PFCG Berechtigungseditor – die klassische Ansicht erklärt

Autor: Tobias Harmes | 21. Januar 2020

29 | #PFCG

Der Berechtigungseditor in der SAP Transaktion PFCG ist gefüllt mit nützlichen Statusinformationen und mehr oder weniger intuitiv nachvollziehbaren Hinweisen. Wer das meiste rausholen will aus der klassischen Ansicht des Berechtigungseditors, sollte die Bedeutung von verschiedenen Status und Symbolen kennen.

Kleiner Hinweis für Berechtigungsentwickler im S/4HANA-Umfeld: ab Netweaver 7.5 ist die neue ALV-Sicht im Berechtigungseditor verfügbar. Da gibt es ebenfalls die hier aufgeführten Funktionen, nur an anderer Stelle, also bitte nicht wundern.

Was bedeuten die verschiedenen Ampelanzeigen in der PFCG?

PFCG Ampeln

PFCG Ampeln

  1. Grüne Ampel: Die Grüne Berechtigungsampel besagt, dass alle Berechtigungsfelder ordnungsgemäß gepflegt wurden und keinerlei nacharbeiten notwendig sind. Optimalerweise stehen die Berechtigungen immer im Status grün.
  2. Gelbe Ampel: Die gelbe Ampel besagt, dass die Feldwerte teilweise nicht gepflegt wurden und deutet darauf hin, dass in den Berechtigungen nacharbeiten notwendig sind. Die Generierung von Berechtigungsprofilen kann trotz gelber Ampeln bei den Berechtigungen erzwungen werden. Einige Transaktionen können dadurch einwandfrei funktionieren, andere wiederum nicht. Je nach Programmierung der Berechtigungsprüfungen (AUTHORITY-CHECK) kann es durch gelbe Ampeln in den Berechtigungen zu negativen Seiteneffekten kommen. Von gelben Ampeln in den Berechtigungen ist daher abzuraten.
  3. Rote Ampel: Die rote Ampel besagt, dass Organisationsebenen nicht gepflegt wurden. Diese können über den Reiter „Orgebenen“ oder über die Tastenkombination STRG-F8 eingetragen werden.

Was besagt der Status einer Berechtigung in der PFCG?

PFCG Pflegestatus

PFCG Pflegestatus

Nachdem eine neue Berechtigungsrolle in der PFCG angelegt wurden werden die Transaktionen, die über diese Rolle berechtigt werden sollen, häufig über das Hinzufügen im Menü der Rolle editiert. Das hat den Effekt, dass automatisch die SAP-Vorschlagswerte für die Berechtigungen aus der SU24 gezogen werden. Diese Berechtigungen können verschiedene Status haben.

  1. Standard: Der Statustext „Standard“ besagt, dass die Feldwerte der Berechtigung unverändert aus der SU24 übernommen wurden. Das heißt so wie von der SAP vorgeschlagen oder in der SU24 gepflegt wurden.
    Dies ist der Optimalzustand.
  2. Gepflegt: Der Statustext „Gepflegt“ besagt, dass eine eingefügte Berechtigung in der SU24 keinen Vorschlagswert hinterlegt hat und dieser anschließend in der PFCG manuell eingetragen wurde.
  3. Verändert: Der Statustext „Verändert“ besagt, dass ein vorgeschlagener Feldwert nachträglich und manuell in der PFCG verändert wurde.
  4. Manuell: Der Statustext „Manuell“ besagt, dass es mindestens eine Berechtigung gibt, die in der PFCG über den Button „Manuell“ eingefügt wurde.
    Dies ist aus Sicht des globalen Berechtigungsmanagements der schlechteste Zustand.
SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Die oben genannte Reihenfolge wird auch nach „oben“ weitervererbt. Das bedeutet, dass die oberste Ebene immer der schlechtesten Status annimmt, der darunter aufgetreten ist (also z.B. manuell oder verändert).

Was bedeuten die unterschiedlichen Symbole in der PFCG?

PFCG Berechtigungseditor Funktionen

PFCG Berechtigungseditor Funktionen

  1. Inaktivieren: Mit dem eingekreisten Minus-Zeichen (Häufig auch als Dokument mit einem roten Balken dargestellt) kann ich Berechtigungen bzw. Berechtigungsobjekte inaktivieren. Inaktivierte Berechtigungsobjekte werden bei der anschließenden Profilgenerierung nicht berücksichtigt. Will man eine Berechtigung bzw. ein Berechtigungsobjekt löschen muss dieses immer zuerst inaktiviert werden.
  2. Verwendungsnachweis: Über den Verwendungsnachweis kann nachvollzogen werden in welchen Transaktionen dieses Berechtigungsobjekt verbaut wurde.
  3. Durch das Einfügen eines Sterns in einem Berechtigungsfeld wird eine Gesamtberechtigung vergeben.
  4. Der Stift unter Punkt 4 wird dazu verwendet einen Berechtigungsfeldwert zu bearbeiten.
  5. Das unter Punkt 5 stehende Symbol wird dazu verwendet eine inaktivierte Berechtigung wieder zu aktivieren.
  6. Das Symbol unter Punkt 6 wird dazu verwendet eine Berechtigung endgültig zu löschen (nur bei inaktiven Einträgen verfügbar)

Weitere Informationen

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice