So vererben Sie SAP Berechtigungen mit verschiedenen Organisationsebenen
Autor: Tobias Koch | 8. Juni 2017
Besonders in größeren Unternehmen, die zudem mit mehreren Standorten in verschiedenen Ländern vertreten sind, ist es oft notwendig verschiedenen Mitarbeitern die gleichen Berechtigungen für unterschiedliche Organisationsebenen, wie beispielsweise Buchungskreise, zu vergeben. Um in solch einer Situation die Pflege sowie Wartung des Systems dennoch einfach zu gestalten, ist es sinnvoll auf das Vererbungsprinzip für SAP Berechtigungen zu setzen.
Wie funktioniert das SAP Berechtigungsvererbung?
Bei einer Vererbung geht es immer darum, dass ein Masterobjekt bestimmte Eigenschaften an ein abgeleitetes (Unter-)Objekt übergibt. Somit müssen diese Eigenschaften nicht mehrfach gepflegt werden. Zudem werden ebenfalls Änderungen am Masterobjekt direkt an die abgeleiteten Objekte weitergegeben. Auf diese Weise wird eine einfachere Wartung ermöglicht und die Fehlerquote drastisch minimiert.
Im Falle der SAP Berechtigungsvererbung werden die benötigten Berechtigungen in einer Ober- bzw. Masterrolle gebündelt. In den davon abgeleiteten Rollen müssen nur noch die Organisationsebenen gepflegt werden. Die Berechtigungen werden dabei automatisch aus der Masterrolle gezogen.
Ihr Plan für bessere SAP Berechtigungen
In dem Strategieworkshop SAP Berechtigungen entwickeln wir für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der Betriebsaufwände.
Vererbung für SAP Berechtigungen anlegen
Im Folgenden zeige ich Ihnen, wie Sie Vererbungen für SAP Berechtigungen erstellen und nutzen. Dafür sind nur zwei Schritte notwendig: das Anlegen einer Masterrolle und das Definieren von abgeleiteten Rollen.
Schritt 1: Masterrolle anlegen
Bei der Vererbung ist eine übergeordnete Rolle immer notwendig, da von dieser sämtliche Eigenschaften übernommen werden. Sollte diese Rolle, in der alle gemeinsamen Berechtigungen gebündelt sind, noch fehlen, liegt der erste Schritt im Anlegen dieser Masterrolle. Öffnen Sie dazu die Transaktion PFCG und geben Sie im Namensfeld die gewünschte Bezeichnung der Masterolle ein. Dabei bietet es sich an Master- und abgeleitete Rollen über Namenskonventionen zu kennzeichnen. Über den Button „Einzelrolle“ legen Sie anschließend die gewünschte Rolle an. Im folgenden Beispiel erstelle ich die Masterolle „findepartment_r“.
Pflegen Sie nun die Berechtigungen, die für alle betroffenen Mitarbeiter gleich sind. In dem gezeigten Beispiel ordne ich der Rolle „findepartment_r“ exemplarisch die Berechtigung zur Transaktion „F-02″(Sachkontenbuchung erfassen) zu. Möchten Sie jetzt die Berechtigungsdaten ändern, werden Sie nach Werten für die entsprechenden Organisationsebenen gefragt. Tragen Sie zunächst eine Tilde (~) ein und definieren Sie den Wert erst später in den abgeleiteten Rollen. Pflegen Sie die Berechtigungen, wie von Ihnen gewünscht, und generieren Sie abschließend die Masterrolle.
Schritt 2: Abgeleitete Rollen definieren
Nachdem Sie nun die Masterrolle angelegt haben, stehen die abgeleiteten Rollen an der Reihe. Geben Sie dafür wieder über die PFCG eine passende Rollenbezeichnung ein. In unserem Beispiel bezeichne ist diese als „findepartment_d01“. Für eine bessere Übersicht bietet es sich in der Regel an die Ableitungen nach den Masterrollen zu benennen und zu nummerieren. Sie können die Rollen aber auch selbstverständlich nach einem anderen Schema bezeichnen. Nachdem Sie die Rolle erstellt haben, müssen Sie anschließend im Tab Beschreibung die Masterrolle im Feld Ableiten aus Rolle eintragen. Bestätigen Sie daraufhin die automatischen Nachfragen.
Wechseln Sie nun in den Reiter „Menü“. Dort sehen Sie, dass die Daten aus der Masterrolle automatisch übernommen wurden. Da die Rolle noch nicht generiert wurde, ist der Reiter „Berechtigungen“ aktuell rot gekennzeichnet. Rufen Sie deshalb „Berechtigunsdaten ändern“ auf. Beim ersten Aufruf sollte automatisch ein Dialogfenster zum Pflegen der Organisationsebenen auftauchen, da diese bisher noch leer sind. Ist dies nicht der Fall oder möchten Sie zu einem späteren Fall die Organisationsebenen nochmals anpassen, können Sie diese auch über den Button Orgebenen… (siehe Screenshot) aufrufen.
Hat alles reibungslos funktioniert, können Sie jetzt sehen, dass die Berechtigungen ebenfalls automatisch aus der Masterrolle übernommen wurden. Wenn Sie nun die Rolle generieren, wird der Berechtigungsreiter ebenfalls grün erscheinen. Herzlichen Glückwunsch, Sie haben erfolgreich eine abgeleitete Rolle erstellt!
Wiederholen Sie diesen Schritt 2 mit den weiteren Ableitungen, um die Organisationsebenen entsprechend anzupassen.
Vererbungshierarchie aufrufen
Haben Sie mehrere abgeleitete Rollen erstellt, dann kann eine einfache Übersicht über alle „verwandten“ Rollen praktisch sein. Rufen Sie dazu eine beliebige abgeleitete oder auch die Masterrolle auf und klicken Sie dann anschließend auf den Button „Vererbungshierarchie“. Sie erhalten nun eine genaue Übersicht darüber, welche Rollen welcher Masterrolle zugeordnet sind.