Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG

Autor: Tobias Harmes | 22. August 2019

9 | 25 | #PFCG

In einer Rolle 500 ACTVT-Felder auf "Anzeige" stellen? Manuell macht das keinen Spaß. Glücklicherweise bietet die PFCG im ALV-Tree-Modus auch die Möglichkeit Massenbearbeitungen durchzuführen. Eine prima Möglichkeit, um in nur einem Durchgang in einer Rolle alle Aktivitäten auf "Anzeigen" zu ändern.

  • Mit dem ALV-Tree Modus im Berechtigungseditor der PFCG kann man objektübergreifend Massenbearbeitungen durchführen
  • So können mehrere Objekte gleichzeitig in einem speziellen Feldwert angepasst werden können, ohne jedes Objekt und Feld einzeln anwählen zu müssen
  • Am Beispiel von SAP_ALL wird gezeigt, wie man schnell eine Nur-Anzeige-Versionen einer Rolle erzeugen kann

Voraussetzung: Berechtigungseditor im ALV-Modus

Schon mit ERP6.0 EHP7 konnte man auf den neuen ALV-Tree Modus der PFCG umschalten. In S/4HANA Systemen ist das auch die Voreinstellung. Erreichbar ist die Funktion im Berechtigungseditor über Hilfsmittel->Einstellungen.

Option ALV-Tree Darstellung in der PFCG->Berechtigungseditor->Hilfsmittel->Einstellungen

Hier die Anleitung am Beispiel einer leeren Rolle, in die zunächst das SAP_ALL Profil eingefügt wird und danach dann ein Berechtigungsobjekt mit den gewünschten Aktivitäten ausgewählt wird.

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Zu Risiken und Nebenwirkungen…

Aber Achtung bei diesem Beispiel: Ohne Nacharbeiten können weiterhin mit dieser Rolle wahlfrei Programme bzw. Reports aufgerufen werden. Auf der anderen Seite gibt es definitiv Programme und Transaktionen, die nicht mehr vollständig funktionieren. Aber das ist dann auch bei einem Lese-Zugriff gewünscht.

SAP_ALL in Rolle aufnehmen

PFCG->Neue Rolle erstellen, sichern, in den Berechtigungseditor wechseln (Tab “Berechtigungen”)

PFCG Reiter Berechtigungen

PFCG Reiter Berechtigungen

Beim Popup keine Vorlage auswählen. Danach in der leeren Rollen über das Menü “Bearbeiten”-> “Aus Profil…” wählen

SAP_ALL auswählen und bestätigen.

Auf Nachfrage “Alle Berechtigungen” einfügen

Massenänderung der Aktivitäten

Schaltfläche “Massenänderungen” anwählen

Hier als Berechtigungsobjekt S_USER_GRP auswählen mit Feldname ACTVT.

Danach auf Werte definieren gehen. Übrigens: Im Prinzip könnte man hier jedes Berechtigungsobjekt nehmen, was genügend Aktivitäten zur Auswahl hat. S_USER_GRP gibt es halt in jedem SAP System. In diesem Fall benötigen wir 03 – Anzeigen und 08 – Änderungsbelege anzeigen.

Danach sollte der Punkt Werte definieren einen grünen Haken haben. Jetzt den Punkt “Für alle Objekte mit dem ausgewählten Feld” anhaken – nur dann wird objektübergreifend die Aktivität ausgetauscht. Ansonsten würden nur Instanzen des Objekts S_USER_GRP aktualisiert werden. Danach “Ersetzen” anwählen.

Auf meinem System gab es noch eine Fehlermeldung “Pflege des Berechtigungsobjekts S_TABU_LIN über Standarddialog nicht möglich.” Alle angezeigten Fehler prüfen bzw. notieren und dann die Fehlermeldung bestätigen.

Dann sollte am Bildschirmrand eine Meldung á la „Es wurde(n) 552 Berechtigung(en) geändert.“ erscheinen.

Nacharbeiten

Die notierten Fehlermeldungen danach manuell korrigieren, in diesem Fall das Berechtigungsobjekt S_TABU_LIN, dass nicht über die Massenbearbeitung auf “03” gesetzt werden konnte.

Nacharbeiten (2)

Unsere Leserin Frau Dahm hat noch weitere Risiken entdeckt bei der Verwendung dieser Version der SAP_ALL-Rolle. So sollte in jedem Fall das Berechtigungsobjekt S_ADMI_FCD entwertet werden, oder zumindest zurückgebaut werden, wie wir das in unserer Anleitung zum zurückgebauten Z_SAP_ALL beschrieben haben. Besonders kritisch sind immer folgende Objekte:

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – deaktivieren

Aktivität Anzeigen ändern - ganz ohne Frust

Wenn Sie Hilfe dabei benötigen oder weitere Fragen zum Ändern von Aktivitäten haben, dann melden Sie sich kostenlos und unverbindlich!

Zum Abschluss die Rolle generieren. Der Hinweise auf offene Berechtigungen kann ignoriert werden – alle Objekte die nicht 03 oder 08 unterstützen bleiben bei dieser Bearbeitung ungepflegt, das heißt im Status “offen” oder auch “gelb”.

Und nun die Rolle testen.

War das hilfreich? Ich freue mich über Feedback.

Leserfragen zur Transaktion PFCG auf Youtube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

9 Kommentare zu "Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG"

Hi. Was ist mit Änderungsberechtigungen, die sich nicht in Feldern vom Typ ACTVT verstecken?

Hi Jonas.
Tja, die bleiben leider wie sie sind. Also ein S_BTCH_JOB und ein S_BTCH_ADM mit BTCADMIN hätte auch eine Änderungsberechtigung über das Einplanen von Jobs. Für ein perfektes READ ONLY SAP_ALL wird hier wohl auch nicht drum herumkommen, Feinschliff zu machen. In jedem Fall muss auch die Nutzung dieser Rolle über das Security Audit Log überwacht werden. Ich werde im Artikel oben noch mal eine entsprechenden Hinweis ergänzen.
Viele Grüße
Tobias

Update // Hinweis auf Umgang mit Basis-Berechtigungen, speziell Berechtigungsobjekt S_ADMI_FCD ergänzt.
Danke an unserer Leserin Jaqueline Dahm für den Hinweis per Mail!

In der Transaktion pfcg bekomme ich via springen – Einstellungen nur 2 Auswahlpunkte angezeigt.
Der Punkt Gesamtsicht fehlt.
Warum?

Hi Thomas,
meinst du Hilfsmittel->Einstellungen? Könnte an Berechtigungen oder dem Support-Package-Stand liegen. In jedem Fall sollte eine Option “ALV-Tree verwenden (Berechtigungspflege neu aufrufen)” oder ähnlich vorhanden sein.

Hallo,
ich habe die Rolle kurz getestet.
Ich kann in der SCOT noch Konten anlegen oder löschen…

Gruß
Rouven

Hallo Herr Stockschläder,

in dem Fall am besten einmal mit einem Berechtigungstrace das Ganze aufzeichnen und testen, was hier an Berechtigungen geprüft wird, damit das noch aus der Rolle ausgebaut werden kann.

Viele Grüße

Wenn Änderungsberechtigungen in einer SAP_ALL_READ_ONLY-Rolle bleiben, dann ist es keine Leserolle mehr, d.h. bei der Vergabe der Rolle würde eine Täuschung stattfinden. Spätestens wenn ein Prüfer käme, wäre dies ein Punkt, der im Revisionsbericht stehen würde und eine erneute Rollen. Daher müssten entweder wirklich alle Änderungsberechtigungen wie z.B. auch im FELD AUTHC entfernt werden oder der Rollenname müsste angepasst werden.
Wie sehen Sie dies?

Ja, es sollte hier eine “Packungsbeilage” geben, sprich eine aussagekräftige Beschreibung der Rolle und ihrer Limitationen. Mir ist keine Prüfungsfeststellung bei dieser Vorgehensweise bisher zugetragen worden. Im Gegenteil, oft wird manuell ein schlechteres Ergebnis erreicht. Auch weil dann oft doch wieder eine SAP_ALL-Rolle vergeben wird, weil die andere Version gar nicht funktioniert. Und der Begriff Täuschung kommt normalerweise auch mit der Frage des Vorsatzes, und der dürfte beim “normalen” Admin kaum vorliegen. Der hat ja ganz andere Möglichkeiten. Wer unbedingt (vielleicht aufgrund eines sehr hohen Schutzbedarfs) den Anfangsverdacht einer Täuschung vermeiden will, da kann die Rolle sicherlich besser SAP_ALL_BEIHNAHE_READ_ONLY nennen.

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice