SAP Rollen verteilen mit PFCGROLEDIST

Autor: Tobias Harmes | 4. März 2020

1 | 22

Wer regelmäßig Berechtigungsrollen in andere SAP Systeme oder Mandanten übertragen will, flucht sicherlich über die Upload-Download-Funktion der PFCG. Dabei gibt es eine Lösung für die bequeme Übertragung per RFC: die Transaktion PFCGROLEDIST. Im Beitrag zeigen wir, wie Sie mit dieser Standard-Funktion Ihre Rollen in wenigen Schritten verteilen können.

Rollen in andere Systeme verteilen

Mit der Transaktion PFCGROLEDIST lassen sich Rollen und Berechtigungen von einem SAP System in andere Systeme übertragen. Um die Verteilung durchzuführen, werden technisch die Funktionen Download und Upload aus den Transaktionen PFCG und SU24 verwendet. Nur freundlicherweise per Funktionsbaustein und vom System gesteuert. Zudem ist es möglich, die Profile der Einzelrollen zu generieren, den Benutzerabgleich durchzuführen und auch Rollen aus dem Zielsystem zu löschen.

Das Vorgehen eignet sich dann, wenn es allgemeine Rollen gibt, die mit anderen Rollen in weiteren Entwicklungssysteme synchronisiert werden sollen. Dazu sollten die Berechtigungsobjekte der verwendeten Rollen nahezu identisch sein. Achtung: Eine Rollenverteilung in ein Produktivsystem ist nicht empfohlen, die Transaktion bietet keinen doppelten Boden, zum Beispiel durch ein Vier-Augen-Prinzip.

Konfiguration der Rollenverteilung

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Bevor Sie die erste Verteilung starten können, müssen die Zielsysteme und Rollen für die jeweilige Verteilung registriert werden. Die Rollen können nämlich nur in registrierte Zielsysteme verteilt werden. Hinweis: Das Quellsystem muss mindestens auf NW 7.40 sein (Details siehe am Ende des Artikels).

Starten Sie die Konfiguration über das Icon.

Registrieren Sie die Zielsysteme und geben dabei den Namen einer bestehenden RFC-Verbindung zum Zielsystem an.

Geben Sie die Rollen an, die Sie in Zukunft verteilen wollen. Hier gibt man alle möglichen Rollen an, die wirklich Verteilung kann dann über die Haupttransaktion gesteuert werden.

Verteilung der Rollen in der PFCGROLEDIST

Geben Sie das Zielsystem zu der jeweiligen Rolle an und bestätigen Sie die Eingabe.

Um die Übertragung ins Zielsystem durchzuführen, bestätigen Sie die Eingabe.

Der Verteilstatus kann dann bei Ausführung aktualisiert werden.

Den Status, ob und wohin die Rolle verteilt wurde, kann in der Liste angesehen werden. Details gibt es über den Button Verteilungsprotokoll.

Im Verteilungsprotokoll sehen Sie anschließend, welche Rollen in welches Zielsystem verteilt wurden.

Wird die Zuordnung zwischen Benutzer und Rolle auch synchronisiert?

Unsere zertifizierten Berater für SAP Security helfen Ihnen bei personellen Engpässen - sowohl im Betrieb als auch im Projekt.

Transaktion möglich unter bestimmten Bedingungen

Möglich ist die Rollenverteilung nur, wenn das Zentralsystem mindestens in der Version 7.40 im Supportpackage 16 vorliegt. Die entsprechenden Support Packages sollten eigespielt sein.

Beachten Sie vor dem Start auch folgende SAP Hinweise:

  • Im Zielsystem den SAP Hinweis 2323688 „Rollenverteilung: Upload-Funktionen“ einspielen
  • Wenn ein Upload der Berechtigungsvorschläge verwendet wird, muss der SAP Hinweis 2289582 (Achtung: Steht erst ab Version 7.02 zur Verfügung) eingespielt sein

Weiterführende Informationen

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Ein Kommentar zu "SAP Rollen verteilen mit PFCGROLEDIST"

Hallo zusammen,

bei der Verteilung von Rollen in andere Mandanten (auf einem System) kann es zu Problemen mit dem Namen der Rollenprofile auf Grund überschneidender Nummernkreise kommen. In folgendem Beispiel beschreibe ich das Szenario:
SID: ABC
Mandanten: 001 (Zentralmandant), 002 (Zielmandant)
Typischer Aufbau eines Profilnamens: T-<1.Buchstabe d. SID><3.Buchstabe d. SID>650000 (hier: T-AC650000)

Wir erstellen nun in Mandant 001 eine Rolle Z-TESTROLLE und generieren das Profil mit dem Vorschlagswert T-AC650001. Die Rolle Z-TESTROLLE soll anschließend in den Mandanten 002 verteilt werden (mit der PFCGROLEDIST), in dem aber bereits die Rolle Z-ANDERE-ROLLE mit dem Berechtigungsprofil T-AC650001 existiert. In diesem Fall erscheint nach der Verteilung die Meldung, dass die Generierung der verteilten Rolle fehlschlägt, weil der Profilname bereits verwendet wird. Hier müsste dann entweder ein separater Nummernkreis für die Berechtigungsprofile auf dem Zentralsystem verwendet werden oder aber auf dem Zielsystem muss für die existierende Rolle ein neuer Profilname genutzt werden (Profil löschen -> Berechtigungen neu generieren).

Viele Grüße
Andre

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice