Pflege von Berechtigungs-Vorschlagswerten für eigene Transaktionen mit der SU24
Autor: Tobias Harmes | 8. Februar 2018
Mit Hilfe der Transaktion SU24 lassen sich Berechtigungs-Vorschlagswerte zu Transaktionen pflegen. Durch die korrekte Pflege von eigenentwickelten Transaktionen und Programme in der SU24 können sofort die richtigen Berechtigungsobjekte in der PFCG vorgeschlagen werden.
SU24-gepflegt macht den Unterschied
SU24 Vorschlagswerte für Berechtigungsobjekte werden in Abhängigkeit zu einer Transaktion, einen Report oder sogar einem RFC-Funktionsbaustein hinterlegt. Wenn Sie nun über die Transaktion PFCG eine Rolle anlegen bzw. ändern und unter dem Reiter Menü eine solch gepflegte Transaktion einfügen, erhalten Sie beim Bearbeiten der Berechtigungen automatisch Vorschläge. Das einerseits die Berechtigungsobjekte, aber auch die Feldwerte, wie zum Beispiel die Aktivität 01 (“Anlegen”) bei der Transaktion MM01 (Material anlegen). Leider ist gerade bei Eigenentwicklungen diese Information oft nicht vorhanden. Das sollte aber so sein.
Eigenentwicklungen: kein Programm ohne eine Transaktion
Die Erfahrung hat gezeigt, dass es in den meisten Unternehmen viele Eigenentwicklungen gibt. Eine Faustregel sollte hier lauten, “kein Programm ohne eine Transaktion”, damit Anwender kritische Transaktionen wie die SA38 bzw. SE38 zum Ausführen der Programme erst gar nicht benötigen. Gehen wir also davon aus, dass es zu jeder Eigenentwicklung auch eine Transaktion gibt und die Programme durch Abfrage von Berechtigungsobjekten geschützt werden, Stichwort SAP Authority-Check innerhalb der Programme. Nun kommt es nur allzu oft vor, dass die Dokumentation der Programme nur unzureichend gepflegt ist. Sobald dann Benutzerrollen gebaut werden müssen, kommt die Frage: “Welche Feldwerte müssen gesetzt werden, um eine ausreichende Berechtigung vergeben zu können”. Spätestens wenn auch noch eigene Berechtigungsobjekte verwendet werden ist nicht mehr nachvollziehbar, welche Objekte rein müssen und was die Inhalte der einzelnen Felder enthalten müssen. In solchen Fällen hilft meistens nur noch ein Berechtigungstrace, durch den versucht wird die gesuchten Werte zu identifizieren. Aber dieses Vorgehen ist nicht nur fehleranfällig, es kostet auch viel Zeit und damit Geld. Geld, dass Sie sich sparen können, indem Sie die Transaktion SU24 pflegen.
Beispiel Report mit AUTHORITY-CHECK
Das hier abgebildete Programm, mit gleichnamiger Transaktion, soll als Repräsentation einer Ihrer Eigenentwicklungen dienen und ist somit Ausgangspunkt für unser Szenario.
Wie Sie sehen wird das Programm durch einen Authority-Check vor unberechtigtem Zugriff geschützt. Als Beispiel wurde hier das Berechtigungsobjekt S_USER_AGR verwendet, das zwei Felder besitzt. Die Aktivitätsgruppe, deren Wert frei definierbar ist und das Feld Aktivität, bei dem es eine von SAP vorgeschriebene Auswahl an Möglichkeiten gibt. Hier habe ich mich für den Wert 03, der Anzeigeaktivität, entschieden. Für den Report wurde über die Transaktion SE93 eine Z-Transaktion mit dem Namen ZOG_SU24_TEST angelegt.
Sind nun die Werte in keiner Dokumentation festgehalten, ist es gerade bei frei definierbaren Feldern wie ACT_GROUP schwierig, beim Rollenbau zu entscheiden welche Berechtigung vergeben werden muss, zumal noch nicht einmal das Berechtigungsobjekt selbst vorgeschlagen wird. Denn standardmäßig wird nur das Berechtigungsobjekt S_TCODE beim Anlegen einer Transaktion gesetzt und von der Transaktion PFCG gezogen.
Pflege der Berechtigungen für die eigenentwickelte Transaktion in der SU24
Um dem vorzubeugen müssen folgende Schritte durchgeführt werden.
Aufruf der SU24 und eintragen der Transaktion.
In den Bearbeitungsmodus wechseln.
Das betreffende Berechtigungsobjekt der Transaktion hinzufügen.
Prüfen, ob in der Spalte Vorschl. “JA” steht und in den Bearbeitungsmodus des Berechtigungsobjekts wechseln.
Vorschlagswerte eintragen und übernehmen.
Prüfen, ob der Status auf grün steht und speichern.
Optional: Prüfen des Vorschlagswerts in der Tabelle USOBT_C
Ob die Vorschlagswerte wirklich eingetragen worden sind, kann über die Tabelle USOBT_C überprüft werden, in der alle Einträge der SU24 gespeichert werden.
Nutzung der neuen Berechtigungs-Vorschläge in der PFCG
Wenn Sie nun die Transaktion einer Rolle zuweisen und sich die Berechtigungen anschauen, werden Sie feststellen, dass das Berechtigungsobjekt gemäß dem Inhalt der SU24 ausgeprägt wurde. Das Ergebnis sehen Sie in den folgenden Abbildungen.
Den Expertenmodus wählen und “… mit neuem Stand abgleichen” auswählen. Nur so wird die SU24 ganz sicher neu abgefragt.
Als Ergebnis wird der Vorschlag als “Standard” in die Liste der Berechtigungsvorschläge mit PFCG-Berechtigungseditor angezeigt. Kein zusätzlicher Trace mehr notwendig.
Ich freue mich auf Ihre Kommentare und Anregungen zur Transaktion SU24.
8 Kommentare zu "Pflege von Berechtigungs-Vorschlagswerten für eigene Transaktionen mit der SU24"
Die Su24 Pflege ist aus meiner Sicht ein Muss um die Rollen sauber zu halten. Aber: wenn die Upgrades kommen sind die ein gepflegten Werte für die Standardtransaktionen weg (und ohne diese Änderungen hat man lauter veränderte Einträge in den Rollen. Haben Sie dazu eine gute Lösung?VG
Hallo Tanja,
die SU24-Werte für Standardtransaktionen können auch bei einem Upgrade beibehalten werden. Dafür bietet SAP die Transaktion SU25 an – quasi die SPAU für Berechtigungen. Im Schritt 2a werden alle konfliktfreien Neuerungen von SAP in die SU24 geladen. In Schritt 2b werden Konflikte behandelt – hier kann ich mich entscheiden meiner Änderung zu behalten oder zum SAP Standard zurückzukehren. Wer hier ein wenig Liebe und Zeit investiert, kann sich in späteren Schritte viel Arbeit und Nerven sparen. Siehe dazu auch: SAP Berechtigungen nach SAP Upgrades – Verhalten & Maßnahmen
Viele Grüße
Tobias Harmes
Hallo,
gibt es eigentlich in der SU24 die Möglichkeit, zwei verschiedene Ausprägungen desselben Objektes mitzugeben?
Also die Transaktion Z_IRGENDWAS braucht das Objekt S_DATASET mit der ACTVT 33 für eine Datei DATEI_A.TMP und mit den ACTVTs 06 und 34 für DATEI_B.TMP ?
Ich sehe nur die Möglichkeit, eine Ausprägung pro Objekt mitzugeben.
Gibt es da einen Trick?
Gruß
Britta Heimann
Hallo Frau Heimann,
ja, das ist leider auf einen Vorschlag begrenzt. Wir empfehlen immer, den Wert zu nehmen, der die meisten Fälle erschlägt. Und wenn das immer unterschiedlich ist, dann sogar nur das Objekt vorschlagen, aber ohne Ausprägung.
Viele Grüße
Tobias Harmes
Ich mache das dann immer so, dass ich insbesondere die Aktivität eines Objekts leer lasse. So kann der Berechtigungsadministrator im Rahmen der Rollenpflege selbst entscheiden, ob er eine Transaktion mit Anzeigerechten (Akt. 03) oder bspw. Anlege/Änderungsrechten (Akt. 01/02) ausprägen möchte. Oft setze ich auch “Vorschlag ohne Werte”.
Das ist auch das, was ich bei den meisten SAP-Standardtransaktionen via SU24 anpasse: Das Leeren der Aktivitätsvorschläge. Früher war das eindeutig, da SAP für jede Aktivität oft genau eine Transaktion hatte, die in der Nomenklatur auch zur Aktivität passte (FB01, FB02, FB03 bspw. im Kontext von FI-Belegen). Inzwischen gibt es jedoch immer mehr Transaktionen, die alle Funktionen bündeln und in sich berechtigungsseitig geprüft werden (bspw. Transaktion BP).
Hallo Herr Harmes,
gibt es eigentlich eine Möglichkeit ein Berechtigungsobjekt mit Vorschlagsstatus = “Ja”, welches über die SU24 einer Vielzahl von Transaktionen (TA) zugeordnet ist, jedoch nicht in Verwendung ist charmant global auf “Nein” zu setzen ohne jede TA manuell zu pflegen?
Ärgere mich jedes mal, dass bei der Rollenpflege betreffende Berechtigungsobjekte manuell entfernt werden müssen.
Viele Grüße
Wolfgang Simet
Hallo Herr Simet,
vielen Dank für Ihre Frage. Hier die Antwort unseres Experten:
“Mir ist im SAP Standard dafür keine Massenverarbeitung bekannt. Allerdings kann man in der SU24 ja neben dem Einstieg über Transaktionen (wo man eine nach der anderen eingeben müsste) auch über der Berechtigungsobjekt einsteigen. Dann bekommt man an der linken Bildschirmseite alle Transaktionen angezeigt, die dieses Objekt vorschlagen, und kann sich da durchklicken, muss aber trotzdem jede nacheinander angehen.”
Viele Grüße aus der RZ10.de-Redaktion
Frau Bolten, vielen Dank für die Rückmeldung!