Systemrollen aus mehreren Profilen erstellen mit der PFCG

Autor: Tobias Harmes | 8. Mai 2015

2 | 33 | #PFCG, #SE16

In diesem Blogbeitrag möchte ich Ihnen eine Möglichkeit vorstellen, wie die Berechtigungen mehrerer Systemrollen schnell und einfach in eine neue Systemrolle übernommen werden können.

Dies stellt eine elegante Lösung dar, wenn alte Systemrollen nicht mehr verwendet werden sollen, und trotzdem die Möglichkeit bestehen soll, im Falle eines Notfall, den Usern wieder die alten Berechtigungen zuzuordnen. So wird der Produktivbetrieb nicht eingeschränkt. Fehlende Berechtigungen durch Löschung der alten Rollen können zum Beispiel dazu führen, dass der jeweilige Anwender anschließend keine Möglichkeit mehr hat, Bestellungen anzulegen, weil die neuen Systemrollen für den Einkäufer unzureichend getestet wurden. Um solche Probleme zu verhindern bietet es sich an, übergangsweise eine „Interims“ Rolle anzulegen.

Wie eine solche „Interims“ Rolle mit Hilfe der Profile erstellt werden kann, möchte ich Ihnen nun anhand eines Beispiels erläutern:

Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater

Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.

Zuerst habe ich einen Testuser angelegt, für den ich eine „Interim“ Rolle erstellen möchte. Der User besitzt drei Systemrollen, die in diesem Szenario zukünftig nicht mehr verwendet werden sollen.

PFCG - Rollen

Abbildung 1

Nun gibt es zwei Möglichkeiten, um an die Profile für die jeweiligen Systemrollen zu kommen.

Variante 1: Durch öffnen des Reiters „Profile“

PFCG - Profile

Abbildung 2

Variante 2: Über die die Tabelle „AGR_PROF“

Hierfür werden die Systemrollen aus der Abbildung 1 benötigt. Anschließend öffnen wir die SE16 oder SE16N und anschließend die Tabelle „AGR_PROF“. Dort öffnen wir bei dem Punkt „AGR_NAME“ die Mehrfachselektion (siehe Markierung 1). In der sich nun öffnenden Mehrfachselektion fügen wir die entsprechenden Systemrollen ein.

SE16 - AGR_PROF

Abbildung 3

Nun bestätigen wir die Anfrage und erhalten folgende Ergebnisse:

PFCG Rollen - Profile

Abbildung 4

Wir können sehen, dass die Profile in der Spalte „Profile“ identisch mit den Profilen aus Abbildung 2 sind.

Nun erstellen wir über die Transaktion „PFCG“ die neue „Interims“ Rolle, welche die Berechtigungen der alten drei Rollen enthalten soll. Anschließend gehen wir auf den Reiter „Berechtigungen“, um dann auf „Expertenmodus zur Profilgenerierung“ zu klicken:

PFCG - Expertenmodus

Abbildung 5

Nun können wir die uns bekannten Profile in die neue Systemrolle hinzufügen. Dieses funktioniert über „Bearbeiten -> Einfügen Berecht. -> Aus Profil…“. Anschließend muss der Profilname eingegeben werden (Abbildung 7).

systemrollen

Abbildung 6

Profilauswahl

Abbildung 7

Diesen Schritt wird für jedes benötigte Profil wiederholt.

Die Berechtigungsobjekte für die Systemrolle werden mit jedem Profil erweitert (Abbildung 8).

Berechtigungen

Abbildung 8

Abschließend müssen nur noch die Orgebenen und andere ungepflegte Berechtigungsobjekte (Non-Orgebenen) gepflegt werden. Dies geschieht entsprechend ihrer Werte.

Orgebenen

Abbildung 9

Berechtigungsobjekte

Abbildung 10

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Nun können sie die alten Rollen entfernen und haben im Falle eines Problems die Möglichkeit, den Usern die „Interims“ Rolle zu vergeben. Somit wird der Produktivbetrieb gewährleistet.

Welche Erfahrungen haben Sie mit der Problematik der Systemrollen gemacht? Haben Sie andere Lösungsvorschläge um für die GO-Live Phase gewappnet zu sein, ohne die gelöschten Rollen wieder ins System einzuspielen?

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Systemrollen aus mehreren Profilen erstellen mit der PFCG"

Ich würde die größte der drei Rollen kopieren und müsste dann nur noch die zwei anderen fehlenden Profile wie von Ihnen beschrieben der Interimsrolle hinzufügen. Die Vorteile liegen auf der Hand.

wenn sehr grosse Rollen in eine andere Rolle übernommen werden müssen, kann diese Rolle mehrere Profile haben. Deshalb empfiehlt es sich die Profile entweder über die Tabelle AGR_1016 (an Stelle von AGR_PROF) oder via Transaktion SUIM (Profile -> nach Rollen) auszuwerten. Es müssen jeweils alle angegebenen Profil Namen zu einer Rolle eingelesen werden.

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice