Was ist die maximale Anzahl für Profile und Berechtigungen im SAP?

Maximale Anzahl Profile erreicht

Fairerweise tritt die Fehlermeldung „Maximale Profilanzahl am Benutzer überschritten“ nur auf, wenn der Anwender sowieso schon reichlich Rollen bekommen hat. Der Hinweis 410993 “Maximale Anzahl für Profile und Berechtigungen” gibt dann genau Auskunft:

• Ein Anwender darf max. 312 Profile haben

Wieso Profile, wir haben doch Rollen?

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Jetzt anfordern

E-Book SAP Security und Berechtigungen

×

Das ist tatsächlich auch ein Limit, wenn man nur Rollen verwendet. Denn technisch und historisch hat jede PFCG-Rolle im SAP mindestens ein Berechtigungsprofil.

Wenn viele Berechtigungen in der Rolle enthalten sind (Grüße an das Controlling!), dann gibt es auch schon mal mehr als ein Profil. Und das liegt an diesem Limit:

• Ein Profil kann max. 150 Berechtigungen enthalten

Sehr schön kann man das in der Transaktion SU01 bei einem User sehen. Während der Reiter Rollen nur zwei Rollen anzeigt, ist der Reiter Profile automatisch gefüllt mit allen mit den Rollen verbundenen Profilen.

SU01 – Der Reiter Rollen zeigt nur zwei Einträge

SU01 – Der Reiter Profile zeigt dagegen die Vielzahl an zugeordneten Profilen

Also wieviel Rollen darf ein SAP-User haben?

Etwas untechnisch kann man als schreiben:

• Ein Anwender darf max. 312 kleine bis mittlere Rollen haben

Schwarze Magie ist es dann, wenn man dieses Limit noch künstlich streckt. Zum Beispiel, indem man in der SU01 dem Anwender einen Referenzbenutzer mitgibt, der auch noch Berechtigungen hat.

No limit ab NetWeaver 7.5

Keine zahlenmäßige Begrenzung der Profile gibt es ab NetWeaver 7.50, denn dort wurde das Speichermodell für die Profilzuordnung und für die Ablage der Berechtigungsdaten grundlegend überarbeitet. Wer also auf ERP 6.0 EHP8 oder auf S/4HANA ist, kann die oben genannten Grenzen für die Berechtigungs- und Berechtigungswertzuordnung ignorieren.

Haben Sie vielleicht Rolleritis?

Ich möchte die Warnung aus dem Hinweis 2293683 zitieren:

Es wird dennoch dringlichst empfohlen, Berechtigungskonzepte bezüglich der Anzahl zugewiesener Rollen und deren Profile möglichst klein zu halten, um Performanceprobleme beim Speichern, beim Transport, beim Benutzerstammabgleich und im Benutzerinformationssystem zu vermeiden.

Sowohl die Anzahl zugewiesener Profile, als auch die Anzahl von Einzelwerten je Berechtigung haben einen erheblichen Einfluss auf den Umfang der Änderungsbelege. Bedenken Sie auch diesen Aspekt bei der Gestaltung des Berechtigungskonzeptes.

Genau das und: es macht ja wohl keinen Spaß mehr als 100 Rollen in einem Benutzer zu haben. Ich meine, wenn das nicht irgendein Über-Keyuser ist, ist so eine Menge von Rollen eher ein Anzeichen von etwas, was ich Rolleritis nenne. Die Inflation von Berechtigungsrollen. Keiner blickt mehr durch und wenn eine Berechtigungsanforderung kommt, wird einfach eine passende Rolle gebaut. Bad Practice!

In einem Satz

Technisch gibt es ab NetWeaver 7.5 kein Limit mehr, davor lag es bei ca. 300 Rollen pro User. Ob es für Sie ein technisches Limit gibt oder nicht – wenn die Marke von 100 Rollen gerissen wird, sollten Sie sich ernsthaft nach einem neuen Berechtigungskonzept umgucken.

Webinar: “Hysterisch” gewachsene Berechtigungen loswerden

In diesem Webinar “Hysterisch gewachsene Berechtigungen loswerden” erfahren Sie, wie SAP-Systeme bezüglich ihrer Rollen und Benutzer bereinigt werden können, um Altlasten loszuwerden.  

Jetzt anmelden

Weitere Informationen

• 410993 – Maximale Anzahl für Profile und Berechtigungen https://launchpad.support.sap.com/#/notes/410993/D
• 2293683 – FAQ | Klassische Benutzer- und Berechtigungsverwaltung https://launchpad.support.sap.com/#/notes/2293683/D