damaligen Berechtigungskonzept oder bei der Umsetzung von Berechtigungen im Umfeld zum Berichtswesen als Thema auf. So ist mir letztens im Rahmen einer Schulung aufgefallen, dass eine andere Einrichtung tatsächlich Berechtigungen auf Innenauftragsgruppen vergibt. Die Umsetzung dazu fand ich damals schon im Forumsbeitrag auf fico-forum.de sehr spannend. Die Diskussion von damals ist unter "Berechtigungen auf Innenauftragsgruppen" sehr gut dokumentiert (allerdings hatte die Umsetzung aber irgendwie nicht mehr komplett in Erinnerung).

Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.

Berechtigungtrace

Notfalls bestand auch immer noch die Möglichkeit, wie im Artikel "Anleitung Berechtigungstrace über ST01" beschrieben einen Berechtigungtrace auszuführen. Hier ist auch ein Verweis auf eine gute Beschreibung des Berechtigungtrace im Exxsense Developer Blog auf den  Artikel  "Berechtigungs-Trace" zu finden in dem dieser mit Screenshots sehr ausführlich beschrieben wird. Die neuen  Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace sind dabei in einen Artikel auf rz10.de ebenfalls ausführlich beschrieben.

Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE  zu finden.

STAUTHTRACE

Eine aktuelle Alternative zur Berechtigungsanalyse ist die Transaktion SAUTHTRACE, die ihren Schwerpunkt auf Berechtigungsprüfung legt und damit eine interessante Alternative zum Berechtigungstrace über die Transaktion ST01 bietet.

Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.

Im Exxsense Developer Blog wird im Artikel  "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.
 

SU53 für andere Benutzer auswerten

Eine bis zum Telefonat für mich unbekannte Funktion der SU53 ist es jedoch, dass beim Aufrufen der Transaktion über das Menü BERECHTIGUNGSWERTE->ANDERER BENUTZER oder über die Symbolleiste mit der Schaltfläche "Benutzer (F5)" (oder eben F5) die Berechtigungsprüfung für einen anderen User angezeigt werden.Hierbei liefert die Transaktion SU53 alle geprüften Berechtigungobjekte (mit Worten) für einen Vorgang innerhalb SAP und mit der neuen Version auch inklusive der Uhrzeiten der jeweiligen Berchtigungprüfungen.

 Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.

Benutzerabgleich für Rollen und Profile mit PFUD

Ein häufiger Fehler bei nicht vorhandenen Berechtigungen kann neben tatsächlich fehlenden Berechtigungwerten in den einzelnen Rollen auch ein fehlender Benutzerabgleich gewesen sein.

So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.

Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der  Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf  gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.

Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.

Maximale Anzahl zugeordneter Profile je Benutzer

Ein am Rande erwähnter spannender Aspekt an Sammelrollen. Laut OSS Hinweis 841612  ist die maximale Anzahl an zugeordneten Rollen je Benutzer auf 300 lesend beschränkt. Wobei in der täglichen Praxis dieses eher ein exotisches Berechtigungproblem darstellen dürfte. Schon daher kann es sinnvoll sein viele organisatorische Berechtigungen tatsächlich zu einer Rolle zusammenzufassen. Gerade bei Wissenschaftlern die nicht nur im Fachbereich einzelne Projekte bearbeiten sondern auch in unterschiedlichen Instituten oder zentralen Einrichtungen tätig sind, kann es daher sinnvoll sein, die oftmals als kritisch betrachteten auf die einzelne Person zugeschnittene Berechtigungsrolle zu erstellen.

Berechtigungkonzept und weitere Themen rund um Berechtigungen


Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.

Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.

Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.

Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.
 

Berechtigungsmassenpflege

An dieser Stelle auch der Hinweis auf die Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL" und "Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)".
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 28. November 2014
21:18 Uhr

Grundlagen Kurzeinführung und Handbuch SAP Query

SAP Query ist ein Werkzeug in SAP welches das Auslesen und auch Anlysieren von Tabellen im ERP System ermöglicht. Die Query ist dabei vergleichbar mit einer Abfrage innerhalb Access. Da ich unter den Tag Query schon einige Query vorgestellt habe soll dieser Artikel eine kurze eher allgemein gehaltene Einführung ins Thema geben und somit eine Grundlage bzw. ein Kurzhandbuch für die Erstellung von Queries darstellen.

Ergänzend dazu habe ich im Buch »Berichtswesen im SAP®-Controlling« (ISBN: 978-3960127406 *) und im Rahmen meiner Vorträge als Dozent im Rahmen "Berichtswesen mit SAP Controlling" mit Schwerpunkt auf Hochschulcontrolling und Hochschulberichtswesen ein entsprechendes Tagesseminar angeboten.

Hier sollen dennoch die Grundlagen (und etwas mehr) im folgenden Text erläutert werden. Am Ende dieses Artikel sind weitere Literatur- und Bloghinweise veröffentlicht.

Da der Artikel doch recht umfangreich ist, habe ich hier ein kurzes Inhaltsverzeichnis eingefügt, so dass auf die relevanten Abschnitte gesprungen werden kann.


1. Grundeinstellungen / Berechtigungen

Bei der Erstellung von Query und damit eine Auswertung von Datenbanktabellen sollte auch das Thema Berechtigungen nicht aussen vor gelassen werden.



1.1. Allgemeiner Tabellenschutz

Da bei der Erstellung von Query direkt in Datenbanken gelesen wird, sind zur Erstellung entsprechende Berechtigungen erforderlich. Zum Anzeigen einer Tabelle wird die Auswertungstransaktion und die Tabellenansichtberechtigung über das Berechtigungsobjekt S_TABU_DIS geprüft. Hierbei wird im Berechtigungsfeld Aktivität 03 (=Ansicht) und eine der Tabelle zugeordneten Berechtigungsgruppe geprüft. Die Zuordnung von Tabellen zu Berechtigungsgruppen erfolgt mandantenunabhängig über die Transaktion SE54 (Speicherort der Einstellungen ist dann die Tabelle TDDAT Pflegebereiche für Tabellen).
Hier kann auch über die Berechtigungsgruppe oder die Tabelle nach den entsprechenden Werten gesucht werden. So ist bspw. die Tabelle GLPCA der Berechtigungsgruppe KA (=CO:Anwendungstabelle) zugewiesen.



1.2. Berechtigungsrollen für Query

Sofern auch Anwender Query ausführen sollen, sollte sich hier vorab schon Gedanken um ein passendes Berechtigungskonzept gemacht werden. Hierzu sind im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" schon einige Anmerkungen gemacht worden.
Da es in diesen Artikel um die Grundlagen zur Erstellung einer Abfrage und das entsprechende Umfeld geht werden hier weiter gehende Berechtigungen vorgestellt.

Berechtigungsobjekt S_TCODE

Hier werden die einzelnen Transaktionscodes zum Arbeiten mit einer Query beschrieben.
Für das Ausführen einer Query ist folgende Transaktion gedacht:

  • SQ00 SAP Query: Queries starten

Für die Pflege und Erstellung sollten noch folgende Transaktionen hinterlegt werden:

  • SE12 ABAP Dictionary Anzeige
  • SE36 Logical Database Builder
  • SQ01 SAP Query: Queries pflegen
  • SQ02 SAP Query: InfoSet pflegen
  • SQ03 SAP Query: Benutzergruppenpflege

Weitere relevante Berechtigungsobjekte sind S_DEVELOP, S_TABU_DIS und S_QUERY. Dieses sollten gemeinsam mit der SAP Basis mit passenden Berechtigungswerten versehen werden.
Sofern auch ABAP Coding im Infoset hinterlegt werden soll, ist der Objekttyp PROG im Berechtigungsobjekt S_DEVELOP und 'AQ*' für OBJNAME erforderlich. Andernfalls ist ein Coding hier nicht möglich. Dieses gilt dann auch für einen Import von Query per Upload in ein anderes System.
Für die Ausführung von Query sollte im Berechtigungsobjekt S_DEVELOP die Aktivität 03 und ggf. Objekttyp LDB ausreichend sein. Für die Erstellung von Query sollten ggf. weitere Aktivitäten und Objekttypen hinterlegt werden (weitreichende Berechtigung wären die Aktivitäten 01,02,03,06,07)

Weitere Objekttypen im Berechtigungsobjekt S_DEVELOP sind:

  • DOMA: Domänen
  • DTEL: Datenelemente
  • ENQU: Sperrobjekte
  • INDX: Sekundärindices*
  • MCID: Matchcode-ID*
  • MCOB: Matchcode-Objekte*
  • SHLP: Suchhilfen
  • SQLT: Pool/Clustertabellen*
  • SQTT: Technische Einstellungen Tabellenpool
  • STRU: Strukturen
  • TABL: Transparente Tabellen*
  • TABT: technische Einstellung zu Tabellen
  • TTYP: Tabellentypen
  • TYPE: Typgruppen
  • VIEW: Views*
  • VIET: Viewtypen
  • LDBA: Logische Datenbank

sowie die einzelnen Aktivitäten. Für eine reine Ansicht der Query (bzw. Ausführen) sollte die Aktivität 03 für den Objekttyp LDBA ausreichen, wenn auch logische Datenbanken mitausgewertet werden sollen.

Je nach Aufstellung kann es sinnvoll sein zwei Rollen anzulegen. Eine für die Ausführung von Query bspw. QUERY-EXECUTE und eine für die Pflege bspw. QUERY-CREATE. Bei der Zuordnung des Berechtigungsobjektes S_QUERY ist jedoch zu beachten, dass ein Benutzer, der die Berechtigung für das Berechtigungsobjekt S_QUERY mit den beiden Aktivitäten 02 Ändern und 23 Pflegen besitzt, alle Queries aller Benutzergruppen zugreifen kann.
Daher sollte in der Rolle zum Ausführen einer Query dieses Berechtigungsobjekt ohne Berechtigungsfeldwerte hinterlegt werden, da andernfalls die Steuerung über die Benutzergruppen problematisch ist. Auf diese gehen wir im Folgenden ein.



1.3. Transaktion für Query zuweisen

Im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query" ist eine Möglichkeit beschrieben, wie die erstellte Query später dann als Transaktion für Infouser zur Verfügung gestellt werden kann. Wobei auch im Artikel "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben" dieses inklusive der Berechtigungsobjekte beschrieben ist.
 



2. Benutzergruppe anlegen (Transaktion SQ03)

Neben der Berechtigungssteuerung über das Berechtigungsobjekt S_QUERY gibt es auch die Möglichkeit Berechtigungen zur Pflege und Zugriff auf Query über Benutzergruppen zuzuordnen. Starten Sie hierzu die Transaktion SQ03.

Sofern Sie zum ersten Mal diese Transaktion aufgerufen haben, sollten Sie über UMFELD->ARBEITSBEREICH auf den Standardbereich (mandantenabhängig) wechseln. Alternativ kann dieses über einen Benutzerparamter im Userstamm festgelegt werden. Dieses geht im SAP Menü unter (System->Benutzervorgaben->Eigene Daten oder direkt über die Transaktion SU3. Hier kann im Reiter Parameter sowohl der Arbeitsbereich als auch ggf. die Benutzergruppe per Benutzerparameter hinterlegt werden. Für den mandantenabhängigen Arbeitsbereich wird hierzu der Parameter AQW ohne Wert angelegt, so dass Sie hier nicht jedes Mal aufs Neue den Arbeitsbereich wechseln müssen.

Bedeutung Arbeitsbereich:

Wesentlicher Unterschied des Arbeitsbereich ist, dass im Standardbereich alle angelegten Objekte je Mandant (mandantenabhängig) abgespeichert sind, während der globale Arbeitsbereich mandantenübergreifend und somit systemweit (mandantenunabhänig) zur Verfügung stehen.

Der globale Arbeitsbereich ist dafür ans Transportsystem angebunden während der Standardbereich davon unabhängig ist.


In das Feld Benutzergruppe können Sie eine entsprechende Benutzergruppe mit der Schaltfläche ANLEGEN erstellen. Hierzu können Sie eine Beschreibung der Gruppe ergänzen. Ein Beispiel wäre die Benutzergruppe AGCO. Über die Schaltfläche "Benutzer und Infosets zuordnen" können Sie dann entsprechende SAP Benutzer (und später auch Infosets) der Gruppe zuordnen. Ergänzend zum Benutzer kann über das Ankreuzfeld neben den Benutzernamen die Änderungsberechtigung über das Berechtigungsobjekt S_QUERY entzogen werden. Benutzer die gar keine Berechtigung zum Ändern haben bekommen auch diese Funktion entsprechend als nicht pflegbar angezeigt.

Dieses bedeutet, dass Benutzer, die generell keine Query ändern, pflegen dürfen über die Benutzergruppe bestimmte Queries zugeordnet bekommen dürfen. Darüber hinaus kann Usern die Berechtigung zur Pflege von Queries trotz vorhandener Berechtigungen im Berechtigungsobjekt S_QUERY entzogen werden kann.

Generell hat ein Benutzer mit Zuordnung des  Berechtigungsobjekt S_QUERY mit den beiden Berechtigungsfeldwerten Ändern und Pflegen die Berechtigung auf jede Query zuzugreifen, ohne dass dieser in einer entsprechenden Benutzergruppe zugeordnet ist. Je nach Berchtigungskonzept kann dieses zum Beispiel für alle Keyuser in diesen Bereich gelten. Um nun nur eine Query auszurollen, kann es daher sinnvoll sein, diese wie im Artikel "Transaktion anlegen (Report, Parameter) bspw. für SAP Query" beschrieben in den Berechtigungsrollen als eigene Transaktion zu hinterlegen.
 



3. Datenherkunft finden

Die Hauptaufgabe zur Erstellung von SAP Query ist die Identifikation der relevanten Datenbanktabellen. Hier können im SAP System die Datenfelder mit der F1 Hilfe angezeigt werden. Hierzu wird im Hilfetext auf die Technischen Informationen geklickt und unter den Feld-Daten sind im Idealfall auch die Tabelle und der Feldname der Tabelle mit aufgeführt.
Alternativ kann auch mit der Transaktion SE12 nach passenden Tabellen für die Auswertung gesucht werden. Eigentlich ist diese Transaktion für die Anzeige der Tabellenstruktur gedacht. Über die Werthilfe (F4) können aber auch vorhandene Tabellen durchsucht werden. Hier kann dann entweder anhand der Schaltfläche Infosystem nach Tabellennamen und Kurzbezeichnung gesucht werden oder über die Schaltfläche SAP Anwendung innerhalb der einzelnen SAP Module und Komponenten gesucht werden. Neben den einfachen Fall einer direkt lesbaren transparenten Tabelle (zum Beispiel für Innenaufträge die Tabelle AUFK) gibt es auch sogenannte Clustertabellen. Innerhalb eines Cluster werden Felder anderer Tabellen komprimiert in einer einzelnen Spalte gespeichert. Hierdurch ist eine Verwendung von Cluster-Tabellen ebenso wie Pool-Tabellen nicht in Joins möglich. Clustertabellen sammeln hierdurch mehrere Einzeltabellen in einer Tabelle und haben den Nachteil, dass diese nicht direkt ausgewertet werden können. Hierzu bietet sich dann die Verwendung einer logischen Datenbank an.

Logische Datenbanken
enthalten schon Verknüpfungen und können direkt als Grundlage für ein Infoset verwendet werden. Dieses hat den Vorteil, dass man nicht selbst erst einzelne Tabellenverknüpfungen erstellen muss. Die Struktur einer logischen Datenbank kann in der Transaktion SE36 eingesehen werden.
Im Bereich HCM wären dieses bspw. PNP oder PCH während innerhalb des Rechnungswesen ggf. die Datenbanken ADA für die Anlegenbuchhaltung und BRF für FI Belege interessant sind.


Im Artikel "Tabellen hinter Transaktionscode oder ABAP Programm über eine SAP Query ermitteln" ist eine Möglichkeit beschrieben durch die anhand eines Transaktioncode die hinter diesen Programm genutzten Tabellen ausgegeben werden. Hier sind dann bspw. für die Transaktion KO03 (Innenauftrag anzeigen) auch alle relevanten Tabellen für die Stammdaten des Innenauftrages gelistet.

Daneben gibt es natürlich auch die Möglichkeit der Recherche im Netz nach entsprechenden Tabellen. So bietet die Seite sap-community.de unter "Verzeichnis SAP Tabellen"  eine kleine Zusammenstellung von verschiedenen häufig genutzten Tabellen bspw. aus den Bereichen FI, CO oder anderen Komponenten von SAP an. In Form einer MindMap ist dieses auch auf der Seite eberstein.de zu finden (siehe auch "Mindmapping und Sketchnotes im Beruf nutzen für Brainstorming oder Mind Mapping mit XMIND")



4. Infoset anlegen (Transaktion SQ02)

Durch das Anlegen eines Infosets kann die Bezeichnung und die Art der Datenherkunft (Datenquelle) festgelegt werden. In der Regel können Sie hier drei Varianten häufig nutzen:

Tabellen-Join über Tabelle
Hier kann eine Haupttabelle gepflegt werden und diese mit anderen Tabellen verknüpft werden. Hierzu muss eine entsprechende Verknüpfung zwischen zwei übereinstimmende Felder gestaltet werden (Join).

Direktes Lesen der Tabelle
Hier kann direkt eine Tabelle ausgelesen. Dieses kann sinnvoll sein, wenn nicht die Transaktion SE16 (Tabelle anzeigen) sondern tatsächlich nur eine direkte Tabelle ausgelesen werden soll.

Logische Datenbank
Innerhalb einer logischen Datenbank liefert SAP schon passende Tabellenstrukturen zu wichtigen Datenobjekten. Entsprechende Verknüpfungen sind hier schon hinterlegt. Beispiele für logische Datenbanken sind bspw. ADA (Anlagendatenbank) oder BRF (BELEGDATENBANK).

Wird eine Tabelle direkt gelesen erfolgt im Folgeschirm gleich die Frage, ob alle Tabellenfelder in eine Feldgruppe übernommen werden sollen. Die Datenfelder innerhalb einer Feldgruppe stehen dann später als Auswertungsobjekte zur Verfügung. Daher kann es sinnvoll sein hier direkt alle aufnehmen auszuwählen. Alternativ könnten hier auch einzelne Felder in das Infoset aufgenommen werden.

Sofern ein Tabellen-Join über eine Tabelle gebildet werden soll, erscheint im Folgebild die Tabelle mit ihren einzelnen Feldern und es kann im Menü unter BEARBEITEN->TABELLE EINFÜGEN eine weitere Tabelle eingefügt werden. SAP schlägt automatisch eine Verknüpfung zwischen den beiden Tabellen vor. Hierbei werden als Vorschlag automatisch Verknüpfungslinien zwischen einzelnen Feldern gezogen. Diese können markiert werden und über die rechte Maustaste gelöscht werden.

Unterschied inner join und left outer join

Daneben gibt es die Möglichkeit die Art der Verknüpfung über die Option left outer join umzustellen. Im Standard werden hier „inner join“ angelegt (1:1 Beziehungen) definiert und als einfache Linie dargestellt. Es ist aber auch möglich „left outer join“ anzulegen (1:n Beziehungen). Hierzu müssen Sie nur mit der rechten Maustaste die Art der Verknüpfung ändern.
Beim Inner Join müssen die Felder beider verknüpften Tabellen exakt übereinstimmen, andernfalls wird kein Ergebnis ausgegeben.

Dahingehend wird beim Left Outer Join immer die "linke" Tabelle ausgegeben und diese mit den übereinstimmenden Feldern der rechten Tabelle kombiniert. Hierbei wird die linke Tabelle immer mit ausgegeben und für jeden Treffer in der rechten Tabelle wird das entsprechende Feld erneut wiederholt, sofern in der rechten Tabelle mehr als eine Übereinstimmung gefunden wurde (daher der Vergleich mit der aus Access bekannten 1:N Beziehung).

Sofern Sie weitere Felder miteinander verknüpfen wollen können sie diese Felder zwischen den einzelnen Tabellen hin und her ziehen. Markieren Sie hierzu das Feld der Tabelle und ziehen Sie es auf ein passendes Tabellenfeld. Über die Schaltfläche Verknüpfungsbedingungen prüfen (F9) können Sie sehen, ob diese Verknüpfung auch gültig ist.
Eine Dokumentation von Tabellenbeziehungen (nicht nur für SAP Query) habe ich im Artikel "Graphische Darstellung von Tabellenverknüpfungen bspw. bei Query" beschrieben. Dieses kann bspw. für externe Dokumentationen genutzt werden oder wenn nur die Schlüsselfelder und nicht die gesamten Tabellenbeziehungen als Screenshot aus SAP dokumentiert werden sollen.
 

ACHTUNG:
Eine gültige Verknüpfung ist nur möglich, wenn die beiden Felder in ihren Eigenschaften übereinstimmen. Stimmen die Felder in ihren Eigenschaften nicht überein muss per Coding eine Übereinsteimmung erfolgen. Diese Variante ist im Artikel "SAP Query ABAP Coding im Zusatzfeld für Verknüpfung Innenauftrag und Fond bzw. Finanzierungszweck" ausführlicher beschrieben.

Nachdem Sie die Verknüpfungen definiert haben können Sie über die Schaltfläche Infoset zur Pflege des Infosets zurückkehren. Auch hier bekommen Sie eine Rückfrage, welche Tabellenfelder als Vorbelegung von Feldgruppen verwendet werden sollen. Auch hier empfiehlt sich die Option "alle Tabellenfelder aufnehmen", da dadurch spätere Berichtsanforderungen wesentlich leichter übernommen werden können. Alternativ besteht die Möglichkeit auch selbst Feldgruppen und passende Felder zu erstellen. Nach erfolgreicher Pflege kann das Infoset gespeichert und generiert werden.
Danach sollten Sie das Infoset über die Schaltfläche Zuordnung zu Rollen/Benutzergruppen einer Benutzergruppe bspw. AGCO zuordnen in der Sie später auch die Query erstellen möchten.



4.1. Erweiterung des Infosets durch Zusatztabellen oder Zusatzfelder

Neben einer reinen Auswertung von einzelnen Tabellen (oder der Auswertung von Verknüpfungen / Infosets) kann innerhalb einer Query auch mit Zusatzfeldern oder Zusatztabellen gearbeitet werden. Hierdurch können in eine Query auch Tabellen verknüpft werden die nicht direkt innerhalb eines Join verknüpft werden können, da noch ein weiteres Selektionsmerkmal wie bspw. der Buchungskreis erforderlich ist. Ein entsprechendes Beispiel ist im Artikel "Query über IBAN und Stammdaten Kreditor oder Debitor (Zusatztabellen in SAP Query)" beschrieben. Darüberhinaus besteht auch die Möglichkeit Zusatzfelder, wie bereits oben erwähnt per ABAP Coding zu ergänzen. Hier ist im Artikel "SAP Query - Auswertung Merkmale der Klassifizierung am Beispiel Fonds in PSM-FM" ein recht umfangreiches Beispiel gegeben in dem die Merkmale der Klassifizierung aus der Tabelle AUSP ausgewertet werden.

Insbesondere was die Auswertung von PSM Stammdaten anbelangt dürfte der Artikel "SAP Query innerhalb des SAP Moduls PSM FM beziehungsweise Haushaltsmanagement" ein schönes Beispiel für die Verwenudng einer Zusatztabelle mit ABAP Coding sein.

Diese Zusatzfelder können dann ebenfalls entweder in einer eigenen Feldgruppe oder einer bestehenden Feldgruppe übernommen werden (so als wären diese in einer Tabelle vorhanden) und im Query Painter bzw. bei der Erstellung der Query aus den Zusatzfeldern (meistens recht weit unten) ebenfalls übernommen werden.



4.2. ABAP Coding

Gerade bei der Anlage von Zusatzfeldern mit Coding ist auch der Umgang mit ABAP hilfreich. Hier zeigt der Artikel "Syntaxhevorhebung im ABAP Editor durch neuen Frontend Editor (Quelltext-Modus)" ein in meinen Augen sehr hilfreiche Ergänzung des Editors. Gerade durch Syntaxhervorhebung dürfte dieses einige Erleichterungen anbieten. Das umfangreichste Beispiel für ABAP Coding bei Zusatzfeldern ist sicherlich die Artikelserie zur CO Einzelpostenliste mit Ergänzung der Stammdaten aus CO-Innenauftrag und PSM-FM Fond  die in folgenden Artikeln  beschrieben ist: "Query über COEP, AUFK und FMFINCODE für Einzelposten Istkosten Innnenauftrag mit Stammdaten aus CO und PSM-FM sowie Spalten für Ertrag und Aufwand - Erster Teil Infoset als Datengrundlage" (Definition eines Infoset mit entsprechenden Zusatzfeldern und Einbindung der Tabelle FMFINCODE als Zusatztabelle zu AUFK, ferner wird hier durch Coding aus der verantwortlichen Kostenstelle über eine Wenn-Funktion die zugeordnete Lehreinheit ermittelt).

Teilweise kann hier auch einfacher ABAP Code wie WRITE zum Umwandeln von Werten hilfreich sein. Im Artikel "ABAP Anweisung WRITE zum Umwandeln von Variablen und Werten wie FLOAT (Gleitpunktzahl, Fließkommazahl)" ist darauf eingegangen.
 



4.3. Alias Tabellen und Quickview

Normalerweise lässt sich eine Tabelle nur einmal im Infoset verwenden. Eine Möglichkeit hier mit Alias-Tabellen zu arbeiten ist auch im Artikel "Tabellen doppelt im Infoset nutzen und Quickview in Query umwandeln" erläutert.

Ebenso ist hier die Bedeutung von Quickview (Transaktion SQVI) mit Vor- und Nachteilen dargestellt.



5. Query anlegen (SQ01)

Rufen Sie zur Erstellung einer Query die Transaktion SQ01 auf. Ggf. sollten Sie in die passende Benutzergruppe über die Schaltfläche Bengruppe wechseln (Umsch+F7) wechseln und nun eine entsprechende Query anlegen. Beachten Sie hier, dass Sie auch hier im mandantenabhängigen Bereich arbeiten.
Nachdem Sie einen Namen für die Query gewählt haben und auf die Schaltfläche Anlegen gewechselt müssen SIe definieren, welches Infoset als Grundlage für die Query verwendet werden soll. Nun können Sie einen Titel für die Query sowie entsprechende Bemerkungen festlegen. Der einfachste Weg der Gestaltung ist nun der Wechsel über die Schaltfläche "Grundliste". Über die Grundliste können dann die anzuzeigenden Felder des Infosets ausgegeben werden. Sie können im Layoutdesign aus den einzelnen Feldgruppen die einzelnen Felder als Listenfelder (die werden in der Query dann ausgegeben) und Selektionsfelder (diese müssen beim Aufruf der Query gefüllt werden und stellen die Abfragekriterien dar). Über die Schaltfläche Testen kann die entsprechende Query gestestet werden.

Reihenfolge Selektionsfelder bei Query ändern

Nun erscheint auch direkt die Selektionsmaske der Query. Sofern Sie die Reihenfolge der Selektionsfelder später ändern möchten, ist dieses über SPRINGEN->FELDAUSWAHL->SELEKTIONEN durch die Spalte Nr. innerhalb der Transaktion SQ01 (Einstiegsbild) möglich, wodurch die Reihenfolge auf dem Selektionsbild durch Nummern zwischen 1 und 90 festgelegt werden. Hier kann es sinnvoll sein, in fünfer Schritten die Nummern festzulegen, so dass eine Umsortierung problemlos möglich ist.

Andernfalls kann die Grundliste gesichert und beim Verlassen der Query diese auch generiert werden. Sofern Sie als Ausgabeform SAP List Viewer gewählt haben (das ist im Standard der Fall) erhalten Sie beim Start der Query eine ALV Liste und können hier die üblichen Sortierungen, Filterungen oder auch Ausblendungen vornehmen.



6. Berichtszuordnung zu Query (Bericht-Bericht-Schnittstelle)

Je nach Auswertung kann es hilfreich sein auch direkt eine entsprechende Absprungtranssaktion zu definieren. Hierzu kann innerhalb der Pflege der Query über SPRINGEN->Berichtszuordnung über das +Zeile einfügen weiere Query eingefügt werden. Sinnvoller ist es hier oft statt einer Query über anderer Berichtstyp die Funktion TR Transaktion zu wählen. Somit können zu ausgewerteten Stammdaten (zum Beispiel einer Kreditoren-Stammdaten-Liste). entsprechende Bewegungsdaten oder weitere Informationen aufgerufen werden. Ein Beispiel ist hier im Artikel "Query über IBAN und Stammdaten Kreditor oder Debitor" beschrieben in der zu den Kreditoren auch gleichzeitig auf die Transaktion FBL1N für eine Einzelpostenliste gesprungen werden kann. Ein anderes Beispiel wäre der Aufruf einer Anlage mit der Transaktion AS03 oder die Pflegetransaktion von Stammdaten wie KS02 für Kostenstellen ändern.
Wichtig ist dabei, dass in der Grundliste auch alle notwendigen Felder für diesen Bericht mit ausgegeben werden, so dass diese mit übergegeben werden können. So wäre für die Beleganzeige (FB03) auch der Buchungskreis recht hilfreich :-)
 



7. Query um lokale Felder erweitern

Neben der reinen Auswertung von einzelnen Tabellenfeldern kann innerhalb der Query auch die Ergebnisse verarbeitet werden. Um einzelne Felder weiter zu bearbeiten können Sie über SPRINGEN->FELDAUSWAHL->FELDAUSWAHL über die Funktion BEARBEITEN->KURZBEZEICHNUNGEN ->EINSCHALTEN einzelne Felder eine Kurzbezeichnung zuordnen.

Diese Kurzbezeichnungen sind notwendig, da wir auf diese dann Bezug nehmen, wenn wir ein lokaes Feld mit einer Formel anlegen. Dieses geht über
BEARBEITEN->LOKALES FELD->ANLEGEN.
Dieses Lokale Feld wird dann in der Feldgruppe angelegt, in der wir uns gerade befinden. Elegant wäre es natürlich, wenn wir im Infoset eine entsprechende leere Feldgruppe definiert hätten, es geht aber auch ohne.

Für dieses Feld werden dann entsprechende Eigenschaften festgelegt und über eine Berechnungsvorschrift kann auf andere Felder Zugriff genommen werden.



7.1. Per Formel Teilstring aus Variablen auslösen in Query

Im Artikel "Query Stammdatenvergleich Profit-Center und Auslesen von Textbestandteilen (Teilstring aus Variable)" wird als Beispiel die Möglichkeit beschrieben bestimmte Textbestandteile aus einen Feld auszuwerten.



7.2. Ikonen / Ampelfunktionen abhängig vom Wert ausgeben in Query

Daneben gibt es die Möglichkeit über IKONE  eine Ampelfunktion für bestimmte Werte zu hinterlegen (Beispiele sind in den Artikeln "Query Stammdaten CO Kontrolle Verantwortliche" oder "Abgleich Belege in CO auf Profit-Center mit zeitabhängigen Stammdaten der Anlagenbuchhaltung bei Investitionen" zu finden).



7.3. Mehrere Datenfelder in Query summieren

Daneben können aber auch eche Berechnungen durchgeführt werden. Diese ist im Artikel "CO Planeinzelposten Objekt und Partnerobjekt auswerten / Mehrere Felder summieren" beschrieben. Alternativ sind natürlich auch andere Berechnungen (Prozent, Summen oder andere Berechnungen möglich.



7.4. Umgang mit Datum in Query

Der Umgang mit Datumsfeldern in SAP Query ist ein wenig komplizierter. Für einfache Berechnungen dürfte aber folgender Artikel eine gute Anlaufstelle bieten "Umgang mit lokalen Datumsfeldern in Queries". Sofern Sie komplexere Berechnungen (bspw. Abstand zwischen zwei Terminen) berechnen wollen werden Sie  jedoch nicht um die Verwendung eines Zusatzfeldes im Infoset und eines entsprechenden ABAP Codes herumkommen.

Hier wurde auf sap-community.de im Beitrag "Anzahl von Tagen zwischen 2 Daten" eine passende Lösung vorgestellt.

Hierzu werden beide zu vergleichenden Datumsfelder (DATUM1 und DATUM2) mit Type DATS als Variablen definiert und aus den jeweiligen Tabellen innerhalb des Infosets mit einer Wertzuweisung gefüllt.

Danach wird das Zielfeld (AbstandTage) als TYPE P definiert und über die Formel "ABSTANDTAGE = DATUM1 - DATUM2." errechnet. Damit wäre im Infoset auch ein entsprechende Berechnung mit Datumswerten möglich. Inwieweit dieses auch über eine Formel innerhalb der Query möglich ist bin ich mir nicht sicher, aber vielleicht hilft dieser Ansatz ja schon weiter. Hierbei könnte die Variable DATUM1 natürlich auch als SYDATUM definiert werden, so dass heir der Abstand zum aktuellen Systemdatum errechnet wird.



7.5. Zeichenkette eines Feldes nach einen Wert durchsuchen

Eine weitere Möglichkeit per Coding besteht auch in der Durchsuchung eines Feldes nach einen bestimmten Zeichen. Dieses ist auf sap-community.de im Beitrag " Query, Zeichenkette durchsuchen und Ausgabe als lokales Feld?" erläutert.

Hierzu wird folgendes Coding  im Zusatzfeld ZFELDSUCHE für das zu analysierenden Feld (im Beispiel PRUEFFELD)  nach Suchstring hinterlegt.

FIND 'SUCHSTRING' IN prueffeld.
IF sy-subrc = 0.
ZFELDSUCHE = 'J'.
ELSE.
ZFELDSUCHE = 'N'.
ENDIF.

Daneben sind natürlich noch viele andere Möglichkeiten dank ABAP Coding möglich, aber auch einfache Abfragen und Formeln dürften viel Auswertungsarbeit abnehmen.



7.6 Parameter und Variablen in SAP Query

Teilweise sind Auswertungen auch abhängig vom Inhalt einer übergegebenen Variable. Auf das Thema "Eingabe auf Selektionsfeld" bei lokalen Feldern in der Query oder Abgrenzungsparameter bin ich im Artikel "Grundlagen SAP Query Variablen über Selektionsfelder mit Werten füllen Eingabe auf Selektionsbild oder Abgrenzungsparameter" eingegangen.

 



8. Query und Infoset per Upload/Download transportieren

Hier gibt es in der Infosetpflege (Transaktion SQ02) die Möglichkeit der Nutzung eines SAP Query Transporttool. Hier können Benutzergruppen, Infoset, Infoset und Query aber auch nur Queries auf unterschiedliche Weise transportiert werden. Besonders interessant ist hierbei die Option des Download bzw. Upload als Transportvariante.

Damit ist es möglich Query, Benutzergruppen, Infosets per Dateisystem zwischen SAP Systemen bspw. Entwicklung, Qualitätssicherung/Test und Produktivsystem auch unabhängig eines Transportauftrages zu übertragen.

In das SAP Query Transporttool gelangt man über die Transaktion SQ02 und hier über das "LKW" Symbol (Transporte STRG F5). Nun wir der Report RSAQR3TR gestartet und von hier kann ein Transport bzw. Download gestartet werden. Alternativ kann der Transport auch direkt über die Transaktion SA38 gestartet werden.


Neben der Auswahl der Transportaktion Download für Export und Upload für Import können im Abschnitt Transport von Infosets und Queries entsprechende Infosets und Query (auch per Mehrfachauswahl) selektiert werden. Es besteht auch die Möglichkeit nur Query ohne Infoset zu übertragen.

Hier gibt es keine Wertauswahlhilfe (F4), so dass hier die exakten Namen eingetragen werden müssen. Vorteilhaft ist hier eine sprechende Namenskonvention. Als Importoption lassen wir REPLACE stehen.

Beachten Sie, dass auch die Zuordnung zu einer Benutzergruppe entsprechend hinterlegt ist, so dass diese ebenfalls im System in dem die Query importiert wird, festgehalten werden sollte.

Der Nachteil des Transport über Datei (Download/Upload) ist dass hier der Transport von Varianten von Queries ebenso wie Layout-Varianten nur beim Export/Import/Kopieren möglich ist. Durch Export und Import werden (im Gegensatz zum Download/Upload) keine Datei erzeugt sondern ein echter Transportauftrag.

Die Funktion Kopieren ermöglicht es die Query vom Standardbereich in den globalen Bereich zu kopieren (und natürlich auch umgekehrt). Je nach Komplexität der einzelnen Varianten kann daher auch ein klassischer Transportauftrag statt Austausch per Datei hilfreich sein.

Im Artikel "Transport von InfoSet mit ABAP-Coding und Query per Transportauftrag" bin ich etwas ausführlicher auf das Transportsystem von SAP Query mit ABAP Coding auf Basis einer Mailanfrage eingegangen.

An dieser Stelle verweise ich auch gerne auf notwendige Nacharbeiten nach Support Package oder EHP Einspielung in meinen Artikel "LOAD_PROGRAMM_NOT_FOUND Programm AQCS oder AQZZ bei Aufruf Query per Reporttransaktion - SAP Query nachgenerieren lassen".

 



9. Selektionsvariante und Layoutvarianten

Wird eine Query ausgeführt kann bei der Selektion der notwendigen Daten (Selektionsbild) über "Als Variante sichern..." (Disketten/SpeichernSymbol in der zweiten Symbolleiste oder über Strg+S) die getroffene Auswahl (bspw. bestimmte Zeiträume oder Selektionen gespeichert werden. Hier habe ich mir angewohnt für immer wieder notwenige Datenfelder diese durch eine Variante mit der Bezeichnung ALLGEMEIN vorzubelegen. Diese Variante kann in der Pflege der Query (SQ01) beim Ändern im Einstiegsbild über Spezielle Atttribute als Standardvariante hinterlegt werden, so dass diese auch wenn keine Variante gewählt wurde automatisch mit ausgeführt wird. Ferner kann hier die Option "Ausführen nur mit Variante" gewählt werden, so dass auf jeden Fall eine Variante gewählt werden muss).



9.1. Geschützte Varianten (Selektion und Layout)

Ferner können Varianten auch geschützt werden, so dass in der Regel nur der Autor der Variante diese wieder ändern kann. Im Artikel "Geschützte Selektionsvarianten entsperren" ist allerdings eine Möglichkeit beschrieben diesen Schutz zu entfernen.

Daneben kann in der Ausgabeliste (ALV) der Query ebenfalls eine Layoutvariante erstellt werden, so dass bestimmte Zwischensummen gebildet oder einzelne Spalten ausgeblendet werden. Auch diese Layoutvariante könnte in der Variante zur Query fest hinterlegt werden.



9.2. SAP Query nur ausführen (Berechtigung)

Ein weiterer Aspekt wäre noch auf welche Weise die einzelnen Berichte den Infousern zur Verfügung gestellt werden. Unter 1.3. hatte ich schon darauf verwiesen, dass die Möglichkeit besteht für eine Query eine eigene Transaktion zur Verfügung zu stellen. Auf diese Weise muss die Query nicht über die Transaktion SQ00 (oder über die Transaktionen FQUS, FQUD oder FQUK in der Finanzbuchhaltung bzw. PQAH im HCM) ausgeführt werden sondern können auch im Menü zur Verfügung gestellt werden. Eine ausführlichere Beschreibung hierzu ist im Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" zu finden. Dieses Thema ist ausführlicher auch im Artikel "Berechtigungen zur Ausführung von SAP Query (Transaktion SQ00 oder eigene Z/Y Transaktion) und Einbindung im Berechtigungskonzept und Berichtswesen" behandelt worden.
 



10. Beispiele für Query

Bisher erstellte Query sind unter den Tag Query hier ebenso wie diese Einführung als Artikel zu finden. Daneben sind sowohl im Amazon Partnershop (siehe Onlineshop) als auch bei den Buchempfehlungen  einige Literaturempfehlungen zum Thema zu finden.

Insbesondere das Buch "Praxishandbuch SAP Query-Reporting (SAP PRESS) Von Stephan Kaleske, Karin Bädekerl, Heinz Forsthuber" ist hier sicherlich empfehlenswert.

Daneben bin ich aber auch von Martin Peto und Katrin Klewinghaus " Reporting im SAP-Finanzwesen: Standardberichte, SAP QuickViewer und SAP Query" begeistert und finde, dass sich beide sehr gut ergänzen. Gerade da Sie unterschiedliche Schwerpunkte setzen.



11. Ausführliche Literaturempfehlungen

Wie bereits erwähnt haben Martin Peto und Katrin Klewinghaus zum Thema SAP Query auch folgendes Buch geschrieben.

Reporting im SAP - Finanzwesen
Themen sind unter anderen
  • SAP-Informationssysteme im Überblick
  • Standard-Reporting mit SAP List Viewer (ALV)
  • Einsatzmöglichkeiten und Grenzen des SAP QuickViewers
  • Aufbau von SAP Queries mit Praxisbeispiel

Sollte sich noch jemand für das angesprochene Buch interessieren, so ist dieses auch auf meiner Unterseite zum Buch  "Reporting im SAP-Finanzwesen: Standardberichte, SAP QuickViewer und SAP Query" beschrieben und kann hier auch bestellt werden.

Daneben kann ich aber auch das Buch von Stephan Kaleske (bzw. in der neuen Auflage auch von Karin Bädekerl, Heinz Forsthuber empfehlen.

Praxishandbuch SAP Query-Reporting

ISBN: 978-3836218405 *

Eine ausführlichere Beschreibung dieses Buch ist auf der Seite "Praxishandbuch SAP Query-Reporting" zu finden.

Auch von mir selbst wird das Thema in meinem Buch »Berichtswesen im SAP®-Controlling« behandelt.

Berichtswesen in SAP Controlling

ISBN: 978-3960127406 *

Eine ausführliche Beschreibung ist unter Buchempfehlungen unter Berichtswesen im SAP®-Controlling (SAP Modul CO; internes Berichtswesen) zu finden.

Auch an anderer Stelle im Netz sind Einführungen rund um das Thema SAP Query zu finden. Als Beispiel mag ich hier gerne auf zwei Artikel von thinkdoforward.de verweisen: "SAP-Querys – Datenanalyse einfach." und "SAP SQVI – diese Tipps solltest du dir nicht entgehen lassen.". Gerade das Thema Quickview habe ich bei mir etwas außen vor gelassen aber auch dieses Tool hat durchaus auch Vorzüge.
 

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Berichtswesen im SAP®-Controlling (📖)

Für 19,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Sonntag, 3. Februar 2013
16:19 Uhr

SAP Query: Berechtigung (organisatorisch und technisch)

Ausgangslage
Neben der Gestaltung von SAP Query besteht oftmals auch eine Frage in welcher Form diese dann in die Breite gegeben werden soll. Hier sollte neben der Frage der Gestaltung solcher Abfragen auch darauf geachtet werden, in welcher Form diese dann an "berechtigte" Empfänger weiter gegeben werden soll.

Eine Möglichkeit wäre es eine kundeneigene Transaktion für die Query anzulegen. Am elegantesten wäre hier vermutlich die Parametertransaktion, so dass auch entsprechende Felder vorbelegt sind.

Diese Methode ist sicherlich für einzelne Auswertungen sicherlich sehr hilfreich, sofern aber bspw. in Teilbereichen Queries genutzt werden sollen, muss auch eine Frage der Berechtigungen gestellt werden.


Hier gibt es, meines Wissens nach, drei Methoden, die sicherlich sehr hilfreich sind:

a) einfache Methode: Benutzergruppen

Über die Transaktion SQ03 werden Benutzergruppen gepflegt, die sowohl Infosets als auch Queries zuzuordnen sind. Somit können Benutzer entsprechenden Gruppen zugeordnet werden und diese dann auf bestimmte Queries bzw. Infosets zugreifen können.

Eine Pflege dieser Gruppen kann über Benutzerparameter gesteuert werden, so dass auf eine sehr bequeme Weise über die Transaktion SQ01 oder auch FQ01 nur die SAP Query angezeigt werden, für die die Personen auch berechtigt sind.

  • Vorteil:

  • Leichte Pflegbarkeit
  • "Zwang" zur Organisation und Strukturiereung der Benutzergruppen

  • Nachteil:

  • Dokumentationsaufwand
  • Nachvollziehbarkeit / Klärung der Zuständigkeiten zur Pflege von Benutzergruppen


  •  
b) mittlere Methode: Berechtigungsgruppen

Bei der Pflege von Infosets können im Feld Berechtigungsgruppe angegeben werden. Dieses Feld ermöglicht auf acht Stellen einen entsprechenden Wert einzutragen, der im Benutzerstamm über das Berechtigungsobjekt S_PROGRAMM gepflegt werden kann und im lokalen Berechtigungskonzept hinterlegt werden kann.

  • Vorteil

  • Berücksichtigung innerhalb des Berechtigungskonzept
  • Konzeptionierung anhand der Berechtigungsgruppen

  • Nachteil

  • Disziplin bei Berechtigungspflege
  • Genaues Namenskonzept und ggf. Dokumentation


  •  
c) ABAP Berechtigungsprüfung

Sofern innerhalb einer Query logische Datenbanken genutzt werden sind hier schon entsprechende Berechtigungsprüfungen hinterlegt.

Zum Aufruf von Infosets, die bspw. über Joins miteinander verknüpft werden, sind nur Prüfungen vorhanden, ob generell die dahinter liegende Tabellen gelesen werden dürfen aber keine differenziertere Betrachtung auf die einzelnen Datensätze betrachtet werden.

Hier kann innerhalb der Infosetpflege über das Menü
Springen->
Abgrenzungen->
ein Abgrenzungsparameter hinterlegt werden.

Hier kann dann bspw. über das Feld AUFK-AUFNR die Auftragsnummer als Selektionskriterium hinterlegt werden.

Ist eine solche Abgrenzung definiert, so ist auch beim Anlegen einer Query automatisch dieses Feld als Selektionsfeld mit definiert.

Über den Button "Prüfcoding zum Element" kann nun ein entsprechendes Abap-Coding hinterlegt werden. Hier kann eine Berechtigungsprüfung über "Authority-Check" durchgeführt werden.

Hier würde sich dann das Berechtigungsobjekt K_ORDER anbieten, in dem die Berechtigung für Innenaufträge hinterlegt sind.

Nähere Infos liefert hierzu der OSS Hinweis 692502.

Hier sollte jedoch beachtet werden, dass dort dann auch ein entsprechender ABAP-Schlüssel auch erforderlich ist.

  • Vorteil

  • Sehr differenzierte Berechtigungsprüfung
  • Genaue Prüfung der innerhalb der Tabellen vorhandenen Datensätze

  • Nachteil

  • ABAP Coding erforderlich
  • Entwicklerschlüssel
  • Tiefe Kenntnisse im Bereich SAP-BC und den einzelnen Berechtigungsobjekte der Module


  •  

Fazit:
Je nach Einsatzzweck der SAP Query haben alle Methoden ihre Vorteile und entsprechende Nachteile. Hier sollte insbesondere auf die lokalen organisatorischen Gegegbenheiten geachtet werden und das Thema Berechtigung und Datenschutz nicht ausser acht gelassen werden. Ein wichtiges Thema ist hier generell beim Thema SAP Query auch ein Punkt der Dokumentation und Verbindlichkeit.

Hinweis:

Eine kurze Einführung in das Thema SAP Query habe ich im Artikel
"Grundlagen Kurzeinführung und Handbuch SAP Query" beschrieben und hoffe Ihnen hier eine Einführung ins Thema bieten zu können.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Wissenschaft und VG Wort
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 16. September 2008
08:01 Uhr

Berechtigung für Tabellenansicht

Zum Anzeigen einer Tabelle wird die Auswertungstransaktion (sei es über einen Query oder über SE16 DataBrowser) und die Tabellenansichtberechtigung über das Berechtigungsobjekt S_TABU_DIS geprüft. Hierbei wird im Berechtigungsfeld Aktivität 03 (=Ansicht) und eine der Tabelle zugeordneten Berechtigungsgruppe geprüft.

Die Zuordnung von Tabellen zu Berechtigungsgruppen erfolgt mandantenunabhängig über die Transaktion SE54.

Hier kann auch über die Berechtigungsgruppe oder die Tabelle nach den entsprechenden Werten gesucht werden. So ist bspw. die Tabelle GLPCA der Berechtigungsgruppe KA (=CO:Anwendungstabelle) zugewiesen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 4. September 2008
16:48 Uhr

SAP PSM: Mittelbindung Finanzposition nicht vorhanden.

Ausgangslage:

Beim Anlegen einer Mittelbindung im PSM erscheint die Fehlermeldung "Finanzposition für den Buchungskreis nicht vorhanden", obgleich FMDERIVE eine Zuordnung Sachkonto zu Finanzposition liefert.

Lösung:

Werden im Bereich der Sachkonten Berechtigungsgruppen verwandt erfolgt eine Prüfung auf diese Berechtigungsgruppe nicht nur beim Buchen von Rechnungen sondern auch bei Mittelbindungen.

Die Transaktion FMZ1 (Mittelbindung anlegen) würde hier beim Anlegen einer Mittelbindung auf ein Sachkonto das Berechtigungsobjekt "F_SKA1_BES" auf die Aktivität 03 (Anzeigen) prüfen.

Eine Ergänzung der Rolle der Mittelbindung um das Berechtigungsobjekt F_SKA1_BES mit 03 sollte das Problem beheben.

Auf diese Weise ist es dann auch möglich eine differenzierte Berechtigungen auf bestimmte Sachkonten für die Mittelbindung zu vergeben.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Schnelleinstieg ins SAP®-Controlling (CO) – 2., erweiterte Auflage (📖)

Für 29,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 18. Februar 2008
09:32 Uhr

SAP BC: Rollenmenüs ausgeben.

Der Report "PRGN_PRINT_AGR_MENU" (Transaktion SE38) ermöglicht das Drucken von Rollenmenüs. Diese Menüs werden als Benutzermenüs in den Rollen / Aktivitätsgruppen festgelegt (Transaktion PFCG) und kumuliert als Benutzermenü festgelegt.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung

Steuersoftware für das Steuerjahr 2023

Lexware TAXMAN 2024 (für das Steuerjahr 2023)

WISO steuer:Sparbuch 2024 (für Steuerjahr 2023)

WISO Steuer 2024 (für Steuerjahr 2023)


* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 18. Januar 2008
10:17 Uhr

SAP BC: Kreditor/Debitor Berechtigungen

Sollen nur bestimmte Kreditoren / Debitorendaten ausgewertet werden können hier ebenfalls bei Kreditoren unter Allgemeine Daten / Steuerung (Kontosteuerung) im Feld Berechtigung bzw. bei Debitoren unter Steuerungsdaten ebenfalls im Feld Berechtigung eine Berechtigungsgruppe eingepflegt werden.

Über die Berechtigungsobjekte:

Debitoren:
F_BKPF_BED
F_KNA1_BED

Kreditoren:
F_BKPF_BEK
F_LFA1_BEK

können dann Aktivitäten zugewiesen werden.

Zu Beachten ist hierbei, dass bei einer evtl. Auswertung eines Debitorernbeleges dann die Buchungszeile des Debitor nich angezeigt wird (BS 01).

Der Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen" fasst die einzelnen Beiträge zu diesem Thema ebenfalls zusammen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 18. Januar 2008
10:05 Uhr

SAP BC: Personalkontenberechtigungen

Sollen Infouser innerhalb Fachabteilungen nur bestimmte Konten auswerten können, kann es sinnvoll sein hier Berechtigungsgruppen für bestimmte Konten zu verwenden.

Hier kann in Sachkonten unter Steuerungsdaten eine Berechtigungsgruppe zugewiesen werden. Dieses Feld ist frei definierbar.

Berechtigunsgrguppe bei FI Sachkonten


Über die Berechtigungsobjekte F_SKA1_BES und F_BKPF_BES können Aktivitäten in Verbindung mit den Berechtigungsgruppen zugewiesen werden (bspw. Aktivität 03 Anzeige).

 

Berechtigungsgruppe PSM-FM Finanzpositionen

ACHTUNG:

Wird das Modul Public Sector Management (ehemals FM bzw. PSM) eingesetzt. Ist eine solche Berechtigungsgruppe auch bei den Finanzpositionen (Kontierungsobjekt analog der Sachkonten) einzutragen.

Die Berechtigungen werden in PSM über die Berechtigungsobjekte

F_FICA_FPG
und
F_FICA_TRG

zu pflegen. Alternativ könnte man über das Berechtigungsobjekte

F_FICB_FPS
und
F_FICA_FTR

auch einzelne Finanzpositionen innerhalb des Berechtigungsfeldes FM_FIPOS für eine Auswertung im Haushaltsmanagement einstellen.

Eine Verwendung von Berechtigungsgruppen bei Finanzpositionen würde jedoch eine einfachere Datenpflege ermöglichen.

Die Berechtigungsgruppen könnten auch für Finanzstellen und Fonds genutzt werden, jedoch ist hier oftmals eine direkte Zuweisung der betroffenen Fonds und Finanzstellen übersichtlicher und dokumentationstechnisch genauer.

Eine andere Alternative ist die Berechtigungssteuerung von Personalkostenbuchungen anhand der Belegarten (siehe Artikel Belegartberechtigung F_BKPF_BLA. Dieses ist auch ein wenig flexibler als die reine Steuerung über Sachkonten.

Berechtigungen für einzelne Kostenarten

Eine Berechtigungsvergabe im Modul CO für das Berichtswesen ist nur über die beiden Berechtigungsobjekte K_CCA für Kostenstellen und K_ORDER für Innenaufträge möglich.

Hier sind jedoch nur Kostenarten entweder als Einzelwerte oder als Intervall positiv berechtigt, so dass keine negative Kostenartenberechtigung (Ausschluss bestimmter Kostenarten) noch Kostenartengruppen hinterlegt werden können.


K_CCA
"CO-CCA: Allg. Berechtigungsobjekt für Kostenstellenrechnung"
Hier können über CO-OM Verantwortungsbereich entsprechende Berechtigungen für Kostenarten hinterlegt werden.

Insbesondere die Aktionen 3027: Summensätze selektieren und 3028: Einzelposten selektieren dürften diene Erfordernisse entsprechen.

K_ORDER,
"CO-OPA: Allgemeines Berechtigungsobjekt für Innenaufträge"
Hier können ebenfalls Kostenarten in Kombination mit Innenaufträgen definiert werden.

Ergänzend sind noch zwei weitere Berechtigungsobjekte erwähnenswert:

K_REPO_OPA "CO-OPA: Reporting auf Aufträgen"

K_REPO_CCA "CO-CCA: Reporting auf Kostenstellen / Kostenarten"

Damit werden für die Kombination Kostenstelle/Innenauftrag die Berechtigungen auf Kostenarten festgelegt.

Der Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen" fasst die einzelnen Beiträge zu diesem Thema ebenfalls zusammen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Berichtswesen im SAP®-Controlling (📖)

Für 19,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 17. Januar 2008
11:59 Uhr

SAP BC: Benutzerpuffer leeren

Problem:
Gibt es eine Möglichkeit den Benutzerpuffer zu aktualisieren ohne das sich der User neu anmelden muß? Hintergrund: Ich möchte den Usern eine Neuanmeldung ersparen nachdem ich Feuerwehr spielen und Berechtigungsänderungen vornehmen mußte.


Lösung:
Bezüglich des Benutzerpuffers kann der OSS Hinweis 452904 und 537001 als Grundlage genutzt werden. Hier kann wohl über den Parameter auth/new_buffering = 4 folgende Änderung des SAP Systemverhaltens provoziert werden.

"Das neue Verhalten bedeutet: nach der Profilgenerierung oder dem Import werden die Berechtigungen aller Benutzer (in Tabelle usrbf2) sofort nach den Änderungen der Tabellen usr12 und ust12 neu berechnet und ggf. aktualisiert. Eine Aktualisierung wie bisher bei der Neuanmeldung findet nicht mehr statt."


Nachtrag:

Durch den Kommentar von Alfredo bin ich noch auf eine andere Alternative aufmerksam gemacht worden.

Über den Funktionsbaustein "SUSR_USER_BUFFER_AFTER_CHANGE" werden, (durch löschen der Einträge in der Tabelle USRBF "Benutzerpufferinhalt fuer schnelle RFC-Anmeldung") alle Benutzerpuffer zurueckgesetzt. Dieser Funktionsbaustein kann entweder innerhalb eines ABAP Programms (wie vorgeschlagen) oder über die Transaktion SE37 aufgerufen werden.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 4. Juni 2007
20:37 Uhr

SBWP: Berechtigungen Allgemeine Ablage

Innerhalb des Sap Business Workplace (Transaktion SBWP) gibt es die Möglichkeit der Anzeigeberechtigung von Dokumentenmappen.

Normalerweise ist hier der Mappenzugriff auf Mandantenebene freigegeben. Es ist jedoch möglich diese Berechtigungen auf Gruppenebene und damit für jeden einzelnen Benutzer ändern zu lassen.

Hierzu muss der Mappenbereich auf Gruppe umgestellt werden und innerhalb
des Register Berechtigungen die Benutzer (SAP User) einzeln mit entsprechender Berechtigung eingetragen werden. Für bestehende Mappen müssten von unten nach oben die Tochtermappen bis hin zur Muttermappe angepasst werden.

Als Berechtigungsausprägung sind folgende Varianten möglich:
  • Mappe und Dokumente anzeigen
  • Dokumente in der Mappe ändern
sowie
  • Mappe und Dokumente ändern.

Berechtigungsobjekte im Zusammenhang zum SAP  Business Workplace (SBWP)

Beachten Sie jedoch, dass Benutzer, die Administrationsberechtigung haben (Berechtigungsobjekt  S_OC_ROLE in der Regel mit * ausgeprägt) jede Mappe einsehen und bearbeiten können. Durch die Administrationsrechte ist es möglich alle Mappen in der Allgemeinen Ablage angezeigt zu bekommen inklusive jener für die keine Berechtigung in der Gruppenmappe zugewiesen wurde.

Weitere relevante Berechtigungsobjekte (abseits der oben erwähnten Administratorberechtigung) sind:
  • S_OC_TCD: Berechtigung für die Transaktionen
Transaktionscodes der Anwendungsfunktionen des Sende-, Ablage- und Bürobereichs auch diese kann ebenso wie die Administratorfunktion mit * ausgeprägt werden
  • S_OC_FOLCR: Berechtigung zum Anlegen allgemeiner Mappen
Hier kann über das Berechtigungsfeld Section sowohl für G = Gruppenmappe als auch M = Mandantenmappe ein Wert zugewiesen werden
  • S_OC_SEND: Berechtigung zum Senden
Hier können verschiedene AKtivitäten gewählt werden (bspw. INT über Internet, FAX, ...) und auch die Empfängeranzahl festgelegt werden
  • S_OC_DOC: Berechtigung zum Archivieren und An neuen Empfänger senden
Von der Konzeption her kann in der Allgemeinen Mappe für alle zugängige Dokumente hinterlegt werden und für einzelne Abteilungen (oder Projekte) als Gruppenmappen geschützte Arbeitsbereiche erstellt werden.

Ordnerstruktur (Unterschied Mandanten- Gruppenmappe)

Für eine Hochschule könnten die Mappen wie folgt aufgebaut sein.
Unterhalb der Allgemeinen Ablage könnten folgende Unterordner angelegt werden.
  • Schwarzes Brett
In dieser "Mandatenmappe" können alle SAP User Dokumente anzeigen, anlegen und ändern. Diese Mappe dient den übergreifenden Austausch.
  • Allgemeine Informationen der Haushaltsabteilung
In dieser Mappe liegen Dokumente die von allen Beschäftigten gelesen aber nur durch die Beschäftigten in der Haushaltsabteilung angelegt oder geändert werden dürfen.
  • Allgemeine Informationen der Personalabteilung
Ebenso ist diese "Mandantenmappe" als Information seitnes der Projekte zu sehen.


Als Gruppenmappen können dann für jeden Fachbereich eine eigene Mappe angelegt werden. Auf diese Mappe dürfen nur Beschäftigte aus den Fachbereich zugreifen und dient so zum Beispiel als Austauschort für Dokumente, die ausschliesslich für diesen Bereich / Abteilung oder auch Projekt gedacht sind.

Selbstverständlich können die einzelnen Mappen dann auch wieder Untermappen haben, so dass es sinnvoll ist sich hier gemeinsam mit den einzelnen Beschäftigten abzustimmen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 12. März 2007
22:01 Uhr

Auswertungen SAP Benutzeradministration

Im Bereich der Benutzerverwaltung können innerhalb einer Auswertung folgende ABAP-Reports interessant sein.

RSUSR008_009_NEW
Liste der Benutzer mit kritischen Berechtigungen incl. Vorschlagswerte SAP
RSUSR005
Listet alle Benutzer mit kritischen Berechtigungen.
RSUSR100
Änderungsbelege für Benutzer

Eine weitere hilfreiche Transaktion kann hier noch das Benutzerinformationssystem (Transaktion SUIM) sein. Auch hier sind Auswertungen innerhalb der Berechtigungen eines SAP Systemes möglich.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM (📖)

Für 29,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 7. Juli 2006
11:57 Uhr

Zugang SAP System mit SAP*

Sofern der (hoffentlich gesperrte) Benutzer SAP* nicht mehr als Benutzer im System vorhanden ist, bzw. in der Tabelle "usr02" gelöscht wurde, ist es prinzipiel möglich sich mit SAP* (incl. Standardpasswort PASS) anzumelden, da SAP diesen Benutzer systemseitig mit weitreichenden Rechten aussteuert und somit ein Gesamtzugriff im SAP System möglich ist.

Innerhalb des Systemprofils "DEFAULT.PFL" kann diese Schwachstelle über den Parameter login/no_automatic_user_sapstar durch einen Wert größer als Null abgeschaltet werden. Dann ist eine Anmeldung nur noch möglich, wenn auch SAP* als Benutzerstammsatz existiert.

Wird dieser Parameter im Instanz-Profil gepflegt kann damit auch explizit für einen einzelnen Appl.Server umgeschaltet
werden.

Grds. sollte der Benutzer SAP* ohne Rechte in jeden Mandanten angelegt und als nicht aktiver Nutzer angelegt sein. Ferner sollte er (um versehentliche Löschung zu vermeiden) der Benutzergruppe SUPER angehören.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Abschlussarbeiten im SAP S/4HANA Controlling (📖)

Für 29,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 5. Juli 2006
13:17 Uhr

BSI: IT Grundschutzhandbuch + SAP

Das Bundesamt für Sicherheit in der Informationstechnik hat im Rahmen des IT Grundschutzhandbuches eine Vorabversion des Kapitel B 5.13 SAP inklusive aller zugehörigen Maßnahmen und Gefährdungen zur allgemeinen Diskussion ins Netz gestellt.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 26. Juni 2006
07:35 Uhr

Berechtigung auf Benutzergruppen

Sollen innerhalb der Basisadministration unterschiedliche Berechtigungen auf die einzelnen SAP Benutzer vergeben werden kann die Berechtigung auf die einzelnen Benutzer über Benutzergruppen gesteuert werden.

Die Zuordnung und Pflege von Benutzergruppen erfolgt über die Transaktion SUGR.

Verwendet wird hier das Berechtigungsobjekt S_USER_GRP. Als Aktivität können hier neben Änderungen auch die Anzeige gesteuert werden. Wenn ein Benutzer keiner Benutzergruppe zugeordnet ist, kann dieser von jeden Administrator gepflegt werden.




Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung

Steuersoftware für das Steuerjahr 2023

Lexware TAXMAN 2024 (für das Steuerjahr 2023)

WISO steuer:Sparbuch 2024 (für Steuerjahr 2023)

WISO Steuer 2024 (für Steuerjahr 2023)


* Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 21. Juni 2006
09:57 Uhr

Belegartberechtigung F_BKPF_BLA

Jeder Buchhaltungsbeleg wird innerhalb der Finanzbuchhaltung einer Belegart zugeordnet . Innerhalb des Customizing Grundeinstellung Finanzbuchhaltung
- Beleg
- Belegkopf
- Belegarten definieren (Transaktion OBA7)

lassen sich durch Tabellenpflege die Belegarten einer Berechtigungsgruppe zuweisen. Die Bezeichnung der Berechtigungsgruppe ist frei definierbar und kann innerhalb des Berechtigungsobjektes F_BKPF_BLA eingepflegt werden.

Allerdings sollte hier berücksichtigt werden, dass dieses Berechtigungsobjekt nicht mit * ausgeprägt ist. Eine Möglichkeit ist hier sensible Belege mit Nummerncodes (333) zu versehen und normale Belege mit alphanumerischer Bezeichnung (A007).

In der Berechtigungspflege können hier auch Intervalle eingetragen werden.

So ist es auch möglich die Berechtigungsgruppe x auszuschliessen durch Zuweisung des Intervalls a bis w* und y bis z* sowie 0 bis 9*.

Nachtrag: Berechtigungsgruppe bei Belegarten

Den Hinweis von Felix (siehe Kommentar unten) aufgreifend möchte ich noch ein paar weiter gehende Informationen zum Nomenklaturvorschlag erwähnen:

Die einzelnen Belegarten sind je nach Nebenbuchhaltung zweistellig (bspw. KR für Kreditorenrechnung, AA für Anlagenbuchhaltung, ...). Innerhalb des Pflegekatalogs (Transaktion OBA7) kann nun direkt eine dieser Belegarten per Doppelklick aufgerufen werden und das Feld Berechtigungsgruppe gefüllt werden.

Für die Pflege der Berechtigungsgruppe wird in den Eigenschaften der Belegart eine Berechtigungsgruppe angegeben. Auf Datenbanktabellenebene entspricht dieses dem Feld BRGRU innerhalb des View V_T003 (bzw. der dahinter liegenden Tabelle T003). Dieses Feld ist von der Länge 4 und Datentyp CHAR, so dass hier bis zu vier Zeichen als Berechtigungsgruppe verwendet werden können. Dieses nutzt auch das obige Beispiel durch eine Kombination von Buchstaben und Zeichen. Ferner werden an dieser Stelle auch die entsprechenden Belegnummernkreise der einzelnen Belegarten festgelegt, so dass auch hier ein Blick in die Pflege von Interesse sein kann.

Ergänzend dazu kann auch eine Berechtigungssteuerung in der Kreditoren- / Debitorenrechnung interessant sein. Diese ist im Artikel "SAP BC: Kreditor/Debitor Berechtigungen" beschrieben.

Der Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen" fasst die einzelnen Beiträge zu diesem Thema ebenfalls zusammen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 14. Februar 2006
14:51 Uhr

Infotypberechtigung anhand Personalteilbereiche

Ausgangslage:
Im Rahmen der negativen Zeitwirtschaft sollen über die Transaktion PA61 die Infotypen 2001 und 2006 für die Urlaubspflege gefüllt werden. Von den Berechtigungen her kann ich das Berechtigungsobjekt P_ORIGIN verwenden und bis auf die Personalbereiche eine Pflege erlauben.


Problem:
Nun würden wir jedoch gerne die Berechtigungsprüfung auf Personalteilbereiche erweitern. Leider ist auf den ersten Blick eine Berechtigungssteuerung hier nicht möglich.
Alternativ könnte man über das Berechtigungsfeld VDSK1 "Organisationsschlüßel" eine Berechtigung über die Organisationseinheiten pflegen. Problematisch ist in unseren Fall, dass wir Planstellen einer Organisationseinheiten an unterschiedlichen Standorten haben. Eine Aufteilung des Personal erfolgt hierbei über den Personalteilbereich. Nun ist es gewünscht, dass Mitarbeiter vom Standort 2 auch ausschließlich die Zeitdatenpflege für Standort2 nicht jedoch für Standort1 machen. Eine Aufteilung der Mitarbeiter erfolgt hierbei auf kleinster Ebene innerhalb der Personalteilbereiche.


Lösung:

a) Merkmalpflege

Über die Merkmalpflege PE03 läßt sich das Merkmal "VDSK1 Organisationsschlüssel" durch Customizing unabhängig von der Zuordnung im OM pflegen.

Über das Teilobjekt Struktur läßt sich ein "Feldname für Rückgabewert" zuweisen. Diese Feldnamen kann unter anderen auch BTRTL für Personalteilbereich sein.

Durch die Übergabeart 1 wird das Feld übergeben.

Weitere Felder sind:
BUKRS Buchungskreis
WERKS Personalbereich
BTRTL Personalteilbereich
PERSG Mitarbeitergruppe
PERSK Mitarbeiterkreis
MOLGA Ländergruppierung

Laut Dokumentation lassen sich hier auch weitere Felder eintragen lassen.
"Das hier anzugebende Feld muß ein Tabellen- oder Strukturfeld sein und
in der Form Tabellenname-Feldname angegeben werden."


b) Aktivierung Berechtigungsobjekt

Die zweite Alternative wäre die Aktivierung eines benutzereigenen Berechtigungsobjektes.
Hier würde sich das Berechtigungsobjekt "P_NNNN" anbieten. Dieses muß aktiviert werden. Hier können dann die für die Berechtigung relevanten Felder selbst ausgesucht werden. Dieses könnten dann bspw. Infotyp, Subtyp, Personalbereich und die Zugriffsart sein.

Das Berechtigungsobjekt muß konfiguriert und per Report aktiviert werden.
Danach kann man es in Rollen oder Profile aufnehmen.

Die Aktivierung des Berechtigungsobjektes erfolgt im Customizing. Die Aktivierung erfolgt über den Berechtigungshauptschalter mittels der Transaktion OOAC bzw. im Customizing unter:

Personaladministration->
Werkzeuge->
Berechtigungsverwaltung->
Berechtigungshauptschalter.

Wenn Sie ein kundeneigenes Berechtigungsobjekt (P_PNNNN) verwenden,
müssen Sie dieses in der Transaktion Ber. Objekt-Prüf. unter Transaktionen (SU24) analog zu den Objekten HR: Stammdaten (P_ORGIN), HR: Stammdaten - erweiterte Prüfung (P_ORGXX) und HR: Stammdaten - Personalnummernprüfung (P_PERNR) pflegen.

Kritisch kann es hierbei sein, daß eine solche Änderung mandantenübergreifend erfolgen kann.


Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Wissenschaft und VG Wort
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 27. Oktober 2005
14:34 Uhr

Berechtigungsprüfung SAP User

Neben ST01 (siehe Artikel Anleitung Berechtigungstrace über ST01 , Profilgenerator und das Berechtigungsinformationssystem (Transaktion SUIM ) gibt es auch noch andere Transaktionen die in der Berechtigungsprüfung sehr hilfreich sind.

SU53 liefert alle standardmaessig geprüften Berechtigungsobjekte (mit Worten) für einen Vorgang innerhalb SAP,

SU56 liefert aus den Benutzerpuffer alle zur Zeit vergebenen Berechtigungsobjekte.

Das Layout der Berechtigungsübersicht läßt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungsobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.

Beide Transaktionen können bei der täglichen Arbeit im Bereich des Berechtigungswesen sehr hilfreich sein und sollten daher in einer allen zugeordneten Aktivitätsgruppe/Rolle zugewiesen sein.

Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" sind die Grundlagen zur Berechtigungsprüfung ebenfalls zusammengefasst.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM (📖)

Für 29,95 € direkt bestellen

Oder bei Amazon ** Oder bei Autorenwelt

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 18. Oktober 2005
16:09 Uhr

Anzeigeberechtigung SAP Customizing

Sie haben folgende Möglichkeiten:

- um eine Rolle für ein IMG Projekt mit dem PFCG zu erstelllen:

Rolle auswählen > Reiter Menü > Hilfsmittel > Customizing Berecht.
(Siehe auch Authorizations Made Easy Guide 6-38, Hinweis 93769)

- Sie können auch Templates wie zB SAP_BC_CUS_CUSTOMIZER_AG
ihren Bedürfnissen anpassen.

- siehe auch Hinweise:

# 167466 IMG-Berechtigungen mit dem Profilgenerator zu 4.5
# 93769 Zusatzdokumentation zum Berechtigungskonzept
# 46546 Anzeigeberechtigung fuer Aktivitaeten im IMG


Quelle: SAP Forum dvdozenten.de.

Eine ausführlichere Diskussion findet sich hier.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Smartwatch -Smarte Geräte am Handgelenk
Smartwatch -Smarte Geräte (Wearable) am Handgelenk
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 19. September 2005
12:55 Uhr

Anzeigeberechtigung SAP Customizing mit SPRO_Admin

Für Anzeigeberechtigung im Customizing kannst Du Dir eigene Rollen
erstellen.

In der SPRO_ADMIN (Transaktion zur "Customizing - Projektverwaltung" bzw. ABAP Report SAPLS_IMG_TOOL_5)  erstellst Du Dir zuerst Sichten aus dem IMG ( Referenz-
oder Bereich IMG )

Dann legst Du in der PFCG eine oder mehrere Rollen an.

In der( den ) Rollen gehst Du in den Tabstrip "Menü" nicht Berechtigung, und
wählst im Menü folgenden Eintrag:

"HILFSMITTEL --> CUSTOMIZING BERECHTIGUNG --> HINZUFÜGEN"

Dann wählst Du die eben erstellte Sicht aus.

Die PFCG stellt Dir dann alle TA's aus der Sicht in das Benutzermenü.
diese Aktion kann sehr lange dauern.

Im Tabstrip "BERECHTIGUNG" pflegst Du dann ganz normal die Rolle (
Aktivitäten auf 03 lesen ),
und generierst anschliessend die Profile.

Wichtig ist das Ber,. Obj. "S_TABU_DIS" ( Tabellenpflege ) Aktivität 03 -
Lesen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Smartwatch -Smarte Geräte am Handgelenk
Smartwatch -Smarte Geräte (Wearable) am Handgelenk
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Montag, 15. August 2005
13:27 Uhr

Keine Hierarchieanzeige für Kostenstellen

Beim Start der Kostenstellenhierarchie erscheint die Fehlermeldung 2A252 "Sie haben keine Planvariante eingegeben".

Hierbei fehlt ein Berechtigungsobjekt aus dem HR Bereich. Das Berechtigungsobjekt PLOG wird zu Personalplanungsdaten verwendet.

Als Infotyp sollte hier "1001" für Verknüpfungen und als Objekttypen die Objekte aus dem Bereich Controlling (K/Kostenstelle, KG/Kostenstellengruppe, PC/Profitcenter, PG/Geschäftsprozeßgruppe, PH/Profit-Center-Gruppe, PR/Geschäftsprozeß) freigegeben werden.

Für den Planstatus kann aktiv (1) eingetragen werden.

Als Subtypen sollten die Verknüpfungsarten (A003/gehört zu, B003/umfaßt) eingetragen sein.

Um eine reine Ansicht zu ermöglichen sollte hier der Funktionscode DISP gewählt sein.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelle Schulungstermine SAP S/4HANA Migrationscockpit und Migrationsobjektmodellierer

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Mittwoch, 29. Juni 2005
11:35 Uhr

Aktivitätsgruppen nach Transaktion durchsuchen

Innerhalb des Benutzerinformationssystem (Transaktion SUIM) kann man Aktivitätsgruppen nach komplexen Suchkriterien durchsuchen.

Hierbei steht unter S_BCE_68001420 eine Suche nach Transaktionszuordnung zur Verfügung. Diese ermöglicht eine Durchsuchung des Benutzermenüs der Aktivitätsgruppe/Rolle.

Teilweise sind aber Transaktionen auch ausserhalb eines Benutzermenüs einer Aktivitätsgruppe zugeordnet.

Durch die Suche nach Berechtigungswerten
S_BCE_68001423 kann nach den Berechtigungsobjekt "S_TCODE" und durch Eingabe des Berechtigungswertes nach der Transaktion gesucht werden. Für den Bereich HCM sollte hier jedoch auch das Berechtigungsobjekt "P_TCODE" mit durchsucht werden, da teilweise auch hier entsprechende Berechtigungen geprüft werden.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Donnerstag, 14. April 2005
09:42 Uhr

Transaktion taucht nicht im Benutzermenü auf

Ein merkwürdiges Verhalten ist mir gerade innerhalb von Benutzermenüs von Aktivitätsgruppen aufgefallen.

Ist eine Transaktion in einem selbst angelegten Menüpfad vergeben (bspw. Aufruf der Bilanz innerhalb der Berichte des Anlagenbuchhalters und innerhalb der Funktionen der Bilanzbuchhaltung) so wird diese Transaktion nur in der zuerst genutzten Aktivitätsgruppe, bzw. deren Benutzermenü übernommen.


Lösung:

identischer Menübaum für identische Funktionen

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Wissenschaft und VG Wort
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 7. Dezember 2004
07:46 Uhr

Berechtigungsobjekte zu einer TAN

Um die zu einer Transaktion zugehörigen Berechtigungsobjekte anzeigen zu lassen hilft die Transaktion SU24 weiter.

Hier können die einzelnen Transaktionscodes angebenen werden (einzeln oder im Intervall)

Es erscheint eine Liste mit den angegebenen Transaktionscodes von denen nach Markierung durch Berechtigungsobjekte->Anzeigen, die zugehörigen Berechtigungsobjekte angezeigt werden können.

ACHTUNG: Hierbei wird Bezug auf die Standardvorgaben genommen.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelle Schulungstermine SAP S/4HANA Migrationscockpit und Migrationsobjektmodellierer

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Dienstag, 9. November 2004
11:39 Uhr

Anleitung Berechtigungstrace über ST01

Zur Überprüfung von notwendigen Berechtigungen hinter einer Transaktion oder eines Vorganges innerhalb SAP gibt es die Möglichkeit des Berechtigungstrace.

Der Berechtigungstrace findet im Rahmen des Systemtrace statt: Transaktion ST01 -> Schalter editieren... -> Button 'Berechtigungsprüfung' anklicken -> 'allgemeine Filter' anklicken und im folgenden Popup den eigenen Benutzernamen eintragen -> Zurück -> 'Schreib-Optionen' anklicken und 'Trace auf Platte schreiben' anklicken -> Zurück -> Trace-Schalter -> Editor sichern in -> In laufendes System;

Nun können beliebig Transaktion durchgespielt werden.

Wenn der Trace ausgewertet werden soll, dann gehen Sie wieder in die Transaktion ST01 und wählen Sie -> Sofort Trace stoppen -> Trace-Dateien -> Optionen auswählen... -> Nur 'Trace für Berechtigungsprüfungen' anklicken und unter 'Benutzer' den eigenen Namen angeben -> So Nehmen -> Trace-Dateien -> Liste der Traces -> Doppelklick auf die angezeigte Tracedatei zeigt eine Liste mit allen geprüften Ber.objekten mit Werten.

Nachtrag August 2013

Eine aktuelle Alternative dazu ist die Transaktion SAUTHTRACE, die ihren Schwerpunkt auf Berechtigungsprüfung legt und damit eine interessante Alternative zum Berechtigungstrace über die Transaktion ST01 bietet.

Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.

Nachtrag September 2015:
Im Exxsense Developer Blog wird im Artikel  "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.


Im Artikel "SAP Basis Basic oder dank SU53 oder ST01 Trace fehlende Berechtigungen finden" sind die Grundlagen zur Berechtigungsprüfung ebenfalls zusammengefasst.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Aktuelles von Andreas Unkelbach

unkelbach.link/et.books/

unkelbach.link/et.migrationscockpit/

Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de


Freitag, 16. Juli 2004
13:10 Uhr

Aktivitätsgruppen: Orgaebenen

Bei der Anlage von Aktivitätsgruppen ist zu beachten, dass über die Orgaebene allgemeine Feldwerte gepflegt werden können.

Die individuelle Pflege hat hier ganz entscheidende Nachteile.

Diese wären:
- Die Wertepflege über das Dialogfeld "Orgaebene festlegen verändert den Wert nicht mehr".
- Bei der Anpassung abgeleiteter Rollen wird der Berechtigungswert überschrieben.

Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionen und Bestellmöglichkeit zu finden.
Werbung
Steuern, Selbstständigkeit und VGWORT als Blogger und Autor
Diesen und weitere Texte von Andreas Unkelbach finden Sie auf http://www.andreas-unkelbach.de





* Amazon Partnerlink/Affiliatelinks/Werbelinks
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.
Weitere Partnerschaften sind unter Onlineshop und unter Finanzierung und Transparenz aufgeführt. Hinauf






Logo Andreas-Unkelbach.de
Andreas Unkelbach Blog
ISSN 2701-6242

© 2004 - 2024 Andreas Unkelbach
Gießener Straße 75,35396 Gießen,Germany
andreas.unkelbach@posteo.de

UStID-Nr: DE348450326 - Kleinunternehmer im Sinne von § 19 Abs. 1 UStG

Andreas Unkelbach

Stichwortverzeichnis
(Tagcloud)


Aktuelle Infos (Abo)

Facebook Twitter XING

Linkedin Mastodon Bluesky

Amazon Autorenwelt Librarything

Buchempfehlung
Schnelleinstieg ins SAP®-Controlling (CO) – 2., erweiterte Auflage

29,95 € Amazon* Autorenwelt

Espresso Tutorials

unkelbach.link/et.reportpainter/

unkelbach.link/et.migrationscockpit/

Privates

Kaffeekasse 📖 Wunschliste