- 8. Mai 2015

Systemrollen aus mehreren Profilen erstellen mit der PFCG

PFCG-Rollen erstellen

In diesem Blogbeitrag möchte ich Ihnen eine Möglichkeit vorstellen, wie die Berechtigungen mehrerer Systemrollen schnell und einfach in eine neue Systemrolle übernommen werden können.

Dies stellt eine elegante Lösung dar, wenn alte Systemrollen nicht mehr verwendet werden sollen, und trotzdem die Möglichkeit bestehen soll, im Falle eines Notfall, den Usern wieder die alten Berechtigungen zuzuordnen. So wird der Produktivbetrieb nicht eingeschränkt. Fehlende Berechtigungen durch Löschung der alten Rollen können zum Beispiel dazu führen, dass der jeweilige Anwender anschließend keine Möglichkeit mehr hat, Bestellungen anzulegen, weil die neuen Systemrollen für den Einkäufer unzureichend getestet wurden. Um solche Probleme zu verhindern bietet es sich an, übergangsweise eine „Interims“ Rolle anzulegen.

Wie eine solche „Interims“ Rolle mit Hilfe der Profile erstellt werden kann, möchte ich Ihnen nun anhand eines Beispiels erläutern:

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail info@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Zuerst habe ich einen Testuser angelegt, für den ich eine „Interim“ Rolle erstellen möchte. Der User besitzt drei Systemrollen, die in diesem Szenario zukünftig nicht mehr verwendet werden sollen.

PFCG - Rollen

Abbildung 1

Nun gibt es zwei Möglichkeiten, um an die Profile für die jeweiligen Systemrollen zu kommen.

Variante 1: Durch öffnen des Reiters „Profile“

PFCG - Profile

Abbildung 2

Variante 2: Über die die Tabelle „AGR_PROF“

Hierfür werden die Systemrollen aus der Abbildung 1 benötigt. Anschließend öffnen wir die SE16 oder SE16N und anschließend die Tabelle „AGR_PROF“. Dort öffnen wir bei dem Punkt „AGR_NAME“ die Mehrfachselektion (siehe Markierung 1). In der sich nun öffnenden Mehrfachselektion fügen wir die entsprechenden Systemrollen ein.

SE16 - AGR_PROF

Abbildung 3

Nun bestätigen wir die Anfrage und erhalten folgende Ergebnisse:

PFCG Rollen - Profile

Abbildung 4

Wir können sehen, dass die Profile in der Spalte „Profile“ identisch mit den Profilen aus Abbildung 2 sind.

Nun erstellen wir über die Transaktion „PFCG“ die neue „Interims“ Rolle, welche die Berechtigungen der alten drei Rollen enthalten soll. Anschließend gehen wir auf den Reiter „Berechtigungen“, um dann auf „Expertenmodus zur Profilgenerierung“ zu klicken:

PFCG - Expertenmodus

Abbildung 5

Nun können wir die uns bekannten Profile in die neue Systemrolle hinzufügen. Dieses funktioniert über „Bearbeiten -> Einfügen Berecht. -> Aus Profil…“. Anschließend muss der Profilname eingegeben werden (Abbildung 7).

systemrollen

Abbildung 6

Profilauswahl

Abbildung 7

Diesen Schritt wird für jedes benötigte Profil wiederholt.

Die Berechtigungsobjekte für die Systemrolle werden mit jedem Profil erweitert (Abbildung 8).

Berechtigungen

Abbildung 8

Abschließend müssen nur noch die Orgebenen und andere ungepflegte Berechtigungsobjekte (Non-Orgebenen) gepflegt werden. Dies geschieht entsprechend ihrer Werte.

Orgebenen

Abbildung 9

Berechtigungsobjekte

Abbildung 10

Nun können sie die alten Rollen entfernen und haben im Falle eines Problems die Möglichkeit, den Usern die „Interims“ Rolle zu vergeben. Somit wird der Produktivbetrieb gewährleistet.

Ihre Erfahrungen

Welche Erfahrungen haben Sie mit der Problematik der Systemrollen gemacht? Haben Sie andere Lösungsvorschläge um für die GO-Live Phase gewappnet zu sein, ohne die gelöschten Rollen wieder ins System einzuspielen?

Jetzt das kostenlose eBook zum Thema SAP Berechtigungen downloaden:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:


SHARE



Ein Kommentar zu "Systemrollen aus mehreren Profilen erstellen mit der PFCG"

Stephan Panzer - 11. Februar 2016 | 10:33

Ich würde die größte der drei Rollen kopieren und müsste dann nur noch die zwei anderen fehlenden Profile wie von Ihnen beschrieben der Interimsrolle hinzufügen. Die Vorteile liegen auf der Hand.

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.