SAP Berechtigungen nach SAP Upgrades – Verhalten & Maßnahmen

Autor: Tobias Harmes | 12. April 2019

1 | #PFCG, #SU25

Was sollte ich nach einem Upgrade im SAP System mit den Berechtigungen machen? Und warum ist da ein nerviges Popup in der PFCG? Eine kleine Einführung in Berechtigungen nach Upgrades und die Transaktion SU25, dem Upgradetool für den Profilgenerator.

SAP Upgrades oder Releasewechsel sind in aller Regel ein feine Sache, denn oft gehen damit nicht nur Fehlerkorrekturen im SAP System einher, sondern auch Erweiterungen von Funktionalitäten bzw. komplett neue Funktionen werden im SAP System zur Verfügung gestellt. Allerdings betreffen nicht nur das Aussehen von Programmen und das Schema von Tabellen sondern auch in den Programmen vorgesehene Berechtigungsprüfungen.

So wird zum Beispiel die Transaktion STMS_QA seit ERP 6.0 EHP6 um einen weiteren Feldwert abgeprüft, der vor dem Upgrade nicht notwendig war. Damit werden alle Benutzer, die diese Transaktion verwenden müssen in ihrem Arbeitsbetrieb massiv behindert. Das eben genannte Beispiel ist nur eins von vielen – wie hält man also die Auswirkungen möglichst gering? Das Stichwort lautet: Upgrade der SAP Berechtigungen. Ähnlich wie die SPAU nach einem Upgrade die Programme und Tabellen aktualisiert, kann die Transaktion SU25 die SAP Berechtigungen auf das neue Release heben.

Meldung in der PFCG nach Upgrade

Hier gibt es zwei Möglichkeiten, die jedoch stark davon abhängen, wie die Rollen ursprünglich konzipiert wurden. Beide Vorgehen haben jedoch eines gemeinsam. Man benötigt die Transaktion PFCG. Nach dem Upgrade werden Sie beim Ausführen der PFCG zunächst auf den abgebildeten Hinweis stoßen.

Meldung "Wichtiger Hinweis Falls Sie den Profilgenerator in diesem Release zum ersten Mal verwenden..."

Meldung “Wichtiger Hinweis Falls Sie den Profilgenerator in diesem Release zum ersten Mal verwenden…”

Transaktion SU25 ausführen

Beachten Sie den Hinweis und führen Sie die Transaktion SU25 aus, um ihr System Berechtigungstechnisch auf einem konsistenten Stand zuhalten. Mit dem Schritt 2a werden die “neuen” Berechtigungsdaten in die SAP Tabelle USOBT und USOBX geschrieben. Über Schritt 2b gelangen die geänderten Daten schließlich in die Customer Tabellen USOBT_C und USOBX_C. In ersterer Tabelle stehen die Werte aus der SU24, die für bei der Rollenerstellung in die Rolle einfließen können. Hier wird auch geprüft, ob es irgendwelche Konflikte durch Abweichungen vom SAP Standard gibt. Der Schritt 2b ist also so etwas wie eine SPAU-Upgrade-Nacharbeiten für Berechtigungen. Mit Hilfe von Schritt 2c können die Rollen identifiziert werden, die von den gerade durchgeführten Änderungen an der SU24 betroffen sind. Also welche Rollen jetzt andere Berechtigungsvorschläge bekommen würden, wenn man sie neu abmischt. Die Voraussetzung hierfür ist jedoch, dass die Transaktionen im Rollenmenü eingetragen sind und nicht manuell in das Berechtigungsobjekt S_TCODE geschrieben wurden.

sap berechtigungsprüfungen

Damit der Hinweis in der PFCG verschwindet muss lediglich der Schritt 2a in der SU25 ausgeführt werden. Es ist jedoch ratsam auch Schritt 2b und wenn möglich auch Schritt 2c laufen zu lassen. Ansonsten kann es passieren, dass auch noch Monate später “Überraschungen” bei der Rollenbearbeitung im Sinne von neuen oder entfernten Berechtigungsobjekten auftauchen. Der Schritt 2d ist optional. In diesem wird angezeigt, welche Transaktionen durch den Upgrade durch neue Transaktionen ersetzt worden sind. Tipp: in der Tabelle PRGN_CORR2 stehen diese Daten ebenfalls.

harmes_180x227
Zu zweit schneller zum Ergebnis 🙂
Expert Session mit dem Autor Tobias Harmes anfragen
Vier Augen sehen mehr als zwei! Wenn Sie die Inhalte aus diesem Artikel schnell umsetzen wollen, kann ich Ihnen gerne dabei helfen.
Autoren Expert Session

Rollenkorrektur

Zurück zu den angesprochenen Möglichkeiten zur Rollenkorrektur. Wenn Sie die Transaktionen über das Rollenmenü gepflegt und nicht verwendete Berechtigungsobjekte inaktiv gesetzt haben anstatt sie zu löschen, können Sie über den Expertenmodus die Rolle mit den eben geänderten SU24 Werten abgleichen. Damit werden neue Feldwerte mehr oder weniger automatisch in die Rolle überführt ohne im einzelnen wissen zu müssen, welche Änderungen an der Rolle vorgenommen werden. Anschließend müssen Sie die Rolle nur erneut generieren.

Falls die Voraussetzungen nicht erfüllt sind bleibt nur Möglichkeit Nummer zwei. Sie müssen warten bis ein Benutzer auf Berechtigungsfehler stößt und mittels der Transaktion SU53 oder einen Berechtigungstrace die fehlenden Berechtigungen identifizieren. Diese müssen dann in der Transaktion PFCG manuell ergänzt werden.

Haben Sie ähnliche Erfahrungen mit Releasewechsel oder SAP Berechtigungsprüfungen? Dann freue ich mich über einen Kommentar.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor Tobias Harmes ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security

28.08.2019: Artikel um Tabelle für Schritt 2d ergänzt. /THA


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support