So vererben Sie SAP Berechtigungen mit verschiedenen Organisationsebenen

Autor: Tobias Koch | 8. Juni 2017

24 | #Organisationsebenen, #PFCG
SAP Speichermodell in Windows

Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen.

Wie funktioniert das SAP Berechtigungsvererbung?

Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalls Änderungen am Masterobjekt  direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfachere Wartung ermöglicht und die Fehlerquote drastisch minimiert.
Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen.

Ihr Plan für bessere SAP Berechtigungen

In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.

Vererbung für SAP Berechtigungen anlegen

Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen.

Schritt 1: Masterrolle anlegen

Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button „Einzelrolle“ legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle „findepartment_r“.

Anlegen der Masterrolle

Anlegen der Masterrolle

Pflegen Sie nun die Berechtigungen, die für alle betroffenen Mitarbeiter gleich sind. In dem gezeigten Beispiel ordne ich der Rolle „findepartment_r“ exemplarisch die Berechtigung zur Transaktion „F-02″(Sachkontenbuchung erfassen) zu. Möchten Sie jetzt die Berechtigungsdaten ändern, werden Sie nach Werten für die entsprechenden Organisationsebenen gefragt. Tragen Sie zunächst eine Tilde (~) ein und definieren Sie den Wert erst später in den abgeleiteten Rollen. Pflegen Sie die Berechtigungen, wie von Ihnen gewünscht, und generieren Sie abschließend die Masterrolle.

Einpflegen der Organisationsebene in die Masterrolle

Einpflegen der Organisationsebene in die Masterrolle

Schritt 2: Abgeleitete Rollen definieren

Anlegen von abgeleiteten Rollen

Anlegen von abgeleiteten Rollen

Zuordnung der Masterrolle

Zuordnung der Masterrolle

Nachdem Sie nun die Masterrolle angelegt haben, stehen die abgeleiteten Rollen an der Reihe. Geben Sie dafür wieder über die PFCG eine passende Rollenbezeichnung ein. In unserem Beispiel bezeichne ist diese als „findepartment_d01“. Für eine bessere Übersicht bietet es sich in der Regel an die Ableitungen nach den Masterrollen zu benennen und zu nummerieren. Sie können die Rollen aber auch selbstverständlich nach einem anderen Schema bezeichnen. Nachdem Sie die Rolle erstellt haben, müssen Sie anschließend im Tab Beschreibung die Masterrolle im Feld Ableiten aus Rolle eintragen. Bestätigen Sie daraufhin die automatischen Nachfragen.

Anpassen der Organisationsebenen

Anpassen der Organisationsebenen

Wechseln Sie nun in den Reiter „Menü“. Dort sehen Sie, dass die Daten aus der Masterrolle automatisch übernommen wurden. Da die Rolle noch nicht generiert wurde, ist der Reiter „Berechtigungen“ aktuell rot gekennzeichnet. Rufen Sie deshalb „Berechtigunsdaten ändern“ auf. Beim ersten Aufruf sollte automatisch ein Dialogfenster zum Pflegen der Organisationsebenen auftauchen, da diese bisher noch leer sind. Ist dies nicht der Fall oder möchten Sie zu einem späteren Fall die Organisationsebenen nochmals anpassen, können Sie diese auch über den Button Orgebenen… (siehe Screenshot) aufrufen.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

Hat alles reibungslos funktioniert, können Sie jetzt sehen, dass die Berechtigungen ebenfalls automatisch aus der Masterrolle übernommen wurden. Wenn Sie nun die Rolle generieren, wird der Berechtigungsreiter ebenfalls grün erscheinen. Herzlichen Glückwunsch, Sie haben erfolgreich eine abgeleitete Rolle erstellt!

Wiederholen Sie diesen Schritt 2 mit den weiteren Ableitungen, um die Organisationsebenen entsprechend anzupassen.

Vererbungshierarchie aufrufen

Vererbungshierarchie mit Masterrolle und zugeordneten Rollen

Vererbungshierarchie mit Masterrolle und zugeordneten Rollen

Haben Sie mehrere abgeleitete Rollen erstellt, dann kann eine einfache Übersicht über alle „verwandten“ Rollen praktisch sein. Rufen Sie dazu eine beliebige abgeleitete oder auch die Masterrolle auf und klicken Sie dann anschließend auf den Button „Vererbungshierarchie“. Sie erhalten nun eine genaue Übersicht darüber, welche Rollen welcher Masterrolle zugeordnet sind.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Koch

Autor

Tobias Koch

B. Sc. Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice