SAP_ALL Profil neu generieren

Was ist ein SAP_ALL Profil?

Das SAP_ALL Profil ist ein kombiniertes Profil, welches einen vollständigen Zugriff auf alle Transaktionen und Programme im SAP ermöglicht. Dieses Berechtigungsprofil enthält Berechtigungsausprägungen für praktisch alle Funktionen und Aktionen im SAP-System, die ein User im System durchführen kann. Während normale Dialogbenutzer-Berechtigungen oft auf bestimmte Werte eingeschränkt sind(“Benutzer darf MM01 und MM02 aufrufen”) hat das Profil SAP_ALL dort eine Sternchen(“*”)-Berechtigung – also Vollberechtigung.

Warum ist es wichtig ein SAP_ALL Profil neu zu generieren?

Das SAP_ALL enthält nur die Berechtigungen, die zum Zeitpunkt der letzten Generierung im System vorhanden waren. Werden durch ein Softwareerweiterung oder Aktualisierung neue Objekte eingespielt, so führt das zu einem unvollständigen SAP_ALL Profil. Das bedeutet, dass selbst Benutzer mit SAP_ALL dann auf Berechtigungsfehler stoßen können. Um diese Unvollständigkeiten aus dem Weg zu räumen und weiterhin die Berechtigungen im SAP_ALL Profil nutzen zu können, empfiehlt es sich das SAP_ALL Profil regelmäßig neu zu generieren.

Folgende Fälle sind also typische Antreiber für die Regeneration von SAP_ALL Profilen:

• Neuanlage eines kundenspezifischen Berechtigungsobjektes
• Nach einem Upgrade des Systems auf ein neues Release
• Nach jedem Support Package Import, sofern das Support Package neue Berechtigungsobjekte enthält

Was gibt es für Optionen zur Generierung von SAP_ALL?

In der Tabelle PRGN_CUST können bestimmte Schalter gesetzt werden, die das Verhalten des Systems beeinflussen. Möchte man das SAP_ALL automatisch erweitern lassen um kundeneigene Objekte, dann muss man normalerweise nichts tun. In neueren Releases sind entsprechende Default-Werte vorhanden.

Transaktion SM30 – Tabelle PRGN_CUST

SAP_ALL_GENERATION | ON (default), OFF – In After-Import-Methode für Berechtigungsobjekte die Generierung des Profils SAP_ALL durchführen (Hinweis 43975)

ADD_ALL_CUST_OBJECTS | YES (default), NO – Gesamtberechtigung für KundenBerechtigungsobjekte (Namensraum Y, Z) in Profil SAP_ALL aufnehmen (Hinweis 410424)

ADD_S_RFCACL | NO (default), YES – Gesamtberechtigung für S_RFCACL in Profil SAP_ALL aufnehmen (Hinweis 410424)

Wie wird ein SAP_ALL Profil neu generiert?

Es gibt zwei verschiedene Möglichkeiten für die Regeneration eines SAP_ALL Profils: Transaktion SU21 für den lokalen Mandanten oder Report AGR_REGENERATE_SAP_ALL für mehrere Mandanten. 

Der TCODE SU21 regeneriert das SAP_ALL Profil nur in dem Mandanten, wo auch der Report ausgeführt wird. Dafür in die SU21 wechseln und den Button “SAP_ALL nachgenerieren” anwählen.

Transaktion SU21 – SAP_ALL nachgenerieren

Um eine Massengenerierung auf allen Mandanten durchzuführen kann der Report AGR_REGENERATE_SAP_ALL eingesetzt werden. Mit dem Report ist es möglich, das SAP_ALL Profil in jedem Mandant neu zu generieren und aufzubauen.

Transaktion SA38 – AGR_REGENERATE_SAP_ALL

Achtung: der Report läuft sofort los, es gibt keine Rückfrage.

Tipps für mehr Sicherheit

Ich würde nur einen Dialog-Benutzer mit dem Profil SAP_ALL anlegen und das Passwort für dieses Profil geheim halten. Das SAP_ALL Profil sollte nur in Notfällen in Anspruch genommen werden. Eine gute Alternative zur Nutzung von SAP_ALL ist das Thema Notfall-Benutzer-Szenarien.

Weiterführende Links

82390 – Generating profile SAP_ALL: https://launchpad.support.sap.com/#/notes/82390

FireFighter, Emergency-User & Co. – Software für ein SAP Notfallbenutzerkonzept https://rz10.de/sap-berechtigungstools/firefighter-software-fuer-sap/

Erstellung eines reduzierten SAP_ALL: https://rz10.de/sap-berechtigungen/z_sap_all-erstellung-eines-reduzierten-sap_all/

Top 5 Ausreden für SAP_ALL:https://rz10.de/sap-berechtigungskonzept/top-5-ausreden-fuer-sap_all/