SAP Berechtigungen nach SAP Upgrades – Verhalten & Maßnahmen

Autor: Tobias Harmes | 12. April 2019

7 | 55 | #PFCG, #SU25

Was sollte ich nach einem Upgrade im SAP System mit den Berechtigungen machen? Und warum ist da ein nerviges Popup in der PFCG? Eine kleine Einführung in Berechtigungen nach Upgrades und die Transaktion SU25, dem Upgradetool für den Profilgenerator.

SAP Upgrades oder Releasewechsel sind in aller Regel ein feine Sache, denn oft gehen damit nicht nur Fehlerkorrekturen im SAP System einher, sondern auch Erweiterungen von Funktionalitäten bzw. komplett neue Funktionen werden im SAP System zur Verfügung gestellt. Allerdings betreffen nicht nur das Aussehen von Programmen und das Schema von Tabellen sondern auch in den Programmen vorgesehene Berechtigungsprüfungen.

So wird zum Beispiel die Transaktion STMS_QA seit ERP 6.0 EHP6 um einen weiteren Feldwert abgeprüft, der vor dem Upgrade nicht notwendig war. Damit werden alle Benutzer, die diese Transaktion verwenden müssen in ihrem Arbeitsbetrieb massiv behindert. Das eben genannte Beispiel ist nur eins von vielen – wie hält man also die Auswirkungen möglichst gering? Das Stichwort lautet: Upgrade der SAP Berechtigungen. Ähnlich wie die SPAU nach einem Upgrade die Programme und Tabellen aktualisiert, kann die Transaktion SU25 die SAP Berechtigungen auf das neue Release heben.

Unser E-Book zum Thema SAP Berechtigungstools

E-Book SAP Berechtigungstools

So wählen Sie Ihr SAP Berechtigungstool aus - in 3 Schritten zum neuen Berechtigungstool.

Meldung in der PFCG nach Upgrade

Hier gibt es zwei Möglichkeiten, die jedoch stark davon abhängen, wie die Rollen ursprünglich konzipiert wurden. Beide Vorgehen haben jedoch eines gemeinsam. Man benötigt die Transaktion PFCG. Nach dem Upgrade werden Sie beim Ausführen der PFCG zunächst auf den abgebildeten Hinweis stoßen.

Meldung "Wichtiger Hinweis Falls Sie den Profilgenerator in diesem Release zum ersten Mal verwenden..."

Meldung “Wichtiger Hinweis Falls Sie den Profilgenerator in diesem Release zum ersten Mal verwenden…”

Transaktion SU25 ausführen

Beachten Sie den Hinweis und führen Sie die Transaktion SU25 aus, um ihr System Berechtigungstechnisch auf einem konsistenten Stand zuhalten. Mit dem Schritt 2a werden die “neuen” Berechtigungsdaten in die SAP Tabelle USOBT und USOBX geschrieben. Über Schritt 2b gelangen die geänderten Daten schließlich in die Customer Tabellen USOBT_C und USOBX_C. In ersterer Tabelle stehen die Werte aus der SU24, die für bei der Rollenerstellung in die Rolle einfließen können. Hier wird auch geprüft, ob es irgendwelche Konflikte durch Abweichungen vom SAP Standard gibt. Der Schritt 2b ist also so etwas wie eine SPAU-Upgrade-Nacharbeiten für Berechtigungen. Mit Hilfe von Schritt 2c können die Rollen identifiziert werden, die von den gerade durchgeführten Änderungen an der SU24 betroffen sind. Also welche Rollen jetzt andere Berechtigungsvorschläge bekommen würden, wenn man sie neu abmischt. Die Voraussetzung hierfür ist jedoch, dass die Transaktionen im Rollenmenü eingetragen sind und nicht manuell in das Berechtigungsobjekt S_TCODE geschrieben wurden.

sap berechtigungsprüfungen

Damit der Hinweis in der PFCG verschwindet muss lediglich der Schritt 2a in der SU25 ausgeführt werden. Es ist jedoch ratsam auch Schritt 2b und wenn möglich auch Schritt 2c laufen zu lassen. Ansonsten kann es passieren, dass auch noch Monate später “Überraschungen” bei der Rollenbearbeitung im Sinne von neuen oder entfernten Berechtigungsobjekten auftauchen. Der Schritt 2d ist optional. In diesem wird angezeigt, welche Transaktionen durch den Upgrade durch neue Transaktionen ersetzt worden sind. Tipp: in der Tabelle PRGN_CORR2 stehen diese Daten ebenfalls.

Rollenkorrektur

Zurück zu den angesprochenen Möglichkeiten zur Rollenkorrektur. Wenn Sie die Transaktionen über das Rollenmenü gepflegt und nicht verwendete Berechtigungsobjekte inaktiv gesetzt haben anstatt sie zu löschen, können Sie über den Expertenmodus die Rolle mit den eben geänderten SU24 Werten abgleichen. Damit werden neue Feldwerte mehr oder weniger automatisch in die Rolle überführt ohne im einzelnen wissen zu müssen, welche Änderungen an der Rolle vorgenommen werden. Anschließend müssen Sie die Rolle nur erneut generieren.

In diesem Webinar erfahren Sie, wie Sie Ihr SAP System absichern und die Benutzerberechtigungen skalierbar und nachvollziehbar aufbauen können. Der Schwerpunkt liegt auf ERP-Systemen in der Version ECC 6.0 und S/4HANA – gilt aber grundsätzlich für alle ABAP-basierten Systeme.

Falls die Voraussetzungen nicht erfüllt sind bleibt nur Möglichkeit Nummer zwei. Sie müssen warten bis ein Benutzer auf Berechtigungsfehler stößt und mittels der Transaktion SU53 oder einen Berechtigungstrace die fehlenden Berechtigungen identifizieren. Diese müssen dann in der Transaktion PFCG manuell ergänzt werden.

Haben Sie ähnliche Erfahrungen mit Releasewechsel oder SAP Berechtigungsprüfungen? Dann freue ich mich über einen Kommentar.

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.

28.08.2019: Artikel um Tabelle für Schritt 2d ergänzt. /THA


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

7 Kommentare zu "SAP Berechtigungen nach SAP Upgrades – Verhalten & Maßnahmen"

Hallo Herr Harmes,

wir haben einen SAP-Hinweis bezüglich des Berechtigungsobjekt s_scd0 eingespielt mit dem ein weiteres Objekt s_scd0_obj verfügbar wurde. Dieses Objekt wird allerdings nicht abgeprüft. Muss man das eingespielten Objekte noch “hart” aktivieren? Wie muss man vorgehen damit dieses Objekt abgefragt wird ?

Vielen Dank Vorab für Ihre Hilfe

Hallo,

Ich habe mir den Hinweis 1767933 – CD: Erweiterte Berechtigungsprüfung gerade noch mal angesehen. In der Sourcecode-Änderung gibt es folgende Stelle


FUNCTION cd_check_authority.
  CLEAR subrc.

  AUTHORITY-CHECK OBJECT 'S_SCD0'
                  ID     'ACTVT' FIELD  activity.
  subrc = sy-subrc.
  IF sy-subrc = 0.
    RETURN.
  ELSE.
    IF objectclass IS SUPPLIED.
       AUTHORITY-CHECK OBJECT 'S_SCD0_OBJ'
                       ID 'ACTVT'      FIELD activity
                       ID 'OBJECTCLAS' FIELD objectclass.
       subrc = sy-subrc.
    ENDIF.
  ENDIF.

ENDFUNCTION.

So wie ich das lese, wird die Prüfung nicht durchgeführt, wenn der Anwender bereits die Prüfung für S_SCD0 erfolgreich übersteht. Umgekehrt dann, wenn S_SCD0 nicht erfolgreich geprüft wird, dann wird S_SCD0_OBJ abgefragt. Also dem User S_SCD0 wegnehmen und noch mal probieren.

Ich hoffe das hilft weiter.

Viele Grüße
Tobias Harmes

Ich werde das mal prüfen und hier bescheid geben.
Vielen Dank!

Hallo,

Wenn die Transaktion su24 nicht gepflegt ist, verstehe ich richtig, dass das Ausführen von der Transaktion SU25 nichts bringt ?
Muss man nach einem SPS Update auch die SU25 ausführen ?

Danke

Hallo, das Ausführen der Schritte in der SU25 sorgt erst einmal dafür, dass der SAP Standard vorgeschlagen wird. Und das ist gut so. Über die Transaktion SU24 kann ich dann eigene Wünsche (bzw. Abweichungen vom Standard) konfigurieren. Die SU25 ist durchaus auch relevant nach einem SPS-Update, da fast immer auch Hinweise dabei sind, die neue Berechtigungsprüfungen einführen. Es ist nur nicht bei jedem SPS ein Update für die SU25 (Tabelle USOBT & Co.) dabei.

Hallo Herr Harmes,

wir setzen gerade ein HANA System nach dem Green (aus Business Sicht)/Blue Field Ansatz neu auf, um ein SAP ERP 6.0 basiertes System zu ersetzen. Da wir im alten System über die SU24 sehr viele Berechtigungsobjekte hinzugefühgt haben, wollen wir diese Daten übernehmen und hierfür die USOBT_C und USOBX_C aus dem Altsystem in das neue importieren. Halten Sie das für eine sinnvolle Maßnahme und wenn ja würden Sie das eher per Transport oder Tabellenexport/-import machen? Nach Import der Tabellen würde ich dann die Schritte 1, 2a und 2b der SU25 machen oder würden Sie eher zu einer anderen Reihenfolge raten?

Vielen Dank im Voraus für Ihre Hilfe!

Hallo,
folgende Vorgehensweise empfehlen wir zurzeit:
– (S/4-System) SU24-Backup via Schritt 3 in der SU25 erstellen, Optional auch ein Massendownload der relevanten Rollen in PFCG
– (ERP-System) Angepasste SU24 ebenfalls via SU25 Schritt 3 als Transport exportieren und in das S/4HANA-System importieren
– (S/4-System) SU25 Schritte 2a und 2b ausführen
– (S/4-System) Relevante Rollen mit dem Experten Modus abmischen
Viele Grüße
Tobias Harmes

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice