Ein Berechtigungsmanager ist in der Regel mit dem Tagesgeschäft ausgelastet. In vielen Unternehmen sind es Basisadministratoren, die die Bearbeitung von Berechtigungsanforderungen zusätzlich übernehmen. Oftmals sind die SAP-Standard-Werkzeuge oder deren Verwendung nicht bekannt oder noch nicht im System verfügbar. Stehen dann umfangreiche Änderungen an, so sind die Aufwände unverhältnismäßig hoch. Bei der Massenänderung ist nicht nur die Zeitersparnis ein großer Vorteil, sondern auch die Vermeidung potenzieller Eingabefehler.
SAP entwickelt diverse Anwendungen ständig weiter und stellt für ältere Systemstände neue Funktionen als „vorgezogene Entwicklung“ zur Verfügung.
Nachfolgend möchte ich Ihnen die Transaktion PFCGMASSVAL zur Massenänderung von Berechtigungsobjekten in Rollen vorstellen. Diese Anwendung ist ab SAP_BASIS Release 702 verfügbar.
Bei erstmaliger Verwendung prüfen Sie bitte das SAP-OSS mit der „SAP_BASIS-Komponente“ auf potenzielle Programmfehler. Sichern Sie vor umfangreichen Änderungen Ihre Rollen per Massendownload oder als freigegebenen Transport. Die Berechtigung für „Massenänderungen“ sollten Sie nur erfahrenen bzw. geschulten Mitarbeitern erteilen.
Massenänderung von Berechtigungsobjekten in Rollen
Mit dieser Anwendung können Sie nachfolgende Feldänderungen vornehmen:
- Organisationsebenen, zum Beispiel Buchungskreis, Verkaufsorganisationen, Werk u. a. Leider gibt es derzeit noch keine Funktion im Standard, um alle Orgebenen (Orgset) per Massenpflege auszurollen.
- Feldwerte zu einem Objekt
- Feldwerte zu einem Feld (objektübergreifend), Hinzufügen, Ersetzen, Alles ersetzen und Löschen
- Manuelle Berechtigungsobjekte hinzufügen
- Manuelle Berechtigungsobjekte löschen
- Ab SAP S/4HANA 1809: Hinzufügen von F4-Wertehilfe
Die Selektion der Rollen erfolgt entsprechend der Änderungsanforderung, zum Beispiel nach Namen oder Berechtigungsobjekt.
Bei der Erstausführung ist es sinnvoll, immer erst mit „Simulation“ zu arbeiten. Vor der finalen Änderung sollten Sie im Simulationsmodus Ihre Änderungen vorab prüfen.
Optional: Dokumentation der Änderung in der Rolle. Sie können z. B. eine Servicenummer aus einem Ticketsystem in die Dokumentation der Rolle einfügen. Benutzername und Änderungsdatum werden immer automatisch fortgeschrieben.
Nach der Ausführung der Änderungen generieren Sie die Profile der geänderten Rollen und schieben die Rollen in einen Transportauftrag.
Änderung von Masterrollen
Sie arbeiten mit Masterrollen (Stammrolle / Mutterrolle / übergeordnete Rolle / Wurzelrolle /vererbende Rolle) und abgeleiteten Einzelrollen (Kindrolle / abgeleitete Rolle / erbende Rolle)? Auch für die Änderung dieser Rollen kann die PFCGMASSVAL verwendet werden.
Je nach Auswahl der entsprechenden „Art der Feldänderung“ (nicht relevant für Orgebenen), wird Ihnen im Bereich „Optionen“ das Ankreuzfeld „Abgeleitete Rollen ausschließen“ angeboten. Ist dieses Kennzeichen gesetzt, werden abgeleitete Einzelrollen trotz Vorhandensein in der Selektion von der Ausführung der Massenänderung ausgeschlossen.
Nach der Änderung Ihrer Masterrollen müssen Sie nur noch die Massenableitung von Masterrollen auf Einzelrollen mit der Transaktion SE38 und dem Programm „SUPRN_REGENERATE_DEPENDENT“ ausführen und in einen vorher angelegten Transport schieben bzw. wenn es bereits einen Transport mit den Rollen gibt, wird dieser ohne Pflege des „Gewünschten Auftrags“ im Folgebild angezeigt.
Sie können die abgeleiteten Einzelrollen hier nur automatisiert in einen Transportauftrag schieben, wenn in Ihrem Entwicklungssystem die „mandantenspezifische Customizing-Einstellung auf Rollenpflege“ aktiviert ist, d.h. Rollenänderungen sind nur mit „automatischer Aufzeichnung“ bzw. mit „Transportauftrag“ möglich. Weitere Details dazu finden Sie im OSS-Hinweis „1723881 - Anwendung der mandantenspezifischen Customizing-Einstellung auf die Rollenpflege“.
Wenn Sie diese Funktion nicht aktiviert haben, können Sie die Einzelrollen zu den geänderten Masterrollen aus der Tabelle AGR_DEFINE ermitteln und per Massentransport (PFCG od. Programm PFCG_MASS_TRANSPORT) in Ihren Auftrag schieben.
Weitere Massenpfleganwendungen finden Sie unter anderem im Menü der Transaktion PFCG:
- Massengenerierung
- Massenabgleich
- Massentransport
- Massendownload
- Massenpflege Berechtigungen
- Massenpflege Sammelrollen
Anwendungsbeispiele aus Kundenprojekten:
Problem: Korrektur eines konzeptionellen Fehlers
Lösung: Löschen des manuell hinzugefügten Berechtigungsobjektes S_ALV_LAYO aus 250 Masterrollen mit ca. 750 abgeleiteten Rollen
Problem: Nummernkreise für Buchungskreis wurden konzeptionell nicht definiert, zum Beispiel über ein „Von-Bis-Intervall“.
Lösung: Aufnahme von neuen Buchungskreisen in ca. 200 Einzelrollen, Ausführung mehrmals über langen Zeitraum
Problem: Orgebenen in abgeleiteten Einzelrollen mit „*“ ausgeprägt
Lösung: Ersetzen der entspr. Orgebenen in Einzelrollen (Anzahl 120) in zwei Organisationseinheiten der Grundlage eines durch uns erstellten Orgsets, zum Beispiel Buchungskreis, Werk, …
Problem: Berechtigungseinschränkung auf Verkaufsbelegart und Kontengruppe
Lösung: Neuausprägung der Feldwerte und Aktivitäten der Berechtigungsobjekte J_JKAK und J_JKTOKD in ca. 900 Einzelrollen
Problem: Die Vergabe von SAP_ALL-Profilen an Dialogbenutzer in Produktivsystemen ist nicht mehr erlaubt und wird im Audit beanstandet.
Lösung: Generierung von SAP_ALL_Rollen oder Customizing-Rollen mit Ausprägungen je nach Verwendung, z. B. Änderungsrollen mit /ohne Basisberechtigung/HCM, reine Anzeigerollen mit unkritischen Aktivitäten
Anwendungsbeispiele für weitere Massenpflegefunktionen aus Kundenprojekten:
- Massenlöschen von veralteten Rollen, z. B. nach Rollout eines neuen Berechtigungskonzeptes in neuem Namensraum.
- Massenbereinigung: Abgelaufene Rollenzuordnungen löschen, z. B. Aufräumarbeiten nach Inventur
Vorteile:
- Die Übersichtlichkeit im Benutzerstamm wird verbessert.
- Beim Kopieren von Rollen aus einem Vorlagebenutzer werden abgelaufene Rollen nicht versehentlich mitkopiert.
Tipp: Stellen Sie einen monatlichen Job ein und Ihre Rollenzuordnungen sind immer aufgeräumt. Sie müssen für evtl. Informationszwecke die abgelaufenen Rollen in Ihren Benutzerstämmen nicht bevorraten, den Nachweis darüber finden Sie in den Änderungsbelegen zum Benutzer.
- Massenbearbeitung von Benutzerstämmen über SU10
- Massenpflege von Einzelrollenzuordnungen in Sammelrollen
- Massenkopieren von Rollen in einen neuen Namensraum
Optimierungsmöglichkeiten im Tagesgeschäft
- Funktionen „ALV-Tree“ in der PFCG für die schnellere Rollenbearbeitung
- Berechtigungstrace Kurzzeit: STAUTHTRACE als Ersatz für ST01
- Berechtigungstrace Langzeit: STUSERTRACE für ausgewählte Benutzer oder Berechtigungsobjekte
- Simulationsscheck vor Produktivstart
- Automatische Benutzerdeaktivierung (Gültig-Bis-Datum, Admin-Sperre)
Bitte beachten Sie: Nur erfahrene, geschulte Mitarbeiter sollten Massenänderungen vornehmen.
Stand: 21. Mai 2021