Willkommen im SAP Forum

SAP liefert für diesen Zweck auch den Report REGENERATE_SAP_APP aus. Mit diesem Report kann eine Rolle generiert werden, die alle Berechtigungsobjekte enthält. Man kann bei der Generierung auswählen, ob z. B. HCM- oder Basis-Objekte ausgeschlossen werden sollen.

Hallo Herr Gehrer. Danke für den Hinweis! Es gibt dazu auch mehrere SAP Notes, hier mal ein Einstieg: 2015655 - REGENERATE_SAP_APP | functional enhancement (https://launchpad.support.sap.com/#/notes/2015655) Mit freundlichen Grüßen Tobias Harmes

Sehr geehrter Herr Harmes, ich habe Ihre Doku gelesen, wie man ZSAP_ALL Rolle anlegen kann und ich fand die Rolle ist sehr gut. Einige Berechtigungen wurden eingeschränkt. Es hat bei mir gut funktioniert. Nun habe ich eine erweitere Anforderung. Wie kann ich von diese Rolle SU01 und alle HR-Transaktionen ausschließen? ich habe versucht alle HR-Berechtigungobjekte, zB: P_CH_PK, P_DE_BW usw zu inaktivieren, aber es hat leider nicht funktioniert. Ich konnte immer noch die HR-Transaktion zB: CAPS, BCMK aufrufen. Vielen Dank für Ihre Rückmeldung im Voraus. Mit freundlichen Grüße Nam Do

Hallo Herr Do. Das Thema HR aus einem SAP_ALL herauszubekommen ist eine ziemlich undankbare Aufgabe. Sie könnten Tabellen (S_TABU_DIS und S_TABU_NAM) Berechtigungen um die P*-Bereiche ausklammern. Dann würden Sie zwar in die Transaktionen reinkommen, aber sehr wahrscheinlich wenig sehen und machen können. Ein anderer Weg ist die Nutzung von REGENERATE_SAP_APP (siehe Hinweis 1703299). Mit dem kann man eine SAP_APP-Roll (nicht zu verwechseln mit SAP_ALL) bauen, die keine HR-Objekte enthält -> Option "Keine HCM-Objekte aufnehmen". Man kann auch eine Variante ohne Basis bauen. In neueren Systemen ist dieser Report auch über die Transaktion SU25 erreichbar. Allerdings ist das natürlich auch immer noch keine 100% sichere Sache. An irgendeiner Stelle muss man dann doch überlegen, ob es nicht nachhaltiger ist, eine passende Rollen neu zu bauen als eine (zu) große Rolle zu reduzieren. Mit freundlichen Grüßen Tobias Harmes

Hallo, vielen Dank für den hilfreichen Artikel. Gibt es eine Standard Exceldatei oder eine Übersicht, die Rolleninhalte-Vorschläge für Entwickler bereitstellt? Also sowas wie Entwicklung, SE80, SPRO, Transport, Debuggen usw.? Freue mich über Ihre Hilfe.

Hallo, es gibt die Möglichkeit eines reduzierten SAP_ALL für das DEV-System wie im Artikel beschrieben. Da fehlt allerding S-DEVELOP mit Debug-Replace. Debuggen geht dann nur im Lesemodus. Das ist aber etwas, was ein Entwickler ab und zu doch nochmal benötigt. Wenn das bei Ihnen der Fall ist, müsste der Punkt S-DEVELOP vielleicht nochmal hinterfragt werden. Ich hoffe, ich konnte Ihnen helfen! Viele Grüße Tobias Harmes

Lieber Tobias hast du auch einen Tipp für ein zurückgebautes SAP_ALL für einen externen HR Berater auf der Produktion? Herzliche Grüße c

Hi Christine, hm, wir verwenden gelegentlich noch die Variante "Kein HR" von ZSAP_ALL, wo wir alles was mit PA anfängt bei Transaktionen und Tabellen ausklammern. Aber der HR-Berater ist ja eigentlich das Gegenteil. Also da würde ich einfach das ZSAP_ALL nehmen und den in das Security Audit Log mit aufnehmen. Ansonsten schreib mal, was er nicht dürfen soll :) Liebe Grüße Tobias

Hallo, wir müssen unbedingt verhindern, daß SAP_ALL und/oder andere System-Profile zugeordnet werden können. Ich habe wie von Euch beschrieben folgendes in S_USER_PRO eingebaut /* bis SAP_ALK und SAP_ALM bis Z* das auch funkioniert, aber leider bekomme ich es nicht hin, das z.B. die weiteren System-Profile, wie z.B. S_A.SYSTEM und weitere S_.*-Profile zugeordnet werden können, welche auch zusammen das SAP_ALL haben. Hier funktioniert etwas nicht mit der Sortierung im SAP? Vielen Dank für eine Aufklärung Ansonsten weiter so - bestens Eure Tipps! LG, Günter

Hallo Günter, eine sehr gute Frage, die auch tatsächlich gar nicht so einfach zu beantworten ist. Aus unserer Sicht die pragmatischste Lösung ist ein vollständiges Entfernen von S*. Also konkret wäre das der Filter: /* bis R* und T* bis Z* Das schließt natürlich alle S*-Profile aus. In der Regel ist das aber kein Problem. Viele Grüße