Was ist die maximale Anzahl für Profile und Berechtigungen im SAP?
Autor: Tobias Harmes | 18. Dezember 2019
Die meisten Admins vergeben Berechtigungen nur per Rolle und achten nicht auf die maximale Anzahl der Profile in einem Anwender. Umso überraschter sind manche, wenn das System zusätzliche Rollen und Berechtigungen wegen eines Profil-Limits nicht zuordnen kann. Jedenfalls nur, wenn man noch kein NetWeaver 7.5 verwendet.
Maximale Anzahl Profile erreicht
Fairerweise tritt die Fehlermeldung „Maximale Profilanzahl am Benutzer überschritten“ nur auf, wenn der Anwender sowieso schon reichlich Rollen bekommen hat. Der Hinweis 410993 „Maximale Anzahl für Profile und Berechtigungen“ gibt dann genau Auskunft:
- Ein Anwender darf max. 312 Profile haben
Wieso Profile, wir haben doch Rollen?
Das ist tatsächlich auch ein Limit, wenn man nur Rollen verwendet. Denn technisch und historisch hat jede PFCG-Rolle im SAP mindestens ein Berechtigungsprofil.
Wenn viele Berechtigungen in der Rolle enthalten sind (Grüße an das Controlling!), dann gibt es auch schon mal mehr als ein Profil. Und das liegt an diesem Limit:
- Ein Profil kann max. 150 Berechtigungen enthalten
Sehr schön kann man das in der Transaktion SU01 bei einem User sehen. Während der Reiter Rollen nur zwei Rollen anzeigt, ist der Reiter Profile automatisch gefüllt mit allen mit den Rollen verbundenen Profilen.
Also wieviel Rollen darf ein SAP-User haben?
Etwas untechnisch kann man als schreiben:
- Ein Anwender darf max. 312 kleine bis mittlere Rollen haben
Schwarze Magie ist es dann, wenn man dieses Limit noch künstlich streckt. Zum Beispiel, indem man in der SU01 dem Anwender einen Referenzbenutzer mitgibt, der auch noch Berechtigungen hat.
No limit ab NetWeaver 7.5
Keine zahlenmäßige Begrenzung der Profile gibt es ab NetWeaver 7.50, denn dort wurde das Speichermodell für die Profilzuordnung und für die Ablage der Berechtigungsdaten grundlegend überarbeitet. Wer also auf ERP 6.0 EHP8 oder auf S/4HANA ist, kann die oben genannten Grenzen für die Berechtigungs- und Berechtigungswertzuordnung ignorieren.
Haben Sie vielleicht Rolleritis?
Ich möchte die Warnung aus dem Hinweis 2293683 zitieren:
Es wird dennoch dringlichst empfohlen, Berechtigungskonzepte bezüglich der Anzahl zugewiesener Rollen und deren Profile möglichst klein zu halten, um Performanceprobleme beim Speichern, beim Transport, beim Benutzerstammabgleich und im Benutzerinformationssystem zu vermeiden.
Sowohl die Anzahl zugewiesener Profile, als auch die Anzahl von Einzelwerten je Berechtigung haben einen erheblichen Einfluss auf den Umfang der Änderungsbelege. Bedenken Sie auch diesen Aspekt bei der Gestaltung des Berechtigungskonzeptes.
Genau das und: es macht ja wohl keinen Spaß mehr als 100 Rollen in einem Benutzer zu haben. Ich meine, wenn das nicht irgendein Über-Keyuser ist, ist so eine Menge von Rollen eher ein Anzeichen von etwas, was ich Rolleritis nenne. Die Inflation von Berechtigungsrollen. Keiner blickt mehr durch und wenn eine Berechtigungsanforderung kommt, wird einfach eine passende Rolle gebaut. Bad Practice!
In einem Satz
Technisch gibt es ab NetWeaver 7.5 kein Limit mehr, davor lag es bei ca. 300 Rollen pro User. Ob es für Sie ein technisches Limit gibt oder nicht – wenn die Marke von 100 Rollen gerissen wird, sollten Sie sich ernsthaft nach einem neuen Berechtigungskonzept umgucken.
Weitere Informationen
- 410993 – Maximale Anzahl für Profile und Berechtigungen https://launchpad.support.sap.com/#/notes/410993/D
- 2293683 – FAQ | Klassische Benutzer- und Berechtigungsverwaltung https://launchpad.support.sap.com/#/notes/2293683/D
2 Kommentare zu "Was ist die maximale Anzahl für Profile und Berechtigungen im SAP?"
lieber tobias
was ist eigentlich die maximale anzahl von werten in einem berechtigungsprofil?hatte bei der generierung jüngst die meldung bei einer umfangreichen rolle, das in s_tcode (wo die tcodes manuell eingetragen waren, keine intervalle o.ä.) die meldung, dass ich nicht generieren könne weil „2094 values too many in authorization xxxxxxx(profilname) for object s_tcode“. hast du dafür einen trick, außer manuelles einfügen von s_tcode um die einträge in mehren profilen zu verteilen?
herzliche grüße c
Hi, ich kenne leider in älteren Releases auch keinen anderen Weg als die Rolle zu splitten.
Viele Grüße
Tobias