Tobias Harmes
 - 14. Dezember 2018

Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL

Mit der Nutzung des Profils SAP_ALL sind nennenswerte Risiken verbunden. Um diese Risiken zumindest für besonders kritische Berechtigungen wie zum Beispiel Debugging mit Änderungsberechtigungen zu reduzieren, kann mit wenig Aufwand eine zurückgebaute SAP_ALL Rolle erstellt werden. Diese ist auch für Nicht-Dialog-Benutzer geeignet.

Wichtig: Die durch diese Anleitung entstehende Rolle ist immer noch mit kompletten Admin-Berechtigungen ausgestattet. Es ist also weiterhin eine Rolle, die im Dialog nur einem protokollierten Notfallbenutzer zugeordnet sein sollte. Die Erstellung und Vergabe von einem zurückgebauten SAP_ALL (auch bekannt als Z_SAP_ALL oder ZSAP_ALL) sollte nur von Fachpersonal durchgeführt werden. Der wesentliche Unterschied zum reinen SAP_ALL: der Benutzer kann typische HGB-kritische Funktionen, wie das Löschen von Änderungsbelegen, nicht durchführen ohne dabei Spuren zu erzeugen. Und Nachvollziehbarkeit ist einer der wichtigsten Ansprüche der Buchführung.

1 Rolle anlegen/aktualisieren

Voraussetzung ist, dass ein aktuelles SAP_ALL-Profil im SAP-Standard erstellt wurde. Das Profil ist im Entwicklungssystem in jedem Arbeitsmandanten mit SU21 zu generieren.

Anlegen einer Rolle namens Z_SAP_ALL oder Pflege der bestehenden Rolle: Die Rolle sollte im Beschreibungsfeld zum Beispiel eine Kurzbeschreibung der durchgeführten Detail-Änderungen beinhalten, damit auch Adhoc eine Anleitung zur Neuerstellung im System verfügbar ist.

Die Rolle wird im Berechtigungseditor aufgerufen:


Sollte die Rolle schon existieren, im Expertenmodus “Profil löschen und neu anlegen” auswählen.

 


Es wird absichtlich keine Vorlage gewählt.

 


Bearbeiten -> Aus Profil…


Profil SAP_ALL selektieren.

 


Alle Berechtigungen einfügen.

Danach Org-Ebenen pflegen (Gesamtberechtigungen, “*”).


 An dieser Stelle sollte die oberste Ampel “grün” zeigen.

2 Rückbau der Berechtigungen / Detail-Anpassungen im Editor:

In den Berechtigungen der Rolle Z_SAP_ALL sind nun folgende Anpassungen durchzuführen. Die Objekte können über Strg-F einfach gesucht werden.

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – Alle Aktivitäten außer RSET

OPTIONAL: Direktes Zuordnen von SAP_ALL unterbinden: Benutzerstammpflege: Berechtigungsprofil – B-Objekt : S_USER_PRO –  Zulässige Berechtigungsprofile (PROFILE) = /* bis SAP_ALK und SAP_ALM bis Z*

 3 Nacharbeiten

Danach wie gewohnt generieren und transportieren. Das Vorgehen muss jedes Mal wiederholt werden, wenn SAP_ALL neu generiert wird (z.B. weil neue Berechtigungsobjekte importiert wurden).

Siehe auch – Bereinigung RFC User – SAP_ALL entfernen: https://rz10.de/angebot/berechtigungsoptimierung-der-rfc-schnittstellenbenutzer/

 

War dieser Artikel hilfreich für Sie? Ich freue mich über ein kurzes Feedback, zum Beispiel unter diesem Beitrag.

Tobias Harmes

Mein Name ist Tobias Harmes und ich bin SAP Basis & Security Experte, Speaker und Herausgeber von RZ10.de. Ich helfe anderen dabei, Unternehmensdaten und Geschäftsprozesse in SAP wirksam abzusichern.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:



Das könnte Sie auch interessieren


2 Kommentare zu "Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL"

Axel Gehrer - 21. Dezember 2018 | 10:55

SAP liefert für diesen Zweck auch den Report REGENERATE_SAP_APP aus. Mit diesem Report kann eine Rolle generiert werden, die alle Berechtigungsobjekte enthält. Man kann bei der Generierung auswählen, ob z. B. HCM- oder Basis-Objekte ausgeschlossen werden sollen.

Antworten

Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support