- 8. Februar 2013

Transaktion SU24: Pflege für eigene Transaktionen

Berechtigungskonzept

In diesem Beitrag möchte ich eine Transaktion näher beleuchten, die leider viel zu oft nur sehr stiefmütterlich betrachtet wird. Die Rede ist von der Transaktion SU24. Mit Hilfe dieser Transaktion lassen sich bequem Vorschlagswerte für Berechtigungsobjekte zu SAP-, sowie eigenen Transaktionen pflegen.

Sie werden sich jetzt evtl. fragen, welchen Mehrwert die zusätzliche Pflege der SU24 bietet bzw. welche Intention dahinter steckt. Im weiteren Verlauf des Beitrags werde ich Ihnen nicht nur die Antwort auf diese Frage liefern, sondern auch anhand eines Beispiels zeigen, wie Sie konkret die Transaktion SU24 einsetzen können. Aber zuerst zur Theorie.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

„SU24-gepflegte“ Transaktionen einfügen

Wie eingangs schon erwähnt lassen sich über die Transaktion SU24 Vorschlagswerte für Berechtigungsobjekte, in Abhängigkeit zu einer Transaktion, hinterlegen. Wenn Sie nun über die Transaktion PFCG eine Rolle anlegen bzw. ändern und unter dem Reiter Menü eine „SU24-gepflegte“ Transaktion einfügen, erhalten Sie beim Bearbeiten der Berechtigungen automatisch die hinterlegten Feldwerte, für die zur Transaktion gehörigen Berechtigungsobjekte, als Vorschlagswerte geliefert.

Eigenentwicklungen

Die Erfahrung hat gezeigt, dass es in den meisten Unternehmen viele Eigenentwicklungen gibt. Eine Faustregel sollte hier lauten, „kein Programm ohne eine Transaktion“, damit Anwender kritische Transaktionen wie die SA38 bzw. SE38 zum Ausführen der Programme erst gar nicht benötigen. Sie ersparen sich damit viel Ärger, aber das nur am Rande. Gehen wir also davon aus, dass es zu jeder Eigenentwicklung auch eine Transaktion gibt und die Programme durch Abfrage von Berechtigungsobjekten geschützt werden, Stichwort SAP Authority-Check innerhalb der Programme. Nun kommt es nur allzu oft vor, dass die Dokumentation der Programme nur unzureichend gepflegt ist und sobald Benutzerrollen gebaut werden müssen die Frage aufkommt „Welche Feldwerte müssen gesetzt werden, um eine ausreichende Berechtigung vergeben zu können“, da der Wert *, sofern möglich, immer vermieden werden sollte. Spätestens wenn auch noch eigene Berechtigungsobjekte verwendet werden ist nicht mehr nachvollziehbar, welche Inhalte die einzelnen Felder enthalten müssen. In solchen Fällen hilft meistens nur noch ein Berechtigungstrace, durch den versucht wird die gesuchten Werte zu identifizieren. Aber dieses Vorgehen ist nicht nur fehleranfällig, es kostet auch viel Zeit und damit Geld. Geld, dass Sie sich sparen können, indem Sie die Transaktion SU24 pflegen.

Transaktionen zur Tabellenpflege

Ein weiterer Punkt sind die angesprochenen kritischen Transaktionen. Allen voran die Transaktion zur Tabellenpflege SE16 in allen Ausprägungen. Ein gängiges Mittel in der Praxis ist hierbei die Kapselung kritischer Transaktionen in selbst definierten, die zum Beispiel nur den Zugriff auf bestimmte Tabellen ermöglichen. Auch in diesem Fall ist die Pflege der SU24 sinnvoll.

Gerade bei der Umsetzung komplexer Berechtigungskonzepte wird durch die konsequente Pflege der SU24 das Risikopotential innerhalb des Projekts drastisch minimiert.

Nachdem Sie nun wissen, warum es von Vorteil ist regen Gebrauch von der Transaktion SU24 zu machen, möchte ich Ihnen selbstverständlich die konkrete Umsetzung nicht vorenthalten.

Das hier abgebildete Programm, mit gleichnamiger Transaktion, soll als Repräsentation einer Ihrer Eigenentwicklungen dienen und ist somit Ausgangspunkt für unser Szenario.SU24 Pflege für eigene Transaktionen

Authority-Check

Wie Sie sehen wird das Programm durch einen Authority-Check vor unberechtigtem Zugriff geschützt. Als Beispiel wurde hier das Berechtigungsobjekt S_USER_AGR verwendet, das zwei Felder besitzt. Die Aktivitätsgruppe, deren Wert frei definierbar ist und das Feld Aktivität, bei dem es eine von SAP vorgeschriebene Auswahl an Möglichkeiten gibt. Hier habe ich mich für den Wert 03, der Anzeigeaktivität, entschieden.

Sind nun die Werte in keiner Dokumentation festgehalten, ist es gerade bei frei definierbaren Feldern wie ACT_GROUP schwierig, beim Rollenbau zu entscheiden welche Berechtigung vergeben werden muss, zumal noch nicht einmal das Berechtigungsobjekt selbst vorgeschlagen wird. Denn Standardmäßig wird nur das Berechtigungsobjekt S_TCODE beim Anlegen einer Transaktion gesetzt und von der Transaktion PFCG gezogen.

Um dem vorzubeugen müssen folgende Schritte durchgeführt werden.

Aufruf der SU24 und eintragen der Transaktion.

SU24 Pflege für eigene Transaktionen

In den Bearbeitungsmodus wechseln.

SU24 Pflege für eigene Transaktionen

Das betreffende Berechtigungsobjekt der Transaktion hinzufügen.

SU24 Pflege für eigene Transaktionen

SU24 Pflege für eigene Transaktionen

Prüfen, ob in der Spalte Vorschl. „JA“ steht und in den Bearbeitungsmodus des Berechtigungsobjekts wechseln.

SU24 Pflege für eigene Transaktionen

Vorschlagswerte eintragen und übernehmen.

SU24 Pflege für eigene Transaktionen

Prüfen, ob der Status auf grün steht und speichern.

SU24 Pflege für eigene Transaktionen

Ob die Vorschlagswerte wirklich eingetragen worden sind, kann über die Tabelle USOBT_C überprüft werden, in der alle Einträge der SU24 gespeichert werden.

SU24 Pflege für eigene Transaktionen

Wenn Sie nun die Transaktion einer Rolle zuweisen und sich die Berechtigungen anschauen, werden Sie feststellen, dass das Berechtigungsobjekt gemäß dem Inhalt der SU24 ausgeprägt wurde. Das Ergebnis sehen Sie in den folgenden Abbildungen.

SU24 Pflege für eigene Transaktionen

transaktion su24

SU24 Pflege für eigene Transaktionen

Ich hoffe ich konnte Sie für dieses Thema etwas sensibilisieren und freue mich auf Ihre Kommentare und Anregungen zur Transaktion SU24.

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:




Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.