Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL

Autor: Tobias Harmes | 14. Dezember 2018

6 | 5

Mit der Nutzung des Profils SAP_ALL sind nennenswerte Risiken verbunden. Um diese Risiken zumindest für besonders kritische Berechtigungen wie zum Beispiel Debugging mit Änderungsberechtigungen zu reduzieren, kann mit wenig Aufwand eine zurückgebaute SAP_ALL Rolle erstellt werden. Diese ist auch für Nicht-Dialog-Benutzer geeignet.

Wichtig: Die durch diese Anleitung entstehende Rolle ist immer noch mit kompletten Admin-Berechtigungen ausgestattet. Es ist also weiterhin eine Rolle, die im Dialog nur einem protokollierten Notfallbenutzer zugeordnet sein sollte. Die Erstellung und Vergabe von einem zurückgebauten SAP_ALL (auch bekannt als Z_SAP_ALL oder ZSAP_ALL) sollte nur von Fachpersonal durchgeführt werden. Der wesentliche Unterschied zum reinen SAP_ALL: der Benutzer kann typische HGB-kritische Funktionen, wie das Löschen von Änderungsbelegen, nicht durchführen ohne dabei Spuren zu erzeugen. Und Nachvollziehbarkeit ist einer der wichtigsten Ansprüche der Buchführung.

Tipp: Wir haben auch einen Artikel für die Erstellung eines Nur-Lese-SAP_ALL.

1 Rolle anlegen/aktualisieren

Voraussetzung ist, dass ein aktuelles SAP_ALL-Profil im SAP-Standard erstellt wurde. Das Profil ist im Entwicklungssystem in jedem Arbeitsmandanten mit SU21 zu generieren.

Anlegen einer Rolle namens Z_SAP_ALL oder Pflege der bestehenden Rolle: Die Rolle sollte im Beschreibungsfeld zum Beispiel eine Kurzbeschreibung der durchgeführten Detail-Änderungen beinhalten, damit auch Adhoc eine Anleitung zur Neuerstellung im System verfügbar ist.

Die Rolle wird im Berechtigungseditor aufgerufen:


Sollte die Rolle schon existieren, im Expertenmodus “Profil löschen und neu anlegen” auswählen.


Es wird absichtlich keine Vorlage gewählt.


Bearbeiten -> Aus Profil…


Profil SAP_ALL selektieren.


Alle Berechtigungen einfügen.

Danach Org-Ebenen pflegen (Gesamtberechtigungen, “*”).


An dieser Stelle sollte die oberste Ampel “grün” zeigen.

Berechtigungsoptimierung der RFC-Schnittstellenbenutzer

Wie kann man die für SAP RFC-Schnittstellen erforderlichen Berechtigungen ohne Ausfall der Schnittstelle auf dem SAP-Produktivsystem optimieren?

2 Rückbau der Berechtigungen / Detail-Anpassungen im Editor:

In den Berechtigungen der Rolle Z_SAP_ALL sind nun folgende Anpassungen durchzuführen. Die Objekte können über Strg-F einfach gesucht werden.

  1. Debug nur mit Anzeige – B-Objekt: S_DEVELOP – Aktivität von “*” auf 03 (anzeigen)
  2. Löschen von Änderungsbelegen – B-Objekt. S_SCD0 – Aktivität von “*” (all) auf 08 (anzeigen)
  3. Bearbeiten von Anwendungslog (nur Anzeige) – B-Objekt: S_APPL_LOG – Aktivität von “*” (all) auf “03” (anzeigen)
  4. Aktionen auf TemSe-Objekte (nur Anzeige) – B-Objekt S_TMS_ACT – Aktivität von “*” (all) auf “REA” (anzeigen)
  5. Systemberechtigungen – B-Objekt S_ADMI_FCD – Alle Aktivitäten außer RSET

OPTIONAL: Direktes Zuordnen von SAP_ALL unterbinden: Benutzerstammpflege: Berechtigungsprofil – B-Objekt : S_USER_PRO –  Zulässige Berechtigungsprofile (PROFILE) = /* bis SAP_ALK und SAP_ALM bis Z*

3 Nacharbeiten

Danach wie gewohnt generieren und transportieren. Das Vorgehen muss jedes Mal wiederholt werden, wenn SAP_ALL neu generiert wird (z.B. weil neue Berechtigungsobjekte importiert wurden).

Siehe auch – Bereinigung RFC User – SAP_ALL entfernen: https://rz10.de/angebot/berechtigungsoptimierung-der-rfc-schnittstellenbenutzer/

War dieser Artikel hilfreich für Sie? Ich freue mich über ein kurzes Feedback, zum Beispiel unter diesem Beitrag.

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Berechtigungen und Security


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

6 Kommentare zu "Z_SAP_ALL: Erstellung eines reduzierten SAP_ALL"

SAP liefert für diesen Zweck auch den Report REGENERATE_SAP_APP aus. Mit diesem Report kann eine Rolle generiert werden, die alle Berechtigungsobjekte enthält. Man kann bei der Generierung auswählen, ob z. B. HCM- oder Basis-Objekte ausgeschlossen werden sollen.

Hallo Herr Gehrer.
Danke für den Hinweis! Es gibt dazu auch mehrere SAP Notes, hier mal ein Einstieg: 2015655 – REGENERATE_SAP_APP | functional enhancement (https://launchpad.support.sap.com/#/notes/2015655)
Mit freundlichen Grüßen
Tobias Harmes

Sehr geehrter Herr Harmes,

ich habe Ihre Doku gelesen, wie man ZSAP_ALL Rolle anlegen kann und ich fand die Rolle ist sehr gut. Einige Berechtigungen wurden eingeschränkt. Es hat bei mir gut funktioniert. Nun habe ich eine erweitere Anforderung. Wie kann ich von diese Rolle SU01 und alle HR-Transaktionen ausschließen? ich habe versucht alle HR-Berechtigungobjekte, zB: P_CH_PK, P_DE_BW usw zu inaktivieren, aber es hat leider nicht funktioniert. Ich konnte immer noch die HR-Transaktion zB: CAPS, BCMK aufrufen.

Vielen Dank für Ihre Rückmeldung im Voraus.

Mit freundlichen Grüße

Nam Do

Hallo Herr Do.

Das Thema HR aus einem SAP_ALL herauszubekommen ist eine ziemlich undankbare Aufgabe. Sie könnten Tabellen (S_TABU_DIS und S_TABU_NAM) Berechtigungen um die P*-Bereiche ausklammern. Dann würden Sie zwar in die Transaktionen reinkommen, aber sehr wahrscheinlich wenig sehen und machen können. Ein anderer Weg ist die Nutzung von REGENERATE_SAP_APP (siehe Hinweis 1703299). Mit dem kann man eine SAP_APP-Roll (nicht zu verwechseln mit SAP_ALL) bauen, die keine HR-Objekte enthält -> Option “Keine HCM-Objekte aufnehmen”. Man kann auch eine Variante ohne Basis bauen. In neueren Systemen ist dieser Report auch über die Transaktion SU25 erreichbar. Allerdings ist das natürlich auch immer noch keine 100% sichere Sache. An irgendeiner Stelle muss man dann doch überlegen, ob es nicht nachhaltiger ist, eine passende Rollen neu zu bauen als eine (zu) große Rolle zu reduzieren.

Mit freundlichen Grüßen
Tobias Harmes

Hallo,
vielen Dank für den hilfreichen Artikel. Gibt es eine Standard Exceldatei oder eine Übersicht, die Rolleninhalte-Vorschläge für Entwickler bereitstellt? Also sowas wie Entwicklung, SE80, SPRO, Transport, Debuggen usw.?
Freue mich über Ihre Hilfe.

Hallo,
es gibt die Möglichkeit eines reduzierten SAP_ALL für das DEV-System wie im Artikel beschrieben. Da fehlt allerding S-DEVELOP mit Debug-Replace. Debuggen geht dann nur im Lesemodus. Das ist aber etwas, was ein Entwickler ab und zu doch nochmal benötigt. Wenn das bei Ihnen der Fall ist, müsste der Punkt S-DEVELOP vielleicht nochmal hinterfragt werden.
Ich hoffe, ich konnte Ihnen helfen!
Viele Grüße
Tobias Harmes

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support