Praxishandbuch SAP-Berechtigungswesen

4.1 Profilgenerator: Upgrade und Erstinstallation

Die Transaktion SU25 (Abbildung 4.1) bündelt Aktionen zur Installation und zum Upgrade des Profilgenerators (Transaktion PFCG).

Abbildung 4.1: Einrichtung/Upgrade des Profilgenerators – Aktionen

Die unter Installation des Profilgenerators aufgeführten Aktionen müssen nur einmalig, direkt nach der Installation eines SAP-Systems, ausgeführt werden.

Unter Nacharbeiten der Einstellungen … gelistete Tätigkeiten sollten nach jedem Upgrade eines SAP-Systems vorgenommen werden. Ansonsten laufen Sie Gefahr, dass nach dem Upgrade der Profilgenerator bei einer Rollenpflege nicht mehr in der Lage ist, geeignete Vorschläge für Berechtigungswerte zu machen.

Die Nacharbeiten werden üblicherweise zunächst auf dem Entwicklungssystem durchgeführt und müssen nicht notwendigerweise auf den Folgesystemen noch einmal erfolgen. Der Transportanschluss gestattet es Ihnen, die vorgenommenen Anpassungen auf die Folgesysteme zu transportieren.

Optionale Anpassungsmöglichkeiten sind unter gelistet. Insbesondere die Aktion Prüfkennzeichen in Anwendungen ist für Sie relevant, wenn Sie Eigenentwicklungen betreiben, für die Sie Berechtigungsprüfungen definiert haben. Damit der Profilgenerator für diese Eigenentwicklungen sinnvolle Berechtigungsvorschläge machen kann, müssen Sie hier mithilfe der Transaktion SU24 die notwendigen Informationen hinterlegen.

Wie in Kapitel 2 dargestellt, ist es prinzipiell auch möglich, Berechtigungen direkt in manuell erzeugte Profile einzutragen. Dies ist zwar heutzutage absolut nicht mehr üblich, aber selbst die SAP liefert noch solche Profile aus, z.B. das Profil SAP_ALL. Die unter aufgeführten Aktionen erlauben es Ihnen, Rollen zu den manuell erzeugten Profilen zu generieren, die Sie dann anstelle der Profile verwenden können.

Unter Allgemeine Wartung für Vorschlagswerte finden Sie Aktionen, die Ihnen bei Inkonsistenzen helfen, in den Vorschlagswerten die notwendigen Korrekturen durchzuführen. Inkonsistenzen können z.B. entstehen, indem die Definition eines Berechtigungsobjekts etwa durch Löschen oder Hinzufügen von Berechtigungsfeldern so abgeändert wird, dass die im System bereits vorhandenen Vorschlagswerte nicht mehr passen.

Für jede Aktion wird unter protokolliert, zu welchem Zeitpunkt und von wem sie ausgeführt wurde. Insbesondere nach einem Upgrade eines SAP-Systems sollten Sie prüfen, ob die unter aufgeführten Aktionen nach dem Upgrade auch tatsächlich gestartet wurden.

4.1.1 Initiales Füllen der Kundentabelle

SAP liefert Vorschlagswerte für Berechtigungen aus, die für bestimmte Transaktionen bzw. Service-Aufrufe relevant sind. Diese Vorschlagswerte werden SAP-seitig mithilfe der Transaktion SU22 gepflegt (Abbildung 4.2).

Abbildung 4.2: SAP-seitige Vorschlagswerte

Die Vorschlagswerte können Sie sich z.B. für Transaktionen anzeigen lassen:

Schränken Sie zunächst im Startbild die auszuwertenden Transaktionen ein.

Das Folgebild zeigt eine Aufstellung der zur Selektionsbedingung passenden Transaktionen. Wählen Sie eine Transaktion durch Klicken auf den Transaktionsnamen aus.

Zur gewählten Transaktion werden Berechtigungsobjekte gelistet, die bei der Ausführung der Transaktion potenziell zur Prüfung herangezogen werden können. Die Liste zeigt zunächst nur die Berechtigungsobjekte an, für die die SAP-Vorschlagswerte ausliefert. Die komplette Liste erhalten Sie, wenn Sie auf die Schaltfläche drücken. Welche Berechtigungsobjekte tatsächlich relevant werden, hängt davon ab, welche Aktionen ein Anwender konkret beim Ausführen der Transaktion aufruft.

Die Spalte Vorschlagsstatus gibt an, ob zum Berechtigungsobjekt Vorschlagswerte hinterlegt sind (Vorschlag mit Feldwerten) oder nicht (kein Vorschlag). Auch der Vorschlagsstatus Berechtigungsprüfung inaktiv ist möglich; er bedeutet, dass das Objekt bei der Standardkonfiguration der Transaktion nicht geprüft wird, eine Prüfung jedoch durch Aktivierung von Add-ons oder Business-Functions möglich ist.

Zu den Berechtigungsobjekten werden die Vorschlagswerte angezeigt. Betrachten wir einmal die Vorschlagswerte für das Objekt A_S_MD genauer: Für das Berechtigungsfeld ACTVT wird die Konstante F4 vorgeschlagen, für die Felder ANLKL und ASSET_TYPE sind keine Werte angegeben. Dies ist normalerweise immer dann der Fall, wenn SAP keine sinnvollen Vorschläge machen kann. Beim Feld ANLKL (Anlagenklasse) legt jeder SAP-Kunde die Werte für die Anlagenklasse individuell fest. Besondere Bedeutung haben die Vorschlagswerte, die mit einem Dollarzeichen beginnen, etwa $BUKRS für das Berechtigungsfeld BUKRS. Diese Vorschlagswerte kennzeichnen sogenannte Organisationseinheiten (kurz: OrgEinheiten oder OrgEbenen), deren konkrete Werte erst bei der Pflege einer Rolle festgelegt werden. Wird z.B. für $BUKRS der Wert »0001« gewählt, wird dieser Wert über alle Berechtigungsobjekte hinweg immer dort gesetzt, wo der Vorschlagswert $BUKRS eingetragen ist.

Transaktionen, für die es mindestens ein Berechtigungsobjekt mit dem Vorschlagsstatus »Vorschlag mit Feldwerten«, aber dennoch nicht gepflegte Vorschlagswerte gibt, werden mit einer gelben Ampel markiert.

Die Spalte Status zeigt an, bei welchem Berechtigungsobjekt die Vorschlagswerte komplett fehlen.

SAP liefert die Vorschlagswerte in Tabellen wie USOBX und USOBT aus. Grundsätzlich erlaubt die SAP, die Vorschlagswerte zu überarbeiten oder z.B. den Vorschlagsstatus auf »kein Vorschlag« zu setzen. Damit Änderungen seitens des Kunden bei einem Upgrade des Systems nicht verloren gehen, müssen die Vorschlagswerte in die Tabellen USOBX_C und USOBT_C kopiert werden. Der Profilgenerator wertet genau nur diese Tabellen aus! Änderungen an den Vorschlagswerten bzw. am Vorschlagsstatus kann der Kunde dann mithilfe der Transaktion SU24 vornehmen, ohne dass die Daten in den Tabellen USOBX und USOBT geändert werden.

Da die Tabellen USOBX_C und USOBT_C leer ausgeliefert werden, müssen die Vorschlagswerte nach Erstinstallation in die entsprechenden Kundentabellen kopiert werden (Abbildung 4.3).

Abbildung 4.3: Initiales Füllen der Kundentabellen

Starten Sie dazu die Aktion Initiales Füllen der Kundentabellen . Zunächst legen Sie fest, ob nur die von SAP ausgelieferten Vorschlagswerte kopiert werden sollen oder zusätzlich auch Vorschlagswerte von Partneranwendungen oder Eigenentwicklungen, die Sie selbst mithilfe der Transaktion SU22 gepflegt haben . Sobald Sie den Kopiervorgang starten, erhalten Sie einen Hinweis , was genau bei dem Kopiervorgang zu beachten ist. Nach erfolgter Kopie wird das Protokoll angezeigt , und in der Aktionsübersicht wird ein Ausführungsvermerk eingeblendet.

4.1.2 Automatischer Abgleich mit SU22-Daten

Bei einem Upgrade des Systems verändern sich möglicherweise Berechtigungsprüfungen in den Anwendungen und damit auch die von der SAP ausgelieferten Vorschlagswerte. Diese müssen erneut in die Kundentabellen übernommen werden (Abbildung 4.4).

Abbildung 4.4: Automatischer Abgleich der SU22-Daten

Bei dem automatischen Abgleich werden die SAP-Tabellen für die Vorschlagswerte mit den kundenspezifischen Tabellen verglichen. Sie können entscheiden, ob auch Eigenentwicklungen (kundeneigene) und Partneranwendungen berücksichtigt werden sollen . Der Abgleich sollte zunächst im Testmodus erfolgen, um eine Rückmeldung zu erhalten, ob der automatische Abgleich allein ausreichend ist. Mit Klick auf das Uhr-Icon starten Sie den Abgleich. Nach einiger Zeit erscheint eine Übersicht, bei welchen Transaktionen ein automatischer Abgleich möglich und bei welchen Transaktionen zusätzlich ein manueller Abgleich  notwendig ist, weil Sie bei diesen Transaktionen unter Umständen Anpassungen der Vorschlagswerte vorgenommen hatten.

Wiederholen Sie die Aktion nun im Echtmodus, indem Sie den Haken vor Testmode entfernen (Abbildung 4.5, ).

Abbildung 4.5: Automatischer Abgleich im Echtmodus

Das Ende des automatischen Abgleichs wird mit einer Meldung bestätigt .

4.1.3 Manueller Abgleich mit SU22-Daten

Wie gerade gesehen, wird ein automatischer Abgleich nicht immer ausreichend sein. Wenn Sie z.B. Änderungen an Vorschlagswerten vorgenommen haben, müssen Sie zusätzlich einen manuellen Abgleich durchführen (Abbildung 4.6).

Abbildung 4.6: Modifikationsabgleich – Übersicht

Starten Sie dazu die Aktion Modifikationsabgleich mit SU22-Daten . Zunächst erscheint eine Erläuterung zum Verfahren, danach eine Auflistung aller Transaktionen, für die ein manueller Abgleich erforderlich ist .

Markieren Sie zunächst die Transaktionen, für die Sie den Abgleich durchführen möchten ( in Abbildung 4.7), und starten Sie den Vorgang mit Klick auf Manueller Abgleich .

Im Folgebild sehen Sie links noch einmal eine Auflistung der abzugleichenden Transaktionen. Wählen Sie per Doppelklick die Transaktion aus, die Sie jetzt abgleichen möchten . Wenn Sie dann auf klicken, werden automatisch alle Berechtigungsobjekte markiert , bei denen es Abweichungen zwischen den Vorschlagswerten der SAP (SU22-Daten) und denen des Kunden (SU24-Daten) gibt. In der Spalte Sync. wird für die markierten Objekte das Icon angezeigt. Wenn Sie auf das Icon klicken, werden die SAP-Vorschlagswerte übernommen, d.h., die von Ihnen vorgenommenen Anpassungen an den Vorschlagswerten werden überschrieben .

Abbildung 4.7: Modifikationsabgleich für Transaktionen

Sie können den Status von Transaktionen, für die Sie den manuellen Abgleich durchgeführt haben, auf Geprüft setzen (Abbildung 4.8). Starten Sie dazu noch einmal den »Modifikationsabgleich mit SU22-Daten«, markieren Sie die Transaktionen und führen Sie die Aktion Setze Status Geprüft aus. Wenn Sie die Sicherheitsabfrage mit Ja beantworten, wird für die markierten Transaktionen der Status gesetzt. Die Transaktionen verschwinden damit aus der Liste der abzugleichenden Anwendungen.

Abbildung 4.8: Abgleichstatus setzen

4.1.4 Suche nach obsoleten Anwendungen

Gerade im Zuge einer Migration von SAP ERP zu SAP S/4HANA werden Transaktionen häufig durch neue Transaktionen ersetzt oder entfallen sogar gänzlich. Obsolete Transaktionen müssen aus den Rollenmenüs entfernt werden, ebenso die Berechtigungen, die für diese Transaktionen vergeben wurden. Die obsolet gewordenen Anwendungen können mithilfe der Transaktion SU25 ermittelt werden (Abbildung 4.9). Starten Sie dazu die Aktion Suche nach obsoleten Anwendungen . Im nächsten Schritt schränken Sie zunächst auf die zu überprüfenden Rollen ein. Da davon auszugehen ist, dass nach einem Upgrade die von der SAP ausgelieferten Rollen (Namensraum »SAP*«) bereits von SAP korrigiert im System vorliegen, sollten Sie diese SAP-Rollen von der Selektion ausschließen und erst dann die Suche starten .

Abbildung 4.9: Suche nach obsoleten Anwendungen

Sie erhalten eine Aufstellung aller Rollen, die obsolete Transaktionen im Rollenmenü enthalten , sowie für jede dieser Transaktionen einen Hinweis, ob die Transaktion automatisch aus dem Menü entfernt oder durch eine andere Transaktion ersetzt wird . Im Falle einer Ersetzung wird die neue Transaktion in der Spalte Neue Transaktion angezeigt.

Wenn Sie die Menüs der betroffenen Rollen nicht manuell überarbeiten möchten, können diese alternativ auch automatisch angepasst werden (Abbildung 4.10). Markieren Sie dazu die anzupassenden Rollen und starten Sie die Aktion Menü automatisch anpassen . Bestätigen Sie die Anpassung . In der Rollenübersicht werden die angepassten Rollen mit einer grünen Ampel markiert.

Abbildung 4.10: Austausch im Rollenmenü

Abbildung 4.11 zeigt beispielhaft eine automatisch erfolgte Anpassung für die Rolle MS_FIBU. Wie Sie erkennen, wurden die veralteten Menüeinträge (FD01 Debitor anlegen, FD02 Debitor ändern, …) durch die neue Transaktion BP Geschäftspartner bearbeiten ersetzt. Leider führt dies zu redundanten Menüeinträgen . Beachten Sie, dass durch die Änderung des Rollenmenüs auch die Berechtigungen überarbeitet werden müssen . Wenn Sie die Berechtigungspflege starten, werden die neu hinzugefügten Berechtigungen und die aktualisierten Berechtigungen explizit gekennzeichnet.

Abbildung 4.11: Menü- und Berechtigungsanpassung

4.1.5 Zu überprüfende Rollen

Änderungen an Vorschlagswerten seitens der SAP haben zur Folge, dass vorhandene Rollen u.U. überarbeitet werden müssen. Abbildung 4.12 zeigt, wie Sie davon betroffene Rollen ermitteln. Starten Sie die Aktion Zu überprüfende Rollen . Sollte die Überprüfung abbrechen, liegen sehr wahrscheinlich Inkonsistenzen in der Definition der Vorschlagswerte vor . Die vorgeschlagene Reparatur solcher Inkonsistenten ist in Abschnitt 4.1.6 beschrieben.

Abbildung 4.12: Zu überprüfende Rollen (Abbruch-Situation)

Liegen keine Inkonsistenzen vor, werden die anzupassenden Rollen angezeigt (Abbildung 4.13). Für die mit einer roten Ampel markierten Rollen können Sie über  simulieren, welche Änderungen an Berechtigungen bei einer tatsächlichen Abmischung vorgenommen werden, abzulesen in der Spalte Berechtigungsvergleich .

Abbildung 4.13: Zu überprüfende Rollen

Bevor Sie die Abmischung durchführen, sollten Sie unbedingt den für die markierten Rollen eingestellten Abmischmodus (Abbildung 4.14) überprüfen. Bei einem aktivierten Abmischmodus sind die abzugleichenden Rollen mit einer roten Ampel markiert. Durch Deaktivieren über die Funktion ändert sich das Icon in eine gelbe Ampel . Mit der Funktion aktivieren Sie den Modus wieder, und die Rolle erhält erneut eine rote Ampel.

Abbildung 4.14: Einfluss des Abmischmodus

Abbildung 4.15 zeigt den Vorgang einer Abmischung. Wählen Sie die abzumischende Rolle per Doppelklick auf den Rollennamen . Die Transaktion PFCG wird gestartet, die notwendige Korrektur an der Rolle automatisch durchgeführt und schließlich die komplett abgemischte Rolle angezeigt. In der Spalte Aktualisierungsstatus können Sie die vorgenommenen Anpassungen an den Berechtigungswerten ablesen . Gelöschte Berechtigungen/Berechtigungswerte werden separat ausgewiesen .

Abbildung 4.15: Abgleich bei aktiviertem Abmischstatus

Wenn Sie die Rolle jetzt sichern, werden die Änderungen in die Rolle übernommen, und der Status der Rolle wird auf »abgemischt« (grüne Ampel) gesetzt.

4.1.6 Konsistenzprüfung für Vorschlagswerte

Wird die Definition eines Berechtigungsobjekts grundlegend geändert, z.B. durch Hinzufügen eines Berechtigungsfeldes, sind die vorhandenen Vorschlagswerte für die Felder des Berechtigungsobjekts nicht mehr konsistent. Wie in Abbildung 4.12 dargestellt, kann dies im Extremfall dazu führen, dass sich z.B. Aktionen der Transaktion SU25 nicht ausführen lassen. Abbildung 4.16 zeigt, wie Sie eine Konsistenzprüfung für Vorschlagswerte durchführen.

Starten Sie dazu die Aktion Konsistenzprüfung für Vorschlagswerte . Bei Bedarf können Sie die Prüfung auf einzelne Berechtigungsobjekte einschränken ; ohne Einschränkung dauert die Prüfung mehrere Minuten!

Starten Sie die Prüfung . Die nachfolgende Trefferliste zeigt Ihnen an, für welche Berechtigungsobjekte und welche Anwendungen eine Inkonsistenz vorliegt.

Abbildung 4.16: Konsistenzprüfung für Vorschlagswerte

Über den Button können Sie für die betroffene Anwendung direkt die Transaktion SU24 aufrufen, um die Vorschlagswerte zu überarbeiten.

Abbildung 4.17 zeigt ein Beispiel, wie die Konsistenz wiederhergestellt werden kann (hier für die Transaktion TREA_RELEASE, Berechtigungsobjekt T_TREA_STA):
Mit dem Aufruf der Transaktion SU24 werden die Berechtigungsvorschlagswerte der Transaktion TREA_RELEASE ausgegeben. Da eine Bereinigung von Vorschlagswerten nur durch Löschen und Neuanlegen möglich ist, sollten Sie sich zum Berechtigungsobjekt T_TREA_STA sicherheitshalber die aktuellen Vorschlagswerte notieren. Setzen Sie nun den Vorschlagsstatus auf »Nein« . Damit werden die vorhandenen, inkonsistenten Vorschlagswerte gelöscht. Anschließend setzen Sie den Vorschlagsstatus wieder auf »Ja« . Es werden jetzt wieder die SU22-Vorschlagswerte eingesetzt, die die SAP mit dem Upgrade ausgeliefert hat.

Abbildung 4.17: Konsistenz der Vorschlagswerte herstellen

Daraufhin wird die korrekte Definition des Berechtigungsobjekts angezeigt, d.h., überschüssige Berechtigungsfelder sind gelöscht und neue wurden hinzugefügt. Ergänzen Sie anschließend wieder die zuvor notierten Berechtigungswerte, indem Sie hinter dem Feldnamen auf klicken und den erforderlichen Wert eintragen.