Benutzerabgleich als Job einplanen

Autor: Dominik Busse | 25. Juli 2017

2 | 55 | #SU01

Obwohl Sie beim Administrieren von Berechtigungsrollen stets darauf achten, dass diese auch generiert sind, kommt es immer wieder vor, dass in den Produktivsystemen rote Ampeln in der Benutzerzuordnung zu finden sind. Haben Sie den Benutzerabgleich bedacht?

Problem: Benutzerabgleich nicht durchgeführt

Wann immer Sie eine rote Ampel auf der Registerkarte Rollen im Benutzerstamm in der SU01 finden – oder aber eine gelbe Ampel auf der Registerkarte Benutzer in der PFCG, können Sie das Problem für gewöhnlich mit einem einfachen Benutzerabgleich lösen. Dass ein solcher Benutzerabgleich notwendig ist, kann mehrere Ursachen haben. Unter anderem:

  • nach einem Rollentransport
  • nach / beim Zuweisen von Benutzer zu Rollen über die PFCG
  • nach dem Einschränken der Gültigkeit von Rollen zu Benutzern
  • wenn Rollen indirekt über das Organisationsmanagement vergeben werden.

Die Problematik eines nicht durchgeführten Benutzerabgleichs spüren die Anwender meistens recht zügig: Es fehlen Berechtigungen, obwohl diese auf den ersten Blick in den zugeordneten Berechtigungsrollen vorhanden sind. Denn dann ist einem Benutzer zwar die korrekte Berechtigungsrolle zugeordnet – das zur Rolle gehörende Profil ist jedoch nicht auf dem aktuellen Stand.

Wie das möglich ist? Rein technisch gesehen enthält jede generierte Berechtigungsrolle ein Profil, aus welchem ein User die tatsächlichen Berechtigungsobjekte und Berechtigungsausprägungen erhält. Wenn dieses Profil veraltet oder aber gar nicht erst zugewiesen ist, besitzt der User auch nicht alle in der Berechtigungsrolle enthaltenen Berechtigungsobjekte.

Besonders häufig entsteht das Problem übrigens nach Rollentransporten: Wenn eine Berechtigungsrolle im Entwicklungssystem verändert und anschließend in das Produktivsystem transportiert wird, wird nicht automatisch das aktuelle Profil an die User mit der jeweiligen Rolle vergeben. Hier muss also ein Benutzerabgleich durchgeführt werden.

Unser E-Book zum Thema SAP Berechtigungstools

E-Book SAP Berechtigungstools

So wählen Sie Ihr SAP Berechtigungstool aus - in 3 Schritten zum neuen Berechtigungstool.

Lösung: Benutzerabgleich durchführen

In diesen Fällen werden Sie das Problem mit einem manuellen Benutzerabgleich zügig unter Kontrolle bringen. Denn der Benutzerabgleich prüft, welche Rollen einem Benutzer zugeordnet sind und weist anschließend das aktuelle, passende Profil zu. Diesen Benutzerabgleich können Sie entweder manuell oder aber (meine Empfehlung!) automatisiert als Hintergrundjob ausführen:

1.) Benutzerabgleich manuell mit Transaktion PFUD durchführen

benutzerabgleich-als-job-einplanen

In der Transaktion PFUD (siehe Bild oben) können Sie den Benutzerabgleich manuell für alle Rollen (oder ausgewählte Rollen) durchführen. Sie können zwischen den Abgleicharten Profilabgleich, Abgleich indirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement wählen. Die Abgleiche unterscheiden sich laut SAP Dokumentation wie folgt:

  • Profilabgleich: “Das Programm vergleicht die aktuell gültigen Benutzerzuordnungen der ausgewählten Einzelrollen mit den Zuordnungen der zugehörigen generierten Profile und führt notwendige Anpassungen der Profilzuordnungen durch.”
  • Abgleich indirekter Zuordnungen aus Sammelrollen: “Benutzerzuordnungen zu Sammelrollen führen zu indirekten Zuordnungen für die in der Sammelrolle enthaltenen Einzelrollen. Diese Abgleichart passt die indirekten Zuordnungen der ausgewählten Einzelrollen an die Benutzerzuordnungen aller Sammelrollen an, in denen die Einzelrollen enthalten sind. Enthält die Selektionsmenge Sammelrollen, findet der Abgleich für alle darin enthaltenen Einzelrollen statt.”
  • Abgleich HR-Organisationsmanagement: “Diese Abgleichart aktualisiert die indirekten Zuordnungen aller ausgewählten Einzel- und Sammelrollen, die mit Elementen des HR-Organisationsmanagements verknüpft sind. Der HR-Abgleich ist inaktiv und nicht selektierbar, wenn keine aktive Planvariante existiert oder durch Einstellung des Customizing-Schalters HR_ORG_ACTIVE = NO in Tabelle PRGN_CUST eine globale Deaktivierung vorgenommen wurde.”

SAP Berechtigungsredesignworkshop mit dem Fachbereich

In unserem zweitägigen Redesignworkshop beschäftigen wir uns mit der Abstimmung von Funktionsrollen für die Fachbereiche Ihres Unternehmens.

Weiterhin ist die Option “Bereinigung durchführen” interessant, die unabhängig von den drei Abgleicharten ausgewählt werden kann und sich nicht auf die Rollenselektion bezieht. Mit der Funktion Bereinigung durchführen können Datenreste beseitigt werden, die durch unvollständige Löschung von Rollen und den zugehörigen generierten Profilen entstanden sind. Die zwei Hauptaufgaben dieser Funktion sind:

  • Löschen von Profilen samt Benutzerzuordnung, wenn keine passende Rolle existiert.
  • Löschen von Zuordnungen zwischen Benutzern und Rollen, wenn entweder der Benutzer oder die Rolle nicht existieren.

2.) Benutzerabgleich als Hintergrundjob einplanen

Ich empfehle Ihnen, dass Sie den Hintergrundjob PFCG_TIME_DEPENDENCY mit dem Report RHAUTUPD_NEW einplanen. Als Best Practice hat sich das Einplanen des Reports RHAUTUPD_NEW mit zwei Varianten bewiesen:

  1. Einmal täglich vor der ersten Anmeldung der Anwender (z.B. Mitternacht oder sehr früh am Morgen). Hierdurch werden die Benutzer einmal täglich abgeglichen.
  2. Einmal im Monat (oder auch einmal pro Woche) mit der Option “Bereinigung durchführen”, sodass regelmäßig obsolete Profile und Benutzerzuordnungen bereinigt werden.

Ebenfalls praktisch: Wenn es die Namenskonventionen Ihrer Rollen zulassen, können Sie den Report auch nach verschiedenen Zeitzonen ausrichten. Ich habe bspw. einen Kunden, der den Benutzerabgleich für seine Anwender in den USA und Asien zu verschiedenen Zeitpunkten laufen lässt, damit das Tagesgeschäft der jeweiligen Anwender nicht gestört wird.

Ich hoffe, ich konnte Ihnen die Funktion des Benutzerabgleiches näher bringen und – falls noch nicht geschehen – Sie dazu motivieren, diesen auch regelmäßig in Ihrem System einzuplanen. Wie sind Ihre Erfahrungen mit dem (fehlenden) Benutzerabgleich? Ich freue mich auf Ihre Kommentare gleich unterhalb dieser Zeilen!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Dominik Busse

Autor

Dominik Busse

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Benutzerabgleich als Job einplanen"

Sehr geehrter Herr Busse,

bei uns hängen sehr viele bereits gelöschte Userstämme an Planstellen. Gibt es eine Möglichkeit diese automatisiert zu löschen? Leider greift der Report genau diese Kombination nicht ab.

Vielen Dank im Voraus

Mit freundlichen Grüßen

Hallo anonymer User! 😉
Vielen Dank für den Beitrag – den ich leider zurückspielen muss: Ich habe auf Anhieb keine Möglichkeit gefunden. Deswegen schlage ich vor, dass Sie das Thema in Form eines SAP Tickets einmal direkt an SAP adressieren und uns im Anschluss gerne über Ihre Lösung auf dem Laufenden halten? Ich würde mich sehr freuen!

Besten Gruß
Dominik Busse

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice