Rollenänderungen auf der Spur mit den SAP Transaktionen SQVI und PFCG
Autor: Tobias Harmes | 26. November 2013
Bei der Administration von Benutzern und deren Berechtigungen kommt es häufig vor, dass der Anwender sich meldet, weil ihm Berechtigungen fehlen, die er vor wenigen Tagen noch hatte. Über die Änderungsbelege der SAP Transaktion SU01 lässt sich im ersten Schritt zwar prüfen, ob dem Anwender Rollen entzogen wurden, aber wenn dies nicht der Fall ist beginnt meist eine mühselige Suche. Die Schwierigkeit besteht dann darin, genau die Rolle zu finden, die sich an dem Tag X geändert hat und anschließend auch die konkrete Änderung. Für Anwender mit nur wenigen Rollen ist das kein Problem, jedoch steigt der Aufwand mit zunehmender Rollenanzahl enorm an. Mit Hilfe der Transaktion SQVI lässt sich allerdings eine Query erstellen, mit der Sie diese Suche auf wenige Sekunden reduzieren.
Die Query
Wie Sie über die Transaktion SQVI prinzipiell eine Query erstellen, können Sie meinem Beitrag “Berechtigungsanalyse im SAP mit der Transaktion SQVI” entnehmen. Für diese Query benötigen Sie folgende Tabellen.
Tabellenname |
Beschreibung |
Beantwortet die Frage |
AGR_USERS | Zuordnung von Rollen zu Benutzern | Welche Rollen hat der Benutzer? |
AGR_TIME | Zeitstempel zur Rolle | Wer hat wann die Rolle geändert? |
Für die Zusammenstellung des Selektionsbildschirms wählen Sie die Felder
- Datum der letzten Änderung
- Benutzername im Benutzerstamm
- Zeitstempel zu Rolle (Menü, Berechtigungsdaten, Zielsystem)
und für die Listenfeldauswahl, also das Ergebnis der Query
- Name der Rolle
- Letzter Änderer
- Datum der letzten Änderung
- Uhrzeit der letzten Änderung
In den beiden Abbildungen sehen Sie den resultierenden Selektionsbildschirm, sowie die Ergebnisliste für eine Beispielsuche.
Wie Sie sehen, können Sie nun innerhalb von Sekunden die geänderte Rolle über den Anwender und/oder das mögliche Änderungsdatum identifizieren. Wählen Sie als “Zeitstempel zu Rolle” den Wert PROFILE, um nur die Ergebnismenge entsprechend zu filtern. Gehen wir aber nun noch einen Schritt weiter.
SAP Berechtigungen für Entwickler (Produktion)
Sie wollen Ihre SAP Berechtigungen für Entwickler auf der Produktion einschränken? Wir helfen Ihnen dabei mit unserem Best-Practice-Ansatz.
Die geänderten Werte mit der Transaktion SQVI identifizieren
Nachdem Sie nun wissen, welche Rolle geändert wurde ist der nächste Schritt die geänderten Werte innerhalb der Rolle zu ermitteln. Hierzu bedienen wir uns der Hilfsmittel in der SAP Transaktion PFCG. Wenn Sie den Rollennamen in das Eingabefeld eintragen, können Sie sich über die Änderungsbelege zur Rolle alle Details beschaffen, die Sie für die Auswertung benötigen. Der folgenden Abbildungen könne Sie die einzelnen Schritte entnehmen, um zu Ihrem Ergebnis zu gelangen.
Kennen Sie weitere Queries oder haben Sie eine andere Möglichkeit “Rollenforensik” zu betreiben? Dann zögern Sie nicht und teilen Sie Ihre Erfahrungen. Ich freu mich darauf.
4 Kommentare zu "Rollenänderungen auf der Spur mit den SAP Transaktionen SQVI und PFCG"
Hallo,
ich bin auf der Suche nach einer Möglichkeit, Rollenzuweisungen nachzuvollziehen. Dabei geht es nicht unbedingt um die jeweils letzte, sondern ich brauche den konkreten “Zuweiser”. 🙂
Dabei hilft mir die Info aus der AGR_TIME nicht.
Muss ich da an die CDHDR? Und wenn ja, wie?
Danke für jeden Hinweis.
Hallo Frau Heimann,
Sie können über die Transaktion SUIM > Änderungsbelege > Benutzer > “für Rollenzuordnung” gehen. Das öffnet den Report RSSCD100_PFCG_USER “Änderungsbelege für Rollenverwaltung anzeigen” und dort werden die Änderungsbelege im Bezug auf Rollenzuordnungen angezeigt.
Viele Grüße!
Hallo Herr Harmes,
ich habe mich unklar ausgedrückt, die Änderungsbelege über die SUIM sind mir natürlich wohlbekannt.
Ich würde das nur gerne in eine Query einbauen, da mich nur bestimmte Zuweisungen interessieren, und das in Masse. 🙂
Vielleicht haben Sie da noch eine Idee, weil ich mich vor dem Zugriff auf die CDHDR drücken möchte. 🙂
Gruß.
Ah, ok. 🙂 Ich habe gerade mal gewühlt, aber leider nichts gefunden. Hinweis 419933 – FAQ: Maintenance of change documents in user administration verweist auch auf die zentralen Änderungstabellen. Und mir ist leider da auch keine Abkürzung bekannt.