Dominik Busse
 - 17. Juli 2015

Doppelte und abgelaufene Berechtigungsrollen aufräumen

Berechtigungsrolle-aufräumen_1

Doppelte und abgelaufene Berechtigungsrollen aufräumen kann sehr mühselig werden. Mit dem folgenden Report können Sie diese Tätigkeit zukünftig mit einem Klick erledigen.

Immer wieder kommt es vor, dass ich in meinem Tagesgeschäft auf User treffe, denen Rollen doppelt zugeordnet sind (bspw. mit unterschiedlichen Gültigkeitszeiträumen) oder bei denen der Gültigkeitszeitraum abgelaufen ist. In jedem Fall kann die Rollenzuordnung mitunter sehr unübersichtlich werden. Zum Glück gibt es eine einfache Möglichkeit, doppelte und abgelaufene Berechtigungsrollen aufzuräumen.

Report: Doppelte und abgelaufene Berechtigungsrollen aufräumen

Öffnen Sie die Transaktion SE38 und führen Sie den Report PRGN_COMPRESS_TIMES aus:

Berechtigungsrolle-aufräumen_1

Die Selektionsmaske der Transaktion öffnet sich und Sie können im Bereich Selektionskriterien Benutzer, Benutzergruppen oder Rollen auswählen, für die doppelte und abgelaufene Berechtigungsrollen aufgeräumt werden sollen.

Berechtigungsrolle-aufräumen_2

Wenn Sie lediglich doppelte Berechtigungsrollen aufräumen wollen, wählen Sie Benutzer, Benutzergruppen und/oder Rollen aus und wählen Sie Ausführen (F8).

Wenn Sie zusätzlich abgelaufene Berechtigungsrollen aufräumen wollen, setzen Sie auch den Haken bei Löschung abgelaufener Zuordnungen und wählen dann Ausführen (F8).

Bevor das Aufräumen der Berechtigungsrollen endgültig durchgeführt wird, können Sie auch den Haken bei Simulationslauf setzen und den Report ausführen, um zunächst zuprüfen, welche Berechtigungsrollen aufgeräumt werden.

Berechtigungsrolle-aufräumen_3

Unabhängig davon, ob Sie die Transaktion im Simulationslauf oder final ausführen, erhalten Sie im nächsten Dialog eine Auflistung aller betroffenen Berechtigungsrollen und die vom Report ausgeführte (bzw. auszuführende) Aktion:

abgelaufene berechtigungsrollen

Tobias Harmes
Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

PFCG: Doppelte und abgelaufene Berechtigungsrollen aufräumen

Sie können den Report auch direkt aus der PFCG heraus aufrufen. Hierfür öffnen Sie eine beliebige Rolle in der PFCG und wählen anschließend Hilfsmittel -> Benutzerzuordnung optimieren. Der Report öffnet sich und trägt im Selektionsbereich Rolle automatisch die Rolle ein, über die Sie den Report aufgerufen haben.

Berechtigungsrolle-aufräumen_5

Ab sofort kennen Sie einen einfachen Weg, um obsolete Berechtigungsrollen in Benutzerstämmen aufzuräumen. Egal ob Sie den Report bereits öfter ausführen  oder ob ich Ihnen mit diesem Beitrag tatsächlich etwas Arbeitsaufwand nehmen konnte – ich freue mich auf Ihre Kommentare gleich unterhalb dieses Beitrags!

Dominik Busse

Mein Name ist Dominik Busse und ich bin zertifizierter Managing Consultant bei mindsquare. Als Projektleiter und HR Business Partner des Fachbereichs Security liegt mein Fokus auf Redesign-Projekte für SAP Berechtigungen.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:




Das könnte Sie auch interessieren


4 Kommentare zu "Doppelte und abgelaufene Berechtigungsrollen aufräumen"

Tessema - 20. August 2018 | 15:45

Hallo Herr Busse,
in der Transaktion PFCG gibt ein Ankreuzfeld „Veraltet“
das Feld ist bei Uns grau. Man kann es nicht ankreuzen um Rollen als veraltet zu kennzeichnen.
Kann man das Feld Eingabe bereit machen und wie?
Für Ihren Tipp herzlichen Dank im voraus.
Herzlichen Grüß
Tessema

Antworten
Dominik Busse - 22. August 2018 | 09:48

Hallo Tessema,

vielen Dank für diese interessante und ergänzende Frage zum Blogbeitrag!

Das Ankreuzfeld „Veraltet“ in der PFCG wird gesetzt, in dem Sie in der PFCG in der Rolle in den Änderungsmodus gehen und dort in der Menüleiste ganz oben „Rolle“ -> „Rolle veraltet“ auswählen. Anschließend ist das Ankreuzfeld „veraltet“ in der Rolle markiert. Wichtig ist jedoch, dass das Setzen des Hakens nur zur Information gilt. Es ist technisch weiterhin möglich, die Rolle zu verwenden. Allerdings hat das Setzen des Hakens den Vorteil, dass Sie fortan bspw. in der SUIM auch gezielt nach veralteten Rollen suchen können. Hierfür in die SIUM gehen und dort via Rollen -> Rollen nach komplexen Selektionskriterien -> Haken setzen bei „Nur veraltete Rollen“.

Ich hoffe, dass ich Ihnen weiterhelfen konnte. Wenn Sie noch weitere Fragen haben, können Sie sich gerne bei mir melden!
Gruß
Dominik Busse

Antworten
Anonym - 14. September 2018 | 11:50

Hallo Herr Busse,

leider hat Ihre Antwort aus meiner Sicht nicht den Kern der Frage von Tessema getroffen, die ich auch gern beantwortet hätte.
Ihre Antwort beschreibt den Vorgang, WENN das Feld anwählbar ist. Mir geht es aber wie Tessema: Ich sehe das Feld, kann aber keinen Eintrag vornehmen, weil es auch im Änderungsmodus grau bleibt.
Gruß,
Der Nachfrager

Antworten
Dominik Busse - 17. September 2018 | 14:21

Hallo Der Nachfrager,
vielen Dank für Ihre Anmerkung. Eventuell habe ich meine Antwort missverständlich formuliert: Es ist im Standard nicht möglich, dass Feld durch >Ankreuzen< zu aktivieren. Stattdessen wird das Feld angehakt, indem Sie wie in meiner Antwort beschrieben, über die MENÜLEISTE (die Leiste oberhalb der TCODE-Eingabe) über den Reiter ROLLE -> „Rolle veraltet“ anwählen. Anschließend ist der Haken gesetzt. Über den gleichen Weg lässt sich der Haken auch wieder entfernen.

Ich hoffe, dass meine Antwort nun präziser ist. Wenn’s noch Fragen gibt, gerne melden!

Besten Gruß
Dominik Busse

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support