Was ist die maximale Anzahl für Profile und Berechtigungen im SAP?

Autor: Tobias Harmes | 18. Dezember 2019

2 | 29 | #leserfrage

Die meisten Admins vergeben Berechtigungen nur per Rolle und achten nicht auf die maximale Anzahl der Profile in einem Anwender. Umso überraschter sind manche, wenn das System zusätzliche Rollen und Berechtigungen wegen eines Profil-Limits nicht zuordnen kann. Jedenfalls nur, wenn man noch kein NetWeaver 7.5 verwendet.

Maximale Anzahl Profile erreicht

Fairerweise tritt die Fehlermeldung „Maximale Profilanzahl am Benutzer überschritten“ nur auf, wenn der Anwender sowieso schon reichlich Rollen bekommen hat. Der Hinweis 410993 „Maximale Anzahl für Profile und Berechtigungen“ gibt dann genau Auskunft:

  • Ein Anwender darf max. 312 Profile haben

Wieso Profile, wir haben doch Rollen?

SAP Security& Berechtigungen

E-Book SAP Security und Berechtigungen

Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten - Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.

Das ist tatsächlich auch ein Limit, wenn man nur Rollen verwendet. Denn technisch und historisch hat jede PFCG-Rolle im SAP mindestens ein Berechtigungsprofil.

Wenn viele Berechtigungen in der Rolle enthalten sind (Grüße an das Controlling!), dann gibt es auch schon mal mehr als ein Profil. Und das liegt an diesem Limit:

  • Ein Profil kann max. 150 Berechtigungen enthalten

Sehr schön kann man das in der Transaktion SU01 bei einem User sehen. Während der Reiter Rollen nur zwei Rollen anzeigt, ist der Reiter Profile automatisch gefüllt mit allen mit den Rollen verbundenen Profilen.

SU01 - Der Reiter Rollen zeigt nur zwei Einträge

SU01 – Der Reiter Rollen zeigt nur zwei Einträge

SU01 - Der Reiter Profile zeigt dagegen die Vielzahl an zugeordneten Profilen

SU01 – Der Reiter Profile zeigt dagegen die Vielzahl an zugeordneten Profilen

Also wieviel Rollen darf ein SAP-User haben?

Etwas untechnisch kann man als schreiben:

  • Ein Anwender darf max. 312 kleine bis mittlere Rollen haben

Schwarze Magie ist es dann, wenn man dieses Limit noch künstlich streckt. Zum Beispiel, indem man in der SU01 dem Anwender einen Referenzbenutzer mitgibt, der auch noch Berechtigungen hat.

No limit ab NetWeaver 7.5

Keine zahlenmäßige Begrenzung der Profile gibt es ab NetWeaver 7.50, denn dort wurde das Speichermodell für die Profilzuordnung und für die Ablage der Berechtigungsdaten grundlegend überarbeitet. Wer also auf ERP 6.0 EHP8 oder auf S/4HANA ist, kann die oben genannten Grenzen für die Berechtigungs- und Berechtigungswertzuordnung ignorieren.

Haben Sie vielleicht Rolleritis?

Ich möchte die Warnung aus dem Hinweis 2293683 zitieren:

Es wird dennoch dringlichst empfohlen, Berechtigungskonzepte bezüglich der Anzahl zugewiesener Rollen und deren Profile möglichst klein zu halten, um Performanceprobleme beim Speichern, beim Transport, beim Benutzerstammabgleich und im Benutzerinformationssystem zu vermeiden.

Sowohl die Anzahl zugewiesener Profile, als auch die Anzahl von Einzelwerten je Berechtigung haben einen erheblichen Einfluss auf den Umfang der Änderungsbelege. Bedenken Sie auch diesen Aspekt bei der Gestaltung des Berechtigungskonzeptes.

Genau das und: es macht ja wohl keinen Spaß mehr als 100 Rollen in einem Benutzer zu haben. Ich meine, wenn das nicht irgendein Über-Keyuser ist, ist so eine Menge von Rollen eher ein Anzeichen von etwas, was ich Rolleritis nenne. Die Inflation von Berechtigungsrollen. Keiner blickt mehr durch und wenn eine Berechtigungsanforderung kommt, wird einfach eine passende Rolle gebaut. Bad Practice!

In einem Satz

Technisch gibt es ab NetWeaver 7.5 kein Limit mehr, davor lag es bei ca. 300 Rollen pro User. Ob es für Sie ein technisches Limit gibt oder nicht – wenn die Marke von 100 Rollen gerissen wird, sollten Sie sich ernsthaft nach einem neuen Berechtigungskonzept umgucken.

In diesem Webinar “Hysterisch gewachsene Berechtigungen loswerden” erfahren Sie, wie SAP-Systeme bezüglich ihrer Rollen und Benutzer bereinigt werden können, um Altlasten loszuwerden.  

Weitere Informationen

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

2 Kommentare zu "Was ist die maximale Anzahl für Profile und Berechtigungen im SAP?"

lieber tobias
was ist eigentlich die maximale anzahl von werten in einem berechtigungsprofil?hatte bei der generierung jüngst die meldung bei einer umfangreichen rolle, das in s_tcode (wo die tcodes manuell eingetragen waren, keine intervalle o.ä.) die meldung, dass ich nicht generieren könne weil „2094 values too many in authorization xxxxxxx(profilname) for object s_tcode“. hast du dafür einen trick, außer manuelles einfügen von s_tcode um die einträge in mehren profilen zu verteilen?
herzliche grüße c

Hi, ich kenne leider in älteren Releases auch keinen anderen Weg als die Rolle zu splitten.
Viele Grüße
Tobias

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice