Doppelte und abgelaufene Berechtigungsrollen aufräumen

Autor: Dominik Busse | 17. Juli 2015

7 | 51 | #PFCG

Doppelte und abgelaufene Berechtigungsrollen aufräumen kann sehr mühselig werden. Mit dem folgenden Report können Sie diese Tätigkeit zukünftig mit einem Klick erledigen.

Immer wieder kommt es vor, dass ich in meinem Tagesgeschäft auf User treffe, denen Rollen doppelt zugeordnet sind (bspw. mit unterschiedlichen Gültigkeitszeiträumen) oder bei denen der Gültigkeitszeitraum abgelaufen ist. In jedem Fall kann die Rollenzuordnung mitunter sehr unübersichtlich werden. Zum Glück gibt es eine einfache Möglichkeit, doppelte und abgelaufene Berechtigungsrollen aufzuräumen.

Report: Doppelte und abgelaufene Berechtigungsrollen aufräumen

Öffnen Sie die Transaktion SE38 und führen Sie den Report PRGN_COMPRESS_TIMES aus:

Berechtigungsrolle-aufräumen_1

Die Selektionsmaske der Transaktion öffnet sich und Sie können im Bereich Selektionskriterien Benutzer, Benutzergruppen oder Rollen auswählen, für die doppelte und abgelaufene Berechtigungsrollen aufgeräumt werden sollen.

Berechtigungsrolle-aufräumen_2

Wenn Sie lediglich doppelte Berechtigungsrollen aufräumen wollen, wählen Sie Benutzer, Benutzergruppen und/oder Rollen aus und wählen Sie Ausführen (F8).

Wenn Sie zusätzlich abgelaufene Berechtigungsrollen aufräumen wollen, setzen Sie auch den Haken bei Löschung abgelaufener Zuordnungen und wählen dann Ausführen (F8).

SAP Berechtigungsredesignworkshop mit dem Fachbereich

In unserem zweitägigen Redesignworkshop beschäftigen wir uns mit der Abstimmung von Funktionsrollen für die Fachbereiche Ihres Unternehmens.

Bevor das Aufräumen der Berechtigungsrollen endgültig durchgeführt wird, können Sie auch den Haken bei Simulationslauf setzen und den Report ausführen, um zunächst zuprüfen, welche Berechtigungsrollen aufgeräumt werden.

Berechtigungsrolle-aufräumen_3

Unabhängig davon, ob Sie die Transaktion im Simulationslauf oder final ausführen, erhalten Sie im nächsten Dialog eine Auflistung aller betroffenen Berechtigungsrollen und die vom Report ausgeführte (bzw. auszuführende) Aktion:

abgelaufene berechtigungsrollen

PFCG: Doppelte und abgelaufene Berechtigungsrollen aufräumen

Sie können den Report auch direkt aus der PFCG heraus aufrufen. Hierfür öffnen Sie eine beliebige Rolle in der PFCG und wählen anschließend Hilfsmittel -> Benutzerzuordnung optimieren. Der Report öffnet sich und trägt im Selektionsbereich Rolle automatisch die Rolle ein, über die Sie den Report aufgerufen haben.

Berechtigungsrolle-aufräumen_5

Ab sofort kennen Sie einen einfachen Weg, um obsolete Berechtigungsrollen in Benutzerstämmen aufzuräumen. Egal ob Sie den Report bereits öfter ausführen  oder ob ich Ihnen mit diesem Beitrag tatsächlich etwas Arbeitsaufwand nehmen konnte – ich freue mich auf Ihre Kommentare gleich unterhalb dieses Beitrags!

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Dominik Busse

Autor

Dominik Busse

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

7 Kommentare zu "Doppelte und abgelaufene Berechtigungsrollen aufräumen"

Hallo Herr Busse,
in der Transaktion PFCG gibt ein Ankreuzfeld „Veraltet“
das Feld ist bei Uns grau. Man kann es nicht ankreuzen um Rollen als veraltet zu kennzeichnen.
Kann man das Feld Eingabe bereit machen und wie?
Für Ihren Tipp herzlichen Dank im voraus.
Herzlichen Grüß
Tessema

Hallo Tessema,

vielen Dank für diese interessante und ergänzende Frage zum Blogbeitrag!

Das Ankreuzfeld „Veraltet“ in der PFCG wird gesetzt, in dem Sie in der PFCG in der Rolle in den Änderungsmodus gehen und dort in der Menüleiste ganz oben „Rolle“ -> „Rolle veraltet“ auswählen. Anschließend ist das Ankreuzfeld „veraltet“ in der Rolle markiert. Wichtig ist jedoch, dass das Setzen des Hakens nur zur Information gilt. Es ist technisch weiterhin möglich, die Rolle zu verwenden. Allerdings hat das Setzen des Hakens den Vorteil, dass Sie fortan bspw. in der SUIM auch gezielt nach veralteten Rollen suchen können. Hierfür in die SIUM gehen und dort via Rollen -> Rollen nach komplexen Selektionskriterien -> Haken setzen bei „Nur veraltete Rollen“.

Ich hoffe, dass ich Ihnen weiterhelfen konnte. Wenn Sie noch weitere Fragen haben, können Sie sich gerne bei mir melden!
Gruß
Dominik Busse

Hallo Herr Busse,

leider hat Ihre Antwort aus meiner Sicht nicht den Kern der Frage von Tessema getroffen, die ich auch gern beantwortet hätte.
Ihre Antwort beschreibt den Vorgang, WENN das Feld anwählbar ist. Mir geht es aber wie Tessema: Ich sehe das Feld, kann aber keinen Eintrag vornehmen, weil es auch im Änderungsmodus grau bleibt.
Gruß,
Der Nachfrager

Hallo Der Nachfrager,
vielen Dank für Ihre Anmerkung. Eventuell habe ich meine Antwort missverständlich formuliert: Es ist im Standard nicht möglich, dass Feld durch >Ankreuzen< zu aktivieren. Stattdessen wird das Feld angehakt, indem Sie wie in meiner Antwort beschrieben, über die MENÜLEISTE (die Leiste oberhalb der TCODE-Eingabe) über den Reiter ROLLE -> „Rolle veraltet“ anwählen. Anschließend ist der Haken gesetzt. Über den gleichen Weg lässt sich der Haken auch wieder entfernen.

Ich hoffe, dass meine Antwort nun präziser ist. Wenn’s noch Fragen gibt, gerne melden!

Besten Gruß
Dominik Busse

Hallo Herr Busse,
gibt es auch einen Report, der direkte Zuweisungen von Rollen löscht, sofern diese bereits über Sammelrollen oder OrgManagment zugewiesen sind?

Freundliche Grüße
Thomas Wäschebach

Hallo Herr Wäschebach,
der PRGN_COMPRESS_TIMES beachtet leider nur direkte Zuweisungen und ignoriert indirekte Zuordnungen (siehe 3217127 – PRGN_COMPRESS_TIMES does not remove duplicate role assignments. Im Standard kenne ich hier ohne Tool oder IDM-Werkzeug keine Lösung innerhalb von SAP. Man könnte vielleicht das Zugeordnet-Flag über die Tabelle AGR_USERS exportieren und in Excel eine „zu entziehen“ Liste aufbauen.
Viele Grüße
Tobias Harmes

Den gibt es: RSUSR_CHECK_ROLE_ASSIGNMENTS (siehe die Hinweise 1591201, 3270384 und 3280790).

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice