Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG

Autor: Tobias Harmes | 22. August 2019

3 | 10 | #PFCG

In einer Rolle 500 ACTVT-Felder auf "Anzeige" stellen? Manuell macht das keinen Spaß. Glücklicherweise bietet die PFCG im ALV-Tree-Modus auch die Möglichkeit Massenbearbeitungen durchzuführen. Eine prima Möglichkeit, um in nur einem Durchgang in einer Rolle alle Aktivitäten auf "Anzeigen" zu ändern.

  • Mit dem ALV-Tree Modus im Berechtigungseditor der PFCG kann man objektübergreifend Massenbearbeitungen durchführen
  • So können mehrere Objekte gleichzeitig in einem speziellen Feldwert angepasst werden können, ohne jedes Objekt und Feld einzeln anwählen zu müssen
  • Am Beispiel von SAP_ALL wird gezeigt, wie man schnell eine Nur-Anzeige-Versionen einer Rolle erzeugen kann

Voraussetzung: Berechtigungseditor im ALV-Modus

Schon mit ERP6.0 EHP7 konnte man auf den neuen ALV-Tree Modus der PFCG umschalten. In S/4HANA Systemen ist das auch die Voreinstellung. Erreichbar ist die Funktion im Berechtigungseditor über Hilfsmittel->Einstellungen.

Option ALV-Tree Darstellung in der PFCG->Berechtigungseditor->Hilfsmittel->Einstellungen

Hier die Anleitung am Beispiel einer leeren Rolle, in die zunächst das SAP_ALL Profil eingefügt wird und danach dann ein Berechtigungsobjekt mit den gewünschten Aktivitäten ausgewählt wird.

Zu Risiken und Nebenwirkungen…

Aber Achtung bei diesem Beispiel: Ohne Nacharbeiten können weiterhin mit dieser Rolle wahlfrei Programme bzw. Reports aufgerufen werden. Auf der anderen Seite gibt es definitiv Programme und Transaktionen, die nicht mehr vollständig funktionieren. Aber das ist dann ja auch bei einem Lese-Zugriff gewünscht.

SAP_ALL in Rolle aufnehmen

PFCG->Neue Rolle erstellen, sichern, in den Berechtigungseditor wechseln (Tab “Berechtigungen”)

PFCG Reiter Berechtigungen

PFCG Reiter Berechtigungen

Beim Popup keine Vorlage auswählen. Danach in der leeren Rollen über das Menü “Bearbeiten”-> “Aus Profil…” wählen

SAP_ALL auswählen und bestätigen.

Auf Nachfrage “Alle Berechtigungen” einfügen

Massenänderung der Aktivitäten

Schaltfläche “Massenänderungen” anwählen

Hier als Berechtigungsobjekt S_USER_GRP auswählen mit Feldname ACTVT.

Danach auf Werte definieren gehen. Übrigens: Im Prinzip könnte man hier jedes Berechtigungsobjekt nehmen, was genügend Aktivitäten zur Auswahl hat. S_USER_GRP gibt es halt in jedem SAP System. In diesem Fall benötigen wir 03 – Anzeigen und 08 – Änderungsbelege anzeigen.

Danach sollte der Punkt Werte definieren einen grünen Haken haben. Jetzt den Punkt “Für alle Objekte mit dem ausgewählten Feld” anhaken – nur dann wird objektübergreifend die Aktivität ausgetauscht. Ansonsten würden nur Instanzen des Objekts S_USER_GRP aktualisiert werden. Danach “Ersetzen” anwählen.

Auf meinem System gab es noch eine Fehlermeldung “Pflege des Berechtigungsobjekts S_TABU_LIN über Standarddialog nicht möglich.” Alle angezeigten Fehler prüfen bzw. notieren und dann die Fehlermeldung bestätigen.

Dann sollte am Bildschirmrand eine Meldung á la „Es wurde(n) 552 Berechtigung(en) geändert.“ erscheinen.

Nacharbeiten

Die notierten Fehlermeldungen danach manuell korrigieren, in diesem Fall das Berechtigungsobjekt S_TABU_LIN, dass nicht über die Massenbearbeitung auf “03” gesetzt werden konnte.

Nacharbeiten (2)

Unsere Leserin Frau Dahm hat noch weitere Risiken entdeckt bei der Verwendung dieser Version der SAP_ALL-Rolle. So sollte in jedem Fall das Berechtigungsobjekt S_ADMI_FCD entwertet werden, oder zumindest zurückgebaut werden, wie wir das in unserer Anleitung zum zurückgebauten Z_SAP_ALL beschrieben haben. Besonders kritisch sind immer folgende Objekte:

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – deaktivieren

Zum Abschluss die Rolle generieren. Der Hinweise auf offene Berechtigungen kann ignoriert werden – alle Objekte die nicht 03 oder 08 unterstützen bleiben bei dieser Bearbeitung ungepflegt, das heißt im Status “offen” oder auch “gelb”.

Und nun die Rolle testen.

War das hilfreich? Ich freue mich über Feedback.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG"

Hi. Was ist mit Änderungsberechtigungen, die sich nicht in Feldern vom Typ ACTVT verstecken?

Hi Jonas.
Tja, die bleiben leider wie sie sind. Also ein S_BTCH_JOB und ein S_BTCH_ADM mit BTCADMIN hätte auch eine Änderungsberechtigung über das Einplanen von Jobs. Für ein perfektes READ ONLY SAP_ALL wird hier wohl auch nicht drum herumkommen, Feinschliff zu machen. In jedem Fall muss auch die Nutzung dieser Rolle über das Security Audit Log überwacht werden. Ich werde im Artikel oben noch mal eine entsprechenden Hinweis ergänzen.
Viele Grüße
Tobias

Update // Hinweis auf Umgang mit Basis-Berechtigungen, speziell Berechtigungsobjekt S_ADMI_FCD ergänzt.
Danke an unserer Leserin Jaqueline Dahm für den Hinweis per Mail!

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support