Wie du Rollen und Berechtigungen im SAP-System analysierst

Welcher SAP-Benutzer darf eigentlich worauf zugreifen? Und worin unterscheiden sich zwei ähnliche Rollen? Antworten auf diese und andere Fragen gibt es hier.

sap-rollen-berechtigungen-analysieren

In diesem Beitrag liegt der Schwerpunkt auf der Analyse von Rollen und Berechtigungen. Wenn du erfahren möchtest, wie sich Einzel- und Sammelrollen zusammensetzen und welche Grundsätze du beim Entwurf von Berechtigungen befolgen solltest, dann schau dir doch den Beitrag Rollen- und Berechtigungskonzept in SAP-Projekten an.

Welche Rollen hat mein Benutzer (SU01)?

Wir starten mit einer einfachen Frage: welche Rollen sind deinem SAP-Benutzer eigentlich zugeordnet? Mit der Transaktion SU01 kannst du dir deinen (oder andere) SAP-Benutzer ansehen. Neben vielen anderen Informationen findest du auf dem Reiter “Rollen” die zugeordneten Einzel- und Sammelrollen.

Welche Benutzer haben eine bestimmte Rolle (PFCG)?

Um diese Frage zu beantworten steigst du mit der Transaktion PFCG ein – die Mutter aller Transaktionen im Umfeld der SAP-Rollen und -Berechtigungen. Wähle eine Rolle aus und klicke auf den Reiter “Benutzer”.

Wann wurden welche Änderungen an einer Rolle vorgenommen (PFCG)?

Klicke in der PFCG oben im Menü auf Hilfsmittel > Änderungen anzeigen, um dir die Änderungsbelege anzeigen zu lassen. Du siehst eine detaillierte Auflistung, welcher Benutzer wann welche Änderung an welchem Objekt vorgenommen hat.

Welche Berechtigungsdaten hat eine Rolle (PFCG)?

Auch hierbei startest du die Transaktion PFCG und lässt dir eine Rolle anzeigen. Verzweige dann auf den Reiter Berechtigungen und klicke auf den Button mit der “Brille” (unten links): Berechtigungsdaten anzeigen.

Hilfe, ich habe keine Berechtigungen (SU53)!

Du möchtest eine Transaktion starten, hast aber keine Berechtigungen? Oder der komplexere Fall: Du öffnest die ME23N (Bestellung anzeigen), siehst aber keine Einkaufspreise? Starte direkt danach die Transaktion SU53, um eine Berechtigungsprüfung durchzuführen. Dir werden die fehlenden Berechtigungsobjekte “rot” angezeigt.

Du kannst die SU53 auch für anderen Benutzer ausführen, indem du im Menü auf Berechtigungswerte > Andere Benutzer klickst und den entsprechenden SAP-Benutzernamen eingibst:

Benutzerinformationssystem (SUIM)

Das Benutzerinformationssystem ist ein mächtiges Werkzeug, mit dessen Hilfe du diverse Auswertungen durchführen kannst:

  • In welchen Rollen ist die Transaktion ME23N enthalten?
  • Welche Transaktionen darf ein bestimmter Benutzer ausführen (siehe auch Report RSUSR010)?
  • Welche kundenindividuellen Berechtigungsobjekte gibt es im SAP-System?
  • Wie unterscheiden sich zwei Rollen (siehe auch Report RSUSR050)

Lasse dir bspw. alle kundenindividuellen Berechtigungsobjekte anzeigen, indem du die Transaktion SUIM aufrufst, auf Berechtigungsobjekte und danach auf die Uhr neben „nach Objektname, -text“ klickst.

Gib bspw. “Z*” ein und führe die Transaktion mit F8 aus. Als Ergebnis siehst du eine Liste aller kundenindividuellen Berechtigungsobjekte.

Wie vergleiche ich Rollen (RSUSR050)?

Mit dem Report RSUSR050 kannst du Benutzer, Rollen oder Berechtigungen innerhalb eines SAP-Systems oder systemübergreifend vergleichen. Starte hierzu die Transaktion SE38 und führe den o.g. Report aus.

Wie mache ich einen Berechtigungstrace auf einen Benutzer (STAUTHTRACE)?

Mit dem Berechtigungstrace kannst du aufzeichnen, welche Berechtigungsobjekte von einem Benutzer verwendet werden. Dies hilft bspw. bei der Erstellung geeigneter Rollen:

  • Rufe die Transaktion STAUTHTRACE auf
  • Gib den gewünschten Benutzer an und starte den Trace
  • Lasse den Benutzer seine Transaktion aufrufen
  • Stoppe den Trace (Wichtig, nicht vergessen!)
  • Werte die Ergebnisse aus

Welche Berechtigungsobjekte werden geprüft (SU22)?

Beim Aufruf einer Transaktion, wie bspw. die ME23N, werden diverse Berechtigungsobjekte geprüft. Eine Übersicht erhältst du wie folgt: Rufe die Transaktion SU22 (SAP-Tabellen) oder SU24 (Kunden-Tabellen) auf, gib bei „Transaktionscode“ bspw. „ME23N“ ein und führe die Transaktion aus. Als Ergebnis werden dir alle Berechtigungsobjekte angezeigt, die beim Aufruf der Transaktion ME23N geprüft werden.