SAP_ALL Profil neu generieren

Autor: Tobias Harmes | 23. Mai 2019

2 | 28 | #SAP_ALL

Das SAP_ALL Profil ist die umfangreichste Berechtigung in einem SAP-System. Deshalb sollte sie eigentlich auch kein Benutzer haben. Aber wenn sie doch gebraucht wird, dann sollte sie bitte auch funktionieren. Wie eine Regenerierung sowohl manuell als auch automatisch funktioniert, erfahren Sie in diesem Beitrag.

Was ist ein SAP_ALL Profil?

Das SAP_ALL Profil ist ein kombiniertes Profil, welches einen vollständigen Zugriff auf alle Transaktionen und Programme im SAP ermöglicht. Dieses Berechtigungsprofil enthält Berechtigungsausprägungen für praktisch alle Funktionen und Aktionen im SAP-System, die ein User im System durchführen kann. Während normale Dialogbenutzer-Berechtigungen oft auf bestimmte Werte eingeschränkt sind(“Benutzer darf MM01 und MM02 aufrufen”) hat das Profil SAP_ALL dort eine Sternchen(“*”)-Berechtigung – also Vollberechtigung.

Warum ist es wichtig ein SAP_ALL Profil neu zu generieren?

Das SAP_ALL enthält nur die Berechtigungen, die zum Zeitpunkt der letzten Generierung im System vorhanden waren. Werden durch ein Softwareerweiterung oder Aktualisierung neue Objekte eingespielt, so führt das zu einem unvollständigen SAP_ALL Profil. Das bedeutet, dass selbst Benutzer mit SAP_ALL dann auf Berechtigungsfehler stoßen können. Um diese Unvollständigkeiten aus dem Weg zu räumen und weiterhin die Berechtigungen im SAP_ALL Profil nutzen zu können, empfiehlt es sich das SAP_ALL Profil regelmäßig neu zu generieren.

Folgende Fälle sind also typische Antreiber für die Regeneration von SAP_ALL Profilen:

  • Neuanlage eines kundenspezifischen Berechtigungsobjektes
  • Nach einem Upgrade des Systems auf ein neues Release
  • Nach jedem Support Package Import, sofern das Support Package neue Berechtigungsobjekte enthält

Was gibt es für Optionen zur Generierung von SAP_ALL?

In der Tabelle PRGN_CUST können bestimmte Schalter gesetzt werden, die das Verhalten des Systems beeinflussen. Möchte man das SAP_ALL automatisch erweitern lassen um kundeneigene Objekte, dann muss man normalerweise nichts tun. In neueren Releases sind entsprechende Default-Werte vorhanden.

Transaktion SM30 - Tabelle PRGN_CUST

Transaktion SM30 – Tabelle PRGN_CUST

SAP_ALL_GENERATION | ON (default), OFF – In After-Import-Methode für Berechtigungsobjekte die Generierung des Profils SAP_ALL durchführen (Hinweis 43975)

ADD_ALL_CUST_OBJECTS | YES (default), NO – Gesamtberechtigung für KundenBerechtigungsobjekte (Namensraum Y, Z) in Profil SAP_ALL aufnehmen (Hinweis 410424)

ADD_S_RFCACL | NO (default), YES – Gesamtberechtigung für S_RFCACL in Profil SAP_ALL aufnehmen (Hinweis 410424)

Berechtigungsoptimierung der RFC-Schnittstellenbenutzer

Wie kann man die für SAP RFC-Schnittstellen erforderlichen Berechtigungen ohne Ausfall der Schnittstelle auf dem SAP-Produktivsystem optimieren?

Wie wird ein SAP_ALL Profil neu generiert?

Es gibt zwei verschiedene Möglichkeiten für die Regeneration eines SAP_ALL Profils: Transaktion SU21 für den lokalen Mandanten oder Report AGR_REGENERATE_SAP_ALL für mehrere Mandanten. 

Der TCODE SU21 regeneriert das SAP_ALL Profil nur in dem Mandanten, wo auch der Report ausgeführt wird. Dafür in die SU21 wechseln und den Button “SAP_ALL nachgenerieren” anwählen.

Transaktion SU21 - SAP_ALL nachgenerieren

Transaktion SU21 – SAP_ALL nachgenerieren

Um eine Massengenerierung auf allen Mandanten durchzuführen kann der Report AGR_REGENERATE_SAP_ALL eingesetzt werden. Mit dem Report ist es möglich, das SAP_ALL Profil in jedem Mandant neu zu generieren und aufzubauen.

Transaktion SA38 - AGR_REGENERATE_SAP_ALL

Transaktion SA38 – AGR_REGENERATE_SAP_ALL

Achtung: der Report läuft sofort los, es gibt keine Rückfrage.

Tipps für mehr Sicherheit

Ich würde nur einen Dialog-Benutzer mit dem Profil SAP_ALL anlegen und das Passwort für dieses Profil geheim halten. Das SAP_ALL Profil sollte nur in Notfällen in Anspruch genommen werden. Eine gute Alternative zur Nutzung von SAP_ALL ist das Thema Notfall-Benutzer-Szenarien.

82390 – Generating profile SAP_ALL: https://launchpad.support.sap.com/#/notes/82390

FireFighter, Emergency-User & Co. – Software für ein SAP Notfallbenutzerkonzept https://rz10.de/sap-berechtigungstools/firefighter-software-fuer-sap/

Erstellung eines reduzierten SAP_ALL: https://rz10.de/sap-berechtigungen/z_sap_all-erstellung-eines-reduzierten-sap_all/

Top 5 Ausreden für SAP_ALL:https://rz10.de/sap-berechtigungskonzept/top-5-ausreden-fuer-sap_all/

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "SAP_ALL Profil neu generieren"

Hallo,
gibt es einen Kurs in dem man lernt wie man mit kritischen Berechtigungen umgeht?
Ich habe bereits den Basis-Kurs besucht und wäre interessiert einen Kurs für Fortgeschritte zu besuchen, indem man noch etwas tiefer in das Thema Berechtigungen eingeht.

Freundliche Grüße,
Nadja

Hallo,

vielen Dank für Ihre Anfrage. Wir werden uns diesbezüglich bei Ihnen melden!
Viele Grüße

Ihre RZ10-Redaktion

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice