Pflege von Berechtigungs-Vorschlagswerten für eigene Transaktionen mit der SU24

Autor: Tobias Harmes | 8. Februar 2018

3 | #PFCG, #SU24

Mit Hilfe der Transaktion SU24 lassen sich Berechtigungs-Vorschlagswerte zu Transaktionen pflegen. Durch die korrekte Pflege von eigenentwickelten Transaktionen und Programme in der SU24 können sofort die richtigen Berechtigungsobjekte in der PFCG vorgeschlagen werden.

SU24-gepflegt macht den Unterschied

SU24 Vorschlagswerte für Berechtigungsobjekte werden in Abhängigkeit zu einer Transaktion, einen Report oder sogar einem RFC-Funktionsbaustein hinterlegt. Wenn Sie nun über die Transaktion PFCG eine Rolle anlegen bzw. ändern und unter dem Reiter Menü eine solch gepflegte Transaktion einfügen, erhalten Sie beim Bearbeiten der Berechtigungen automatisch Vorschläge. Das einerseits die Berechtigungsobjekte, aber auch die Feldwerte, wie zum Beispiel die Aktivität 01 (“Anlegen”) bei der Transaktion MM01 (Material anlegen). Leider ist gerade bei Eigenentwicklungen diese Information oft nicht vorhanden. Das sollte aber so sein.

Eigenentwicklungen: kein Programm ohne eine Transaktion

Die Erfahrung hat gezeigt, dass es in den meisten Unternehmen viele Eigenentwicklungen gibt. Eine Faustregel sollte hier lauten, “kein Programm ohne eine Transaktion”, damit Anwender kritische Transaktionen wie die SA38 bzw. SE38 zum Ausführen der Programme erst gar nicht benötigen. Gehen wir also davon aus, dass es zu jeder Eigenentwicklung auch eine Transaktion gibt und die Programme durch Abfrage von Berechtigungsobjekten geschützt werden, Stichwort SAP Authority-Check innerhalb der Programme. Nun kommt es nur allzu oft vor, dass die Dokumentation der Programme nur unzureichend gepflegt ist. Sobald dann Benutzerrollen gebaut werden müssen, kommt die Frage: “Welche Feldwerte müssen gesetzt werden, um eine ausreichende Berechtigung vergeben zu können”. Spätestens wenn auch noch eigene Berechtigungsobjekte verwendet werden ist nicht mehr nachvollziehbar, welche Objekte rein müssen und was die Inhalte der einzelnen Felder enthalten müssen. In solchen Fällen hilft meistens nur noch ein Berechtigungstrace, durch den versucht wird die gesuchten Werte zu identifizieren. Aber dieses Vorgehen ist nicht nur fehleranfällig, es kostet auch viel Zeit und damit Geld. Geld, dass Sie sich sparen können, indem Sie die Transaktion SU24 pflegen.

harmes_180x227
„Ich helfe Ihnen bei der Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände.“
Senior Architekt Tobias Harmes
In unserem Strategieworkshop SAP Berechtigungen entwickeln unsere Senior-Architekten für Sie eine Strategie zur Optimierung der SAP Sicherheit und Reduzierung der täglichen Betriebsaufwände – gerade auch in Hinblick auf S/4HANA sowie dem Betrieb von SAP Cloud Anwendungen.
Strategieworkshop SAP Berechtigungen

 

Beispiel Report mit AUTHORITY-CHECK

Das hier abgebildete Programm, mit gleichnamiger Transaktion, soll als Repräsentation einer Ihrer Eigenentwicklungen dienen und ist somit Ausgangspunkt für unser Szenario.SU24 Pflege für eigene Transaktionen

Wie Sie sehen wird das Programm durch einen Authority-Check vor unberechtigtem Zugriff geschützt. Als Beispiel wurde hier das Berechtigungsobjekt S_USER_AGR verwendet, das zwei Felder besitzt. Die Aktivitätsgruppe, deren Wert frei definierbar ist und das Feld Aktivität, bei dem es eine von SAP vorgeschriebene Auswahl an Möglichkeiten gibt. Hier habe ich mich für den Wert 03, der Anzeigeaktivität, entschieden. Für den Report wurde über die Transaktion SE93 eine Z-Transaktion mit dem Namen ZOG_SU24_TEST angelegt.

Sind nun die Werte in keiner Dokumentation festgehalten, ist es gerade bei frei definierbaren Feldern wie ACT_GROUP schwierig, beim Rollenbau zu entscheiden welche Berechtigung vergeben werden muss, zumal noch nicht einmal das Berechtigungsobjekt selbst vorgeschlagen wird. Denn standardmäßig wird nur das Berechtigungsobjekt S_TCODE beim Anlegen einer Transaktion gesetzt und von der Transaktion PFCG gezogen.

Pflege der Berechtigungen für die eigenentwickelte Transaktion in der SU24

Um dem vorzubeugen müssen folgende Schritte durchgeführt werden.

Aufruf der SU24 und eintragen der Transaktion.

SU24 Pflege für eigene Transaktionen

In den Bearbeitungsmodus wechseln.

SU24 Pflege für eigene Transaktionen

Das betreffende Berechtigungsobjekt der Transaktion hinzufügen.

SU24 Pflege für eigene Transaktionen

SU24 Pflege für eigene Transaktionen

Prüfen, ob in der Spalte Vorschl. “JA” steht und in den Bearbeitungsmodus des Berechtigungsobjekts wechseln.

SU24 Pflege für eigene Transaktionen

Vorschlagswerte eintragen und übernehmen.

SU24 Pflege für eigene Transaktionen

Prüfen, ob der Status auf grün steht und speichern.

SU24 Pflege für eigene Transaktionen

Luca Cremer
Individuelle Schulung im SAP Benutzer und Berechtigungsumfeld
Fachbereichsleiter Luca Cremer
Wir helfen Ihnen die Komplexität von SAP Berechtigungen mit unseren Best Practices zu verstehen und anzuwenden: Schulung SAP Berechtigungen

Unsere Referenzen finden Sie hier.

Sie erreichen mich per Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.

Optional: Prüfen des Vorschlagswerts in der Tabelle USOBT_C

Ob die Vorschlagswerte wirklich eingetragen worden sind, kann über die Tabelle USOBT_C überprüft werden, in der alle Einträge der SU24 gespeichert werden.

SU24 Pflege für eigene Transaktionen

Nutzung der neuen Berechtigungs-Vorschläge in der PFCG

Wenn Sie nun die Transaktion einer Rolle zuweisen und sich die Berechtigungen anschauen, werden Sie feststellen, dass das Berechtigungsobjekt gemäß dem Inhalt der SU24 ausgeprägt wurde. Das Ergebnis sehen Sie in den folgenden Abbildungen.

SU24 Pflege für eigene Transaktionen

Den Expertenmodus wählen und “… mit neuem Stand abgleichen” auswählen. Nur so wird die SU24 ganz sicher neu abgefragt.

transaktion su24

SU24 Pflege für eigene Transaktionen

Als Ergebnis wird der Vorschlag als “Standard” in die Liste der Berechtigungsvorschläge mit PFCG-Berechtigungseditor angezeigt. Kein zusätzlicher Trace mehr notwendig.

Ich freue mich auf Ihre Kommentare und Anregungen zur Transaktion SU24.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support