Systemrollen aus mehreren Profilen erstellen mit der PFCG
Autor: Tobias Harmes | 8. Mai 2015
In diesem Blogbeitrag möchte ich Ihnen eine Möglichkeit vorstellen, wie die Berechtigungen mehrerer Systemrollen schnell und einfach in eine neue Systemrolle übernommen werden können.
Dies stellt eine elegante Lösung dar, wenn alte Systemrollen nicht mehr verwendet werden sollen, und trotzdem die Möglichkeit bestehen soll, im Falle eines Notfall, den Usern wieder die alten Berechtigungen zuzuordnen. So wird der Produktivbetrieb nicht eingeschränkt. Fehlende Berechtigungen durch Löschung der alten Rollen können zum Beispiel dazu führen, dass der jeweilige Anwender anschließend keine Möglichkeit mehr hat, Bestellungen anzulegen, weil die neuen Systemrollen für den Einkäufer unzureichend getestet wurden. Um solche Probleme zu verhindern bietet es sich an, übergangsweise eine “Interims” Rolle anzulegen.
Wie eine solche „Interims“ Rolle mit Hilfe der Profile erstellt werden kann, möchte ich Ihnen nun anhand eines Beispiels erläutern:
Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater
Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.
Zuerst habe ich einen Testuser angelegt, für den ich eine „Interim“ Rolle erstellen möchte. Der User besitzt drei Systemrollen, die in diesem Szenario zukünftig nicht mehr verwendet werden sollen.
Nun gibt es zwei Möglichkeiten, um an die Profile für die jeweiligen Systemrollen zu kommen.
Variante 1: Durch öffnen des Reiters „Profile“
Variante 2: Über die die Tabelle „AGR_PROF“
Hierfür werden die Systemrollen aus der Abbildung 1 benötigt. Anschließend öffnen wir die SE16 oder SE16N und anschließend die Tabelle „AGR_PROF“. Dort öffnen wir bei dem Punkt „AGR_NAME“ die Mehrfachselektion (siehe Markierung 1). In der sich nun öffnenden Mehrfachselektion fügen wir die entsprechenden Systemrollen ein.
Nun bestätigen wir die Anfrage und erhalten folgende Ergebnisse:
Wir können sehen, dass die Profile in der Spalte „Profile“ identisch mit den Profilen aus Abbildung 2 sind.
Nun erstellen wir über die Transaktion „PFCG“ die neue „Interims“ Rolle, welche die Berechtigungen der alten drei Rollen enthalten soll. Anschließend gehen wir auf den Reiter „Berechtigungen“, um dann auf „Expertenmodus zur Profilgenerierung“ zu klicken:
Nun können wir die uns bekannten Profile in die neue Systemrolle hinzufügen. Dieses funktioniert über „Bearbeiten -> Einfügen Berecht. -> Aus Profil…“. Anschließend muss der Profilname eingegeben werden (Abbildung 7).
Diesen Schritt wird für jedes benötigte Profil wiederholt.
Die Berechtigungsobjekte für die Systemrolle werden mit jedem Profil erweitert (Abbildung 8).
Abschließend müssen nur noch die Orgebenen und andere ungepflegte Berechtigungsobjekte (Non-Orgebenen) gepflegt werden. Dies geschieht entsprechend ihrer Werte.
Nun können sie die alten Rollen entfernen und haben im Falle eines Problems die Möglichkeit, den Usern die „Interims“ Rolle zu vergeben. Somit wird der Produktivbetrieb gewährleistet.
Welche Erfahrungen haben Sie mit der Problematik der Systemrollen gemacht? Haben Sie andere Lösungsvorschläge um für die GO-Live Phase gewappnet zu sein, ohne die gelöschten Rollen wieder ins System einzuspielen?
2 Kommentare zu "Systemrollen aus mehreren Profilen erstellen mit der PFCG"
Ich würde die größte der drei Rollen kopieren und müsste dann nur noch die zwei anderen fehlenden Profile wie von Ihnen beschrieben der Interimsrolle hinzufügen. Die Vorteile liegen auf der Hand.
wenn sehr grosse Rollen in eine andere Rolle übernommen werden müssen, kann diese Rolle mehrere Profile haben. Deshalb empfiehlt es sich die Profile entweder über die Tabelle AGR_1016 (an Stelle von AGR_PROF) oder via Transaktion SUIM (Profile -> nach Rollen) auszuwerten. Es müssen jeweils alle angegebenen Profil Namen zu einer Rolle eingelesen werden.