Pflege von Berechtigungs-Vorschlagswerten für eigene Transaktionen mit der SU24

Autor: Tobias Harmes | 8. Februar 2018

8 | 41 | #PFCG, #SU24

Mit Hilfe der Transaktion SU24 lassen sich Berechtigungs-Vorschlagswerte zu Transaktionen pflegen. Durch die korrekte Pflege von eigenentwickelten Transaktionen und Programme in der SU24 können sofort die richtigen Berechtigungsobjekte in der PFCG vorgeschlagen werden.

SU24-gepflegt macht den Unterschied

SU24 Vorschlagswerte für Berechtigungsobjekte werden in Abhängigkeit zu einer Transaktion, einen Report oder sogar einem RFC-Funktionsbaustein hinterlegt. Wenn Sie nun über die Transaktion PFCG eine Rolle anlegen bzw. ändern und unter dem Reiter Menü eine solch gepflegte Transaktion einfügen, erhalten Sie beim Bearbeiten der Berechtigungen automatisch Vorschläge. Das einerseits die Berechtigungsobjekte, aber auch die Feldwerte, wie zum Beispiel die Aktivität 01 (“Anlegen”) bei der Transaktion MM01 (Material anlegen). Leider ist gerade bei Eigenentwicklungen diese Information oft nicht vorhanden. Das sollte aber so sein.

Eigenentwicklungen: kein Programm ohne eine Transaktion

Die Erfahrung hat gezeigt, dass es in den meisten Unternehmen viele Eigenentwicklungen gibt. Eine Faustregel sollte hier lauten, “kein Programm ohne eine Transaktion”, damit Anwender kritische Transaktionen wie die SA38 bzw. SE38 zum Ausführen der Programme erst gar nicht benötigen. Gehen wir also davon aus, dass es zu jeder Eigenentwicklung auch eine Transaktion gibt und die Programme durch Abfrage von Berechtigungsobjekten geschützt werden, Stichwort SAP Authority-Check innerhalb der Programme. Nun kommt es nur allzu oft vor, dass die Dokumentation der Programme nur unzureichend gepflegt ist. Sobald dann Benutzerrollen gebaut werden müssen, kommt die Frage: “Welche Feldwerte müssen gesetzt werden, um eine ausreichende Berechtigung vergeben zu können”. Spätestens wenn auch noch eigene Berechtigungsobjekte verwendet werden ist nicht mehr nachvollziehbar, welche Objekte rein müssen und was die Inhalte der einzelnen Felder enthalten müssen. In solchen Fällen hilft meistens nur noch ein Berechtigungstrace, durch den versucht wird die gesuchten Werte zu identifizieren. Aber dieses Vorgehen ist nicht nur fehleranfällig, es kostet auch viel Zeit und damit Geld. Geld, dass Sie sich sparen können, indem Sie die Transaktion SU24 pflegen.

Beispiel Report mit AUTHORITY-CHECK

Das hier abgebildete Programm, mit gleichnamiger Transaktion, soll als Repräsentation einer Ihrer Eigenentwicklungen dienen und ist somit Ausgangspunkt für unser Szenario.SU24 Pflege für eigene Transaktionen

Wie Sie sehen wird das Programm durch einen Authority-Check vor unberechtigtem Zugriff geschützt. Als Beispiel wurde hier das Berechtigungsobjekt S_USER_AGR verwendet, das zwei Felder besitzt. Die Aktivitätsgruppe, deren Wert frei definierbar ist und das Feld Aktivität, bei dem es eine von SAP vorgeschriebene Auswahl an Möglichkeiten gibt. Hier habe ich mich für den Wert 03, der Anzeigeaktivität, entschieden. Für den Report wurde über die Transaktion SE93 eine Z-Transaktion mit dem Namen ZOG_SU24_TEST angelegt.

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Sind nun die Werte in keiner Dokumentation festgehalten, ist es gerade bei frei definierbaren Feldern wie ACT_GROUP schwierig, beim Rollenbau zu entscheiden welche Berechtigung vergeben werden muss, zumal noch nicht einmal das Berechtigungsobjekt selbst vorgeschlagen wird. Denn standardmäßig wird nur das Berechtigungsobjekt S_TCODE beim Anlegen einer Transaktion gesetzt und von der Transaktion PFCG gezogen.

Pflege der Berechtigungen für die eigenentwickelte Transaktion in der SU24

Um dem vorzubeugen müssen folgende Schritte durchgeführt werden.

Aufruf der SU24 und eintragen der Transaktion.

SU24 Pflege für eigene Transaktionen

In den Bearbeitungsmodus wechseln.

SU24 Pflege für eigene Transaktionen

Das betreffende Berechtigungsobjekt der Transaktion hinzufügen.

SU24 Pflege für eigene Transaktionen

SU24 Pflege für eigene Transaktionen

Prüfen, ob in der Spalte Vorschl. “JA” steht und in den Bearbeitungsmodus des Berechtigungsobjekts wechseln.

SU24 Pflege für eigene Transaktionen

Vorschlagswerte eintragen und übernehmen.

SU24 Pflege für eigene Transaktionen

Prüfen, ob der Status auf grün steht und speichern.

SU24 Pflege für eigene Transaktionen

Optional: Prüfen des Vorschlagswerts in der Tabelle USOBT_C

Ob die Vorschlagswerte wirklich eingetragen worden sind, kann über die Tabelle USOBT_C überprüft werden, in der alle Einträge der SU24 gespeichert werden.

SU24 Pflege für eigene Transaktionen

Nutzung der neuen Berechtigungs-Vorschläge in der PFCG

Wenn Sie nun die Transaktion einer Rolle zuweisen und sich die Berechtigungen anschauen, werden Sie feststellen, dass das Berechtigungsobjekt gemäß dem Inhalt der SU24 ausgeprägt wurde. Das Ergebnis sehen Sie in den folgenden Abbildungen.

SU24 Pflege für eigene Transaktionen

Den Expertenmodus wählen und “… mit neuem Stand abgleichen” auswählen. Nur so wird die SU24 ganz sicher neu abgefragt.

transaktion su24

SU24 Pflege für eigene Transaktionen

Als Ergebnis wird der Vorschlag als “Standard” in die Liste der Berechtigungsvorschläge mit PFCG-Berechtigungseditor angezeigt. Kein zusätzlicher Trace mehr notwendig.

Ich freue mich auf Ihre Kommentare und Anregungen zur Transaktion SU24.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

8 Kommentare zu "Pflege von Berechtigungs-Vorschlagswerten für eigene Transaktionen mit der SU24"

Die Su24 Pflege ist aus meiner Sicht ein Muss um die Rollen sauber zu halten. Aber: wenn die Upgrades kommen sind die ein gepflegten Werte für die Standardtransaktionen weg (und ohne diese Änderungen hat man lauter veränderte Einträge in den Rollen. Haben Sie dazu eine gute Lösung?VG

Hallo Tanja,
die SU24-Werte für Standardtransaktionen können auch bei einem Upgrade beibehalten werden. Dafür bietet SAP die Transaktion SU25 an – quasi die SPAU für Berechtigungen. Im Schritt 2a werden alle konfliktfreien Neuerungen von SAP in die SU24 geladen. In Schritt 2b werden Konflikte behandelt – hier kann ich mich entscheiden meiner Änderung zu behalten oder zum SAP Standard zurückzukehren. Wer hier ein wenig Liebe und Zeit investiert, kann sich in späteren Schritte viel Arbeit und Nerven sparen. Siehe dazu auch: SAP Berechtigungen nach SAP Upgrades – Verhalten & Maßnahmen

Viele Grüße
Tobias Harmes

Hallo,
gibt es eigentlich in der SU24 die Möglichkeit, zwei verschiedene Ausprägungen desselben Objektes mitzugeben?
Also die Transaktion Z_IRGENDWAS braucht das Objekt S_DATASET mit der ACTVT 33 für eine Datei DATEI_A.TMP und mit den ACTVTs 06 und 34 für DATEI_B.TMP ?
Ich sehe nur die Möglichkeit, eine Ausprägung pro Objekt mitzugeben.
Gibt es da einen Trick?
Gruß
Britta Heimann

Hallo Frau Heimann,
ja, das ist leider auf einen Vorschlag begrenzt. Wir empfehlen immer, den Wert zu nehmen, der die meisten Fälle erschlägt. Und wenn das immer unterschiedlich ist, dann sogar nur das Objekt vorschlagen, aber ohne Ausprägung.
Viele Grüße
Tobias Harmes

Ich mache das dann immer so, dass ich insbesondere die Aktivität eines Objekts leer lasse. So kann der Berechtigungsadministrator im Rahmen der Rollenpflege selbst entscheiden, ob er eine Transaktion mit Anzeigerechten (Akt. 03) oder bspw. Anlege/Änderungsrechten (Akt. 01/02) ausprägen möchte. Oft setze ich auch “Vorschlag ohne Werte”.

Das ist auch das, was ich bei den meisten SAP-Standardtransaktionen via SU24 anpasse: Das Leeren der Aktivitätsvorschläge. Früher war das eindeutig, da SAP für jede Aktivität oft genau eine Transaktion hatte, die in der Nomenklatur auch zur Aktivität passte (FB01, FB02, FB03 bspw. im Kontext von FI-Belegen). Inzwischen gibt es jedoch immer mehr Transaktionen, die alle Funktionen bündeln und in sich berechtigungsseitig geprüft werden (bspw. Transaktion BP).

Hallo Herr Harmes,

gibt es eigentlich eine Möglichkeit ein Berechtigungsobjekt mit Vorschlagsstatus = “Ja”, welches über die SU24 einer Vielzahl von Transaktionen (TA) zugeordnet ist, jedoch nicht in Verwendung ist charmant global auf “Nein” zu setzen ohne jede TA manuell zu pflegen?
Ärgere mich jedes mal, dass bei der Rollenpflege betreffende Berechtigungsobjekte manuell entfernt werden müssen.

Viele Grüße
Wolfgang Simet

Hallo Herr Simet,

vielen Dank für Ihre Frage. Hier die Antwort unseres Experten:

“Mir ist im SAP Standard dafür keine Massenverarbeitung bekannt. Allerdings kann man in der SU24 ja neben dem Einstieg über Transaktionen (wo man eine nach der anderen eingeben müsste) auch über der Berechtigungsobjekt einsteigen. Dann bekommt man an der linken Bildschirmseite alle Transaktionen angezeigt, die dieses Objekt vorschlagen, und kann sich da durchklicken, muss aber trotzdem jede nacheinander angehen.”

Viele Grüße aus der RZ10.de-Redaktion

Frau Bolten, vielen Dank für die Rückmeldung!

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice