- 25. Juli 2017

Benutzerabgleich als Job einplanen

Schnittstellen Obwohl Sie beim Administrieren von Berechtigungsrollen stets darauf achten, dass diese auch generiert sind, kommt es immer wieder vor, dass in den Produktivsystemen rote Ampeln in der Benutzerzuordnung zu finden sind. Haben Sie den Benutzerabgleich bedacht? Problem: Benutzerabgleich nicht durchgeführt Wann immer Sie eine rote Ampel auf der Registerkarte Rollen im Benutzerstamm in der SU01 finden – oder […]

Problem: Benutzerabgleich nicht durchgeführt

Wann immer Sie eine rote Ampel auf der Registerkarte Rollen im Benutzerstamm in der SU01 finden – oder aber eine gelbe Ampel auf der Registerkarte Benutzer in der PFCG, können Sie das Problem für gewöhnlich mit einem einfachen Benutzerabgleich lösen. Dass ein solcher Benutzerabgleich notwendig ist, kann mehrere Ursachen haben. Unter anderem:

  • nach einem Rollentransport
  • nach / beim Zuweisen von Benutzer zu Rollen über die PFCG
  • nach dem Einschränken der Gültigkeit von Rollen zu Benutzern
  • wenn Rollen indirekt über das Organisationsmanagement vergeben werden.

Die Problematik eines nicht durchgeführten Benutzerabgleichs spüren die Anwender meistens recht zügig: Es fehlen Berechtigungen, obwohl diese auf den ersten Blick in den zugeordneten Berechtigungsrollen vorhanden sind. Denn dann ist einem Benutzer zwar die korrekte Berechtigungsrolle zugeordnet – das zur Rolle gehörende Profil ist jedoch nicht auf dem aktuellen Stand.

Wie das möglich ist? Rein technisch gesehen enthält jede generierte Berechtigungsrolle ein Profil, aus welchem ein User die tatsächlichen Berechtigungsobjekte und Berechtigungsausprägungen erhält. Wenn dieses Profil veraltet oder aber gar nicht erst zugewiesen ist, besitzt der User auch nicht alle in der Berechtigungsrolle enthaltenen Berechtigungsobjekte.

Besonders häufig entsteht das Problem übrigens nach Rollentransporten: Wenn eine Berechtigungsrolle im Entwicklungssystem verändert und anschließend in das Produktivsystem transportiert wird, wird nicht automatisch das aktuelle Profil an die User mit der jeweiligen Rolle vergeben. Hier muss also ein Benutzerabgleich durchgeführt werden.

Wir helfen Ihnen die SAP Sicherheit zu verbessern
Fachbereichsleiter Tobias Harmes

Für Rat und Hilfe bei der Konfiguration Ihrer SAP Systemlandschaft bieten wir Ihnen unsere kompetenten Berater an: SAP Basis und SAP Security Berater von RZ10 buchen.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

Lösung: Benutzerabgleich durchführen

In diesen Fällen werden Sie das Problem mit einem manuellen Benutzerabgleich zügig unter Kontrolle bringen. Denn der Benutzerabgleich prüft, welche Rollen einem Benutzer zugeordnet sind und weist anschließend das aktuelle, passende Profil zu. Diesen Benutzerabgleich können Sie entweder manuell oder aber (meine Empfehlung!) automatisiert als Hintergrundjob ausführen:

1.) Benutzerabgleich manuell mit Transaktion PFUD durchführen

benutzerabgleich-als-job-einplanen

In der Transaktion PFUD (siehe Bild oben) können Sie den Benutzerabgleich manuell für alle Rollen (oder ausgewählte Rollen) durchführen. Sie können zwischen den Abgleicharten Profilabgleich, Abgleich indirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement wählen. Die Abgleiche unterscheiden sich laut SAP Dokumentation wie folgt:

  • Profilabgleich: „Das Programm vergleicht die aktuell gültigen Benutzerzuordnungen der ausgewählten Einzelrollen mit den Zuordnungen der zugehörigen generierten Profile und führt notwendige Anpassungen der Profilzuordnungen durch.“
  • Abgleich indirekter Zuordnungen aus Sammelrollen: „Benutzerzuordnungen zu Sammelrollen führen zu indirekten Zuordnungen für die in der Sammelrolle enthaltenen Einzelrollen. Diese Abgleichart passt die indirekten Zuordnungen der ausgewählten Einzelrollen an die Benutzerzuordnungen aller Sammelrollen an, in denen die Einzelrollen enthalten sind. Enthält die Selektionsmenge Sammelrollen, findet der Abgleich für alle darin enthaltenen Einzelrollen statt.“
  • Abgleich HR-Organisationsmanagement: „Diese Abgleichart aktualisiert die indirekten Zuordnungen aller ausgewählten Einzel- und Sammelrollen, die mit Elementen des HR-Organisationsmanagements verknüpft sind. Der HR-Abgleich ist inaktiv und nicht selektierbar, wenn keine aktive Planvariante existiert oder durch Einstellung des Customizing-Schalters HR_ORG_ACTIVE = NO in Tabelle PRGN_CUST eine globale Deaktivierung vorgenommen wurde.“

Weiterhin ist die Option „Bereinigung durchführen“ interessant, die unabhängig von den drei Abgleicharten ausgewählt werden kann und sich nicht auf die Rollenselektion bezieht. Mit der Funktion Bereinigung durchführen können Datenreste beseitigt werden, die durch unvollständige Löschung von Rollen und den zugehörigen generierten Profilen entstanden sind. Die zwei Hauptaufgaben dieser Funktion sind:

  • Löschen von Profilen samt Benutzerzuordnung, wenn keine passende Rolle existiert.
  • Löschen von Zuordnungen zwischen Benutzern und Rollen, wenn entweder der Benutzer oder die Rolle nicht existieren.

2.) Benutzerabgleich als Hintergrundjob einplanen

Ich empfehle Ihnen, dass Sie den Hintergrundjob PFCG_TIME_DEPENDENCY mit dem Report RHAUTUPD_NEW einplanen. Als Best Practice hat sich das Einplanen des Reports RHAUTUPD_NEW mit zwei Varianten bewiesen:

  1. Einmal täglich vor der ersten Anmeldung der Anwender (z.B. Mitternacht oder sehr früh am Morgen). Hierdurch werden die Benutzer einmal täglich abgeglichen.
  2. Einmal im Monat (oder auch einmal pro Woche) mit der Option „Bereinigung durchführen“, sodass regelmäßig obsolete Profile und Benutzerzuordnungen bereinigt werden.

Ebenfalls praktisch: Wenn es die Namenskonventionen Ihrer Rollen zulassen, können Sie den Report auch nach verschiedenen Zeitzonen ausrichten. Ich habe bspw. einen Kunden, der den Benutzerabgleich für seine Anwender in den USA und Asien zu verschiedenen Zeitpunkten laufen lässt, damit das Tagesgeschäft der jeweiligen Anwender nicht gestört wird.

Ich hoffe, ich konnte Ihnen die Funktion des Benutzerabgleiches näher bringen und – falls noch nicht geschehen – Sie dazu motivieren, diesen auch regelmäßig in Ihrem System einzuplanen. Wie sind Ihre Erfahrungen mit dem (fehlenden) Benutzerabgleich? Ich freue mich auf Ihre Kommentare gleich unterhalb dieser Zeilen!

Mein Name ist Dominik Busse und ich bin zertifizierter Managing Consultant bei mindsquare. Mein fachlicher Schwerpunkt sind SAP Berechtigungen.

Sie haben Fragen? Kontaktieren Sie mich!


SHARE



Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.