Dienstag, 13. Oktober 2015
22:17 Uhr
22:17 Uhr
SAP Basis Basic oder dank SU53 oder ST01 Trace oder STAUTHTRACE fehlende Berechtigungen finden
Seit meiner Diplomarbeit habe ich mich nicht mehr ganz so intensiv mit Fragen im Bereich des Berechtigungswesen von SAP auseinander gesetzt. Dennoch kommen in der täglichen Praxis immer einmal wieder Fragen zum damaligen Berechtigungskonzept oder bei der Umsetzung von Berechtigungen im Umfeld zum Berichtswesen als Thema auf. So ist mir letztens im Rahmen einer Schulung aufgefallen, dass eine andere Einrichtung tatsächlich Berechtigungen auf Innenauftragsgruppen vergibt. Die Umsetzung dazu fand ich damals schon im Forumsbeitrag auf fico-forum.de sehr spannend. Die Diskussion von damals ist unter "Berechtigungen auf Innenauftragsgruppen" sehr gut dokumentiert (allerdings hatte die Umsetzung aber irgendwie nicht mehr komplett in Erinnerung).
Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.
Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE zu finden.
Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.
Im Exxsense Developer Blog wird im Artikel "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.
Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.
Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.
So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.
Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.
Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.
Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.
Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.
Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.
Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.
Hinweis: Aktuelle Buchempfehlungen besonders SAP Fachbücher sind unter Buchempfehlungen inklusive ausführlicher Rezenssionenzu finden. Mein Weiterbildungsangebot zu SAP Themen finden Sie auf unkelbach.expert.
Immerhin lebt die tägliche Arbeit auch davon, dass man sich mit Kolleginnen und Kollegen austauscht und so brachte letztens ein Telefonat mit einen Kollegen eine für mich neue und spannende Erkenntnis. Bisher war mir die Transaktion SU53 durchaus bekannt und häufig die Lösung wenn irgendwelche User ein Berechtigungproblem hatten um hier direkt per Screenshot zu erfahren, welche Berechtigungfeldwerte mit einer negativen Berechtigungsprüfung versehen waren.
Berechtigungtrace
Notfalls bestand auch immer noch die Möglichkeit, wie im Artikel "Anleitung Berechtigungstrace über ST01" beschrieben einen Berechtigungtrace auszuführen. Hier ist auch ein Verweis auf eine gute Beschreibung des Berechtigungtrace im Exxsense Developer Blog auf den Artikel "Berechtigungs-Trace" zu finden in dem dieser mit Screenshots sehr ausführlich beschrieben wird. Die neuen Funktionen in der SAP SU53 und im SAP Berechtigungs-Trace sind dabei in einen Artikel auf rz10.de ebenfalls ausführlich beschrieben.Hier ist auch ein Hinweis auf die neue Transaktion STAUTHTRACE zu finden.
STAUTHTRACE
Eine aktuelle Alternative zur Berechtigungsanalyse ist die Transaktion SAUTHTRACE, die ihren Schwerpunkt auf Berechtigungsprüfung legt und damit eine interessante Alternative zum Berechtigungstrace über die Transaktion ST01 bietet.Eine entsprechende Beschreibung ist im Artikel "Transaktion STAUTHTRACE - Systemtrace zur Aufzeichnung von Berechtigungsprüfungen verwenden" im Blog "SAP Basis und Solution Manager" beschrieben.
Im Exxsense Developer Blog wird im Artikel "Berechtigungs-Trace" der Berechtigungstrace mit Screenshots sehr ausführlich beschrieben.
SU53 für andere Benutzer auswerten
Eine bis zum Telefonat für mich unbekannte Funktion der SU53 ist es jedoch, dass beim Aufrufen der Transaktion über das Menü BERECHTIGUNGSWERTE->ANDERER BENUTZER oder über die Symbolleiste mit der Schaltfläche "Benutzer (F5)" (oder eben F5) die Berechtigungsprüfung für einen anderen User angezeigt werden.Hierbei liefert die Transaktion SU53 alle geprüften Berechtigungobjekte (mit Worten) für einen Vorgang innerhalb SAP und mit der neuen Version auch inklusive der Uhrzeiten der jeweiligen Berchtigungprüfungen.Das Layout der Berechtigungübersicht lässt sich über den Parameter SU53_STYLE steuern. Als Tree wird hier die Möglichkeit gegeben sich durch die Berechtigungobjekte in Form eines Kataloges zu hangeln. Bei CLASSIC (Standard) erfolgt eine entsprechend umfangreiche Liste der Berechtigungen.
Interessant in diesen Zusammenhang dürfte es auch sein, dass mit der Transaktion SU56 alle vorhandenen Berechtigungobjekte und Feldwerte (inkl. Rollenbezeichnung) für den eigenen Benutzerstamm ausgegeben werden.
Benutzerabgleich für Rollen und Profile mit PFUD
Ein häufiger Fehler bei nicht vorhandenen Berechtigungen kann neben tatsächlich fehlenden Berechtigungwerten in den einzelnen Rollen auch ein fehlender Benutzerabgleich gewesen sein.So erfolgt eine Zuweisung einer Rolle im Benutzerstamm über einen bestimmten Zeitraum. Sofern die User bei Zuweisung noch angemeldet sind, kann es sein, dass die aktualisierten Rollen noch nicht beim Benutzer hinterlegt sind. Innerhalb der Berechtigungrollen sind grundsätzlich alle Berechtigungobjekte inklusive der Ihnen zugewiesenen Berechtigungfeldwerten hinterlegt aus denen ein entsprechendes Berechtigungprofil generiert wird. Daher werden Berechtigungen auch in der Transaktion PFCG gepflegt. So sind diese Benutzerzuordnungen aus der Benutzeradministration (SU01) auch im Reiter Benutzer innerhalb der Rollen zu finden. Die Berechtigungdaten sind in Profilen den Benutzern wiederum zugewiesen. Um die Konsistenz der Benutzerstammsätze sicherzustellen kann es hier erforderlich sein einen Benutzerabgleich durchzuführen. Hierdurch werden die Berechtigungprofile von gültigen Benutzerzuordnungen zur Rolle im System eingetragen und die Berechtigungen dadurch direkt den Benutzern als Profil zugewiesen.
Innerhalb der Rollenpflege (Transaktion PFCG) sind nicht abgeglichene Benutzer durch eine gelbe Markierung und einer roten Ampel auf den Reiter Benutzerabgleich ausgewiesen. Steht die Anzeige auf Gelb sind die Benutzer zwar zugeordnet aber der Benutzerabgleich nicht aktuell ist. Die Statusanzeige auf dem Register der Benutzer innerhalb der Rolle zeigt an, ob der Rolle bereits Benutzer zugeordnet sind oder nicht. Wenn die Anzeige auf rot steht, sind keine Benutzer zugeordnet, wenn sie auf grün steht ist mindestens ein Benutzer zugeordnet. Steht die Anzeige auf gelb, so bedeutet dies, dass zwar Benutzer zugeordnet sind, dass aber der Benutzerstammabgleich nicht aktuell ist.
Um einen solchen Benutzerabgleich durchzuführen ermöglicht SAP eine automatische Anpassung der Rechte der Benutzer über den Report „PFCG_TIME_DEPENDENCY“. Dieser Report kann über die Transaktion PFUD aufgerufen werden. Nach Aufruf der Transaktion kann die Option "Benutzerstammabgleich durchführen" gewählt werden und unter Bearbeitungart die Option "Profilabgleich" ausgewählt werden. Sollten Sie auch Sammelrollen einsetzen bietet es sich an, hier auch die Option "Sammelrollenabgleich" zu wählen.
Maximale Anzahl zugeordneter Profile je Benutzer
Ein am Rande erwähnter spannender Aspekt an Sammelrollen. Laut OSS Hinweis 841612 ist die maximale Anzahl an zugeordneten Rollen je Benutzer auf 300 lesend beschränkt. Wobei in der täglichen Praxis dieses eher ein exotisches Berechtigungproblem darstellen dürfte. Schon daher kann es sinnvoll sein viele organisatorische Berechtigungen tatsächlich zu einer Rolle zusammenzufassen. Gerade bei Wissenschaftlern die nicht nur im Fachbereich einzelne Projekte bearbeiten sondern auch in unterschiedlichen Instituten oder zentralen Einrichtungen tätig sind, kann es daher sinnvoll sein, die oftmals als kritisch betrachteten auf die einzelne Person zugeschnittene Berechtigungsrolle zu erstellen.Berechtigungkonzept und weitere Themen rund um Berechtigungen
Wobei dieses auch eine Frage des lokalen Berechtigungkonzeptes ist und bei der Konzeption der Trennung von operativen und funktionalen Berechtigungen auch die Frage zu berücksichtigen ist, wie vielfältig eine Ausprägung dieser Berechtigungen in Zukunft sein wird. Daher stellt sich die Frage, wie dieses bei der lokalen Gestaltung berücksichtigt wird.
Neben den Berechtigungen und der Steuerung von Berechtigungfeldwerten und weiteren Punkten, sollte dabei auch berücksichtigt werden, wie dieses zu bewerkstelligen ist.
Einen Teil des KnowHow über Berechtigungen kann über Bücher ebenso wie über Blogs angelesen werden. Einige der in meiner Blogroll empfohlenen Blogs beschäftigen sich mit diesen Thema, aber auch hier sind unter den Tag "Berechtigung" einige Beiträge zu finden.
Im Rahmen des Berechtigungskonzeptes sollte aber auch die Usability nicht zu kurz kommen, daher dürfte auch der Artikel "Benutzereigene SAP Menüs (Favoriten, Benutzermenü, Bereichsmenü)" ein spannendes Thema sein, ebenso wie auch bei der Nutzung von SAP Query das Thema im Artikel "SAP Query: Berechtigung (organisatorisch und technisch)" ausführlicher beschrieben ist.
Berechtigungsmassenpflege
An dieser Stelle auch der Hinweis auf die Artikel "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen sowie Massenänderungen von Berechtigungsfeldwerten mit PFCGMASSVAL" und "Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)".
ein Angebot von Espresso Tutorials
unkelbach.link/et.books/
unkelbach.link/et.reportpainter/
unkelbach.link/et.migrationscockpit/
Diesen Artikel zitieren:
Unkelbach, Andreas: »SAP Basis Basic oder dank SU53 oder ST01 Trace oder STAUTHTRACE fehlende Berechtigungen finden « in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 13.10.2015, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=648 (Abgerufen am 23.11.2024)
3 Kommentare - Permalink - SAP
Artikel datenschutzfreundlich teilen
🌎 Facebook 🌎 Twitter 🌎 LinkedIn