Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG

Autor: Tobias Harmes | 22. August 2019

10 | 26 | #PFCG

In einer Rolle 500 ACTVT-Felder auf "Anzeige" stellen? Manuell macht das keinen Spaß. Glücklicherweise bietet die PFCG im ALV-Tree-Modus auch die Möglichkeit Massenbearbeitungen durchzuführen. Eine prima Möglichkeit, um in nur einem Durchgang in einer Rolle alle Aktivitäten auf "Anzeigen" zu ändern.

  • Mit dem ALV-Tree Modus im Berechtigungseditor der PFCG kann man objektübergreifend Massenbearbeitungen durchführen
  • So können mehrere Objekte gleichzeitig in einem speziellen Feldwert angepasst werden können, ohne jedes Objekt und Feld einzeln anwählen zu müssen
  • Am Beispiel von SAP_ALL wird gezeigt, wie man schnell eine Nur-Anzeige-Versionen einer Rolle erzeugen kann

Voraussetzung: Berechtigungseditor im ALV-Modus

Schon mit ERP6.0 EHP7 konnte man auf den neuen ALV-Tree Modus der PFCG umschalten. In S/4HANA Systemen ist das auch die Voreinstellung. Erreichbar ist die Funktion im Berechtigungseditor über Hilfsmittel->Einstellungen.

Option ALV-Tree Darstellung in der PFCG->Berechtigungseditor->Hilfsmittel->Einstellungen

Hier die Anleitung am Beispiel einer leeren Rolle, in die zunächst das SAP_ALL Profil eingefügt wird und danach dann ein Berechtigungsobjekt mit den gewünschten Aktivitäten ausgewählt wird.

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

Zu Risiken und Nebenwirkungen…

Aber Achtung bei diesem Beispiel: Ohne Nacharbeiten können weiterhin mit dieser Rolle wahlfrei Programme bzw. Reports aufgerufen werden. Auf der anderen Seite gibt es definitiv Programme und Transaktionen, die nicht mehr vollständig funktionieren. Aber das ist dann auch bei einem Lese-Zugriff gewünscht.

SAP_ALL in Rolle aufnehmen

PFCG->Neue Rolle erstellen, sichern, in den Berechtigungseditor wechseln (Tab “Berechtigungen”)

PFCG Reiter Berechtigungen

PFCG Reiter Berechtigungen

Beim Popup keine Vorlage auswählen. Danach in der leeren Rollen über das Menü “Bearbeiten”-> “Aus Profil…” wählen

SAP_ALL auswählen und bestätigen.

Auf Nachfrage “Alle Berechtigungen” einfügen

Massenänderung der Aktivitäten

Schaltfläche “Massenänderungen” anwählen

Hier als Berechtigungsobjekt S_USER_GRP auswählen mit Feldname ACTVT.

Danach auf Werte definieren gehen. Übrigens: Im Prinzip könnte man hier jedes Berechtigungsobjekt nehmen, was genügend Aktivitäten zur Auswahl hat. S_USER_GRP gibt es halt in jedem SAP System. In diesem Fall benötigen wir 03 – Anzeigen und 08 – Änderungsbelege anzeigen.

Danach sollte der Punkt Werte definieren einen grünen Haken haben. Jetzt den Punkt “Für alle Objekte mit dem ausgewählten Feld” anhaken – nur dann wird objektübergreifend die Aktivität ausgetauscht. Ansonsten würden nur Instanzen des Objekts S_USER_GRP aktualisiert werden. Danach “Ersetzen” anwählen.

Auf meinem System gab es noch eine Fehlermeldung “Pflege des Berechtigungsobjekts S_TABU_LIN über Standarddialog nicht möglich.” Alle angezeigten Fehler prüfen bzw. notieren und dann die Fehlermeldung bestätigen.

Dann sollte am Bildschirmrand eine Meldung á la „Es wurde(n) 552 Berechtigung(en) geändert.“ erscheinen.

Nacharbeiten

Die notierten Fehlermeldungen danach manuell korrigieren, in diesem Fall das Berechtigungsobjekt S_TABU_LIN, dass nicht über die Massenbearbeitung auf “03” gesetzt werden konnte.

Nacharbeiten (2)

Unsere Leserin Frau Dahm hat noch weitere Risiken entdeckt bei der Verwendung dieser Version der SAP_ALL-Rolle. So sollte in jedem Fall das Berechtigungsobjekt S_ADMI_FCD entwertet werden, oder zumindest zurückgebaut werden, wie wir das in unserer Anleitung zum zurückgebauten Z_SAP_ALL beschrieben haben. Besonders kritisch sind immer folgende Objekte:

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – deaktivieren

Aktivität Anzeigen ändern - ganz ohne Frust

Wenn Sie Hilfe dabei benötigen oder weitere Fragen zum Ändern von Aktivitäten haben, dann melden Sie sich kostenlos und unverbindlich!

Informieren

Zum Abschluss die Rolle generieren. Der Hinweise auf offene Berechtigungen kann ignoriert werden – alle Objekte die nicht 03 oder 08 unterstützen bleiben bei dieser Bearbeitung ungepflegt, das heißt im Status “offen” oder auch “gelb”.

Und nun die Rolle testen.

War das hilfreich? Ich freue mich über Feedback.

Leserfragen zur Transaktion PFCG auf Youtube

YOUTUBE-CHANNEL abonnieren: https://www.youtube.com/c/Rz10De_ms

Feedback? harmes@rz10.de

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

10 Kommentare zu "Nur-Anzeige SAP_ALL in (nicht ganz) zwei Minuten mit der PFCG"

Jonas
27. August 2019 um 08:54 Antworten

Hi. Was ist mit Änderungsberechtigungen, die sich nicht in Feldern vom Typ ACTVT verstecken?

Tobias Harmes
27. August 2019 um 09:49 Antworten

Hi Jonas.
Tja, die bleiben leider wie sie sind. Also ein S_BTCH_JOB und ein S_BTCH_ADM mit BTCADMIN hätte auch eine Änderungsberechtigung über das Einplanen von Jobs. Für ein perfektes READ ONLY SAP_ALL wird hier wohl auch nicht drum herumkommen, Feinschliff zu machen. In jedem Fall muss auch die Nutzung dieser Rolle über das Security Audit Log überwacht werden. Ich werde im Artikel oben noch mal eine entsprechenden Hinweis ergänzen.
Viele Grüße
Tobias

Tobias Harmes
11. September 2019 um 14:15 Antworten

Update // Hinweis auf Umgang mit Basis-Berechtigungen, speziell Berechtigungsobjekt S_ADMI_FCD ergänzt.
Danke an unserer Leserin Jaqueline Dahm für den Hinweis per Mail!

Thomas
6. Februar 2020 um 21:45 Antworten

In der Transaktion pfcg bekomme ich via springen – Einstellungen nur 2 Auswahlpunkte angezeigt.
Der Punkt Gesamtsicht fehlt.
Warum?

Tobias Harmes
13. Februar 2020 um 09:55 Antworten

Hi Thomas,
meinst du Hilfsmittel->Einstellungen? Könnte an Berechtigungen oder dem Support-Package-Stand liegen. In jedem Fall sollte eine Option “ALV-Tree verwenden (Berechtigungspflege neu aufrufen)” oder ähnlich vorhanden sein.

Rouven
25. Juni 2021 um 10:50 Antworten

Hallo,
ich habe die Rolle kurz getestet.
Ich kann in der SCOT noch Konten anlegen oder löschen…

Gruß
Rouven

Torsten Schmits
29. Juni 2021 um 11:20 Antworten

Hallo Herr Stockschläder,

in dem Fall am besten einmal mit einem Berechtigungstrace das Ganze aufzeichnen und testen, was hier an Berechtigungen geprüft wird, damit das noch aus der Rolle ausgebaut werden kann.

Viele Grüße

Anonymous
19. August 2022 um 11:55 Antworten

Wenn Änderungsberechtigungen in einer SAP_ALL_READ_ONLY-Rolle bleiben, dann ist es keine Leserolle mehr, d.h. bei der Vergabe der Rolle würde eine Täuschung stattfinden. Spätestens wenn ein Prüfer käme, wäre dies ein Punkt, der im Revisionsbericht stehen würde und eine erneute Rollen. Daher müssten entweder wirklich alle Änderungsberechtigungen wie z.B. auch im FELD AUTHC entfernt werden oder der Rollenname müsste angepasst werden.
Wie sehen Sie dies?

Tobias Harmes
22. August 2022 um 13:27 Antworten

Ja, es sollte hier eine “Packungsbeilage” geben, sprich eine aussagekräftige Beschreibung der Rolle und ihrer Limitationen. Mir ist keine Prüfungsfeststellung bei dieser Vorgehensweise bisher zugetragen worden. Im Gegenteil, oft wird manuell ein schlechteres Ergebnis erreicht. Auch weil dann oft doch wieder eine SAP_ALL-Rolle vergeben wird, weil die andere Version gar nicht funktioniert. Und der Begriff Täuschung kommt normalerweise auch mit der Frage des Vorsatzes, und der dürfte beim “normalen” Admin kaum vorliegen. Der hat ja ganz andere Möglichkeiten. Wer unbedingt (vielleicht aufgrund eines sehr hohen Schutzbedarfs) den Anfangsverdacht einer Täuschung vermeiden will, da kann die Rolle sicherlich besser SAP_ALL_BEIHNAHE_READ_ONLY nennen.

Anonymous
15. Oktober 2023 um 15:29 Antworten

tatsächlich ist diese Rolle mit dem o.g. HowTo auch keine “Beinahe Anzeige”.

Kommentar verfassen


Weitere Beiträge:

SAP Berechtigungen

Die neue SAP Transaktion SU53 - Berechtigungsfehler vermeiden!

Die neue SAP Transaktion SU53 lädt zum Interpretieren ein – manchmal mit anderen Ergebnissen als bei einem normalen Berechtigungstrace.
7
Artikel lesen
SAP Berechtigungen

SAP Pentest Favoriten: Zugang per Remote Function Call (RFC)

In diesem Artikel wird einer der Hauptangriffsvektoren für SAP Systeme thematisiert – der Remote Function Call, kurz RFC.
Artikel lesen
Podcast

SAP HCM Berechtigungen: Welche braucht man wann?

SAP HCM ermöglicht allgemeine, strukturelle und kontextabhängige Berechtigungen. Fachbereichsleiter Guido Klempien erklärt, welche wann Sinn machen.
#podcast
jetzt anhören

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage