Frage in deiner Firma bspw. bei der SAP-Basis und Revision nach Vorgaben für Berechtigungskonzepte und Richtlinien. Eventuell gibt es schon sehr klare Vorstellungen, wie dein Berechtigungskonzept auszusehen hat. Auch die rechtlichen Rahmenbedingungen müssen erfüllt werden. Wenn du dir einen Überblick verschaffen möchtest, konkrete Tipps suchst oder einfach nur bei Rollen und Berechtigungen im SAP mitreden können möchtest, schau dir diesen Beitrag an.
Grundsätze und Richtlinien
Über einem guten Berechtigungskonzept schweben einige Grundsätze und Richtlinien, wie bspw.:
Minimalprinzip / Principle of least privilege
- Dem Anwender sollten nur diejenigen Berechtigungen zugeteilt werden, die er auch zwingend benötigt.
- Beispiel: Der Key-User im Bereich Einkauf erhält keine Berechtigungen, Aufträge des Vertriebs anzulegen.
Funktionstrennung / Segregation of Duties
- Es gibt eine klare Trennung, welche Aufgaben von welchen Personen durchgeführt werden.
- Insbesondere werden einige Aufgaben nicht von derselben Person durchgeführt.
- Beispiel: 4-Augen-Prinzip bei der Rechnungsprüfung und -freigabe
Keine kritischen Berechtigungen
- Es werden keine Berechtigungen für kritische Transaktionen vergeben.
- Beispiel: SE16N, da direkter Zugriff auf alle Tabellen möglich (auch Personal)
Namenskonventionen
- Für die Benennung der Rollen gibt es ein einheitliches Schema.
- Alle Rollen erhalten zudem eine aussagekräftige Beschreibung.
- Beispiel: Z_<Organisationsebene>_<Hierarchieebene>_<Land>
Rollen
Mit einer SAP-Rolle ordnest du deinen Benutzern die erforderlichen Berechtigungen und Transaktionen zu. Der Fokus liegt in diesem Beitrag auf der Konzeption von Rollen für die Fachbereiche (Businessrollen). Darüber hinaus gibt es diverse andere Zielgruppen, für welche du Rollen entwerfen kannst:
- IT
- Revision
- externe Berater
- Firefighter / Notfall User mit fast allen Rechten für Notfälle. Alle Aktivitäten des Benutzers werden aufgezeichnet.
- Administrator
- Systembenutzer für Hintergrundjobs
- …
Was sind Sammel- und Einzelrollen?
SAP bietet dir mit dem Konzept der Sammel- und Einzelrollen ein tolles Hilfsmittel zur Strukturierung deiner Rollen an. Eine Sammelrolle kann als Abbildung eines Arbeitsplatzes verstanden werden, wie bspw. der Sachbearbeiter im Bereich Einkauf. Die Zuordnung der Berechtigungen und Transaktionen erfolgt auf der Ebene der Einzelrolle. Die Einzelrollen werden wiederum einer Sammelrolle zugeordnet. Eine Einzelrolle kann auch verschiedenen Sammelrollen zugeordnet werden. Mit Microsoft Excel kannst du eine strukturierte Übersicht erstellen:
- Auf der linken Seite definierst du die Sammelrollen.
- Mittels der Kreuze “x” ordnest du die Einzelrollen den Sammelrollen zu.
- Im unteren Bereich ordnest du den Einzelrollen die Transaktionen zu.
- Über Summenbildungen kannst du auswerten, wie oft eine Einzelrolle einer Sammelrolle zugeordnet ist, oder wie oft eine Transaktion einer Einzelrolle zugeordnet ist.
Wie Sammelrollen aufbauen?
Bilde mit einer Sammelrolle einen Arbeitsplatz ab. Für den Aufbau der Rollen gibt es diverse Möglichkeiten, versuche es doch mit einer Zusammensetzung aus: der Organisationsebene… Einkauf, Verkauf, Disposition, Rechnungswesen, Controlling, Produktion, Marketing, zentrale Stammdatenverwaltung, … … der Hierarchieebene … Sachbearbeiter, Key-User, Teamleiter, Bereichsleiter, … … und dem Land / Buchungskreis DE, FR, NL, CH, AT, BE, …
| Sammelrolle | Beschreibung |
| Z_EINKAUF_SB_DE | Einkauf Sachbearbeiter DE |
| Z_EINKAUF_KU_DE | Einkauf Key-User DE |
| Z_EINKAUF_TL_DE | Einkauf Teamleiter DE |
| … | … |
| Z_VERKAUF_SB_DE | Verkauf Sachbearbeiter DE |
| … | … |
Wie Einzelrollen aufbauen?
Auch für den Entwurf der Einzelrollen gibt es diverse Möglichkeiten. Versuche es doch mit einer Zusammensetzung nach SAP-Modul, Funktionalität und Land/Buchungskreis. Hinzu kommen ggf. Sonderrollen, wie allgemeine Grundrechte im SAP.
| Einzelrolle | Beschreibung |
| Z_XX_ALLGEMEIN | Allgemeine Grundrechte |
| Z_MM_ANZ_DE | MM Anzeige-Transaktionen |
| Z_MM_BEST_DE | MM Bestellungen |
| … | … |
| Z_SD_ANZ_DE | SD Anzeige-Transaktionen |
| … | … |
Rollen im SAP anlegen (PFCG)
Im SAP werden die Rollen mit der Transaktion PFCG angelegt. Wie das genau geht, können andere viel besser erklären. 😉 Für dich kann die Transaktion sehr hilfreich sein, wenn du die von nach deinem Berechtigungskonzept erstellten Rollen überprüfen möchtest.
Transaktionen
Welche Transaktionen zuordnen?
Deine Einzelrollen hast du definiert. Welche Transaktionen müssen jetzt zugeordnet werden? Ich empfehle dir, alle Quellen anzuzapfen, die dir zur Verfügung stehen:
- Wenn SAP-System schon besteht: analysiere, welche Transaktionen von welchen Benutzern aufgerufen werden (Transaktion ST03N)
- ggf. sind die Transaktionen je Geschäftsprozess im Solution Manager dokumentiert?
- Durchsuche die Projektdokumentation: Business Blueprints und Schulungsunterlagen geben oftmals gute Hinweise.
- Durchforste den SAP Menü-Baum
- Frage erfahrene Key-User und Berater
Einschränkungen über Berechtigungsobjekte
Die Einschränkung nach einer Transaktion reicht dir noch nicht aus? Beispielsweise darf ein Sachbearbeiter zwar Bestellungen sehen, aber bitte nur die Normalbestellungen mit der Belegart NORM. Über die Transaktion PFCG und Aussteuerung der Berechtigungsobjekte kannst du deine Rollen sehr fein abstimmen. Weitere Beispiele:
- Einzelrollen für Deutschland sollen auch nur Berechtigungen für den Buchungskreis Deutschland (bspw. 1000) erhalten
- Kundenaufträge dürfen nur mit der Belegart Z01 angelegt werden
- Es dürfen keine Preise in Bestellung angezeigt werden
- Es gilt grundsätzlich nur der Lesezugriff (Read)
- …
SAP-Benutzer
Wie dem Benutzer eine Rolle zuordnen?
Für die Zuordnung der Rolle zum Benutzer gibt es zwei Wege: Rolle(n) dem Benutzer zuordnen:
- Rufe die Transaktion SU01 auf (Für die Massenpflege SU10)
- Verzweige auf den Reiter Rollen
- Weise die gewünschte Sammelrolle zu
- Einzelrollen werden automatisch zugeordnet
Benutzer der Rolle zuordnen:
- Rufe die Transaktion PFCG auf
- Suche die gewünschte Sammelrolle
- Verzweige auf den Reiter Benutzer
- Füge alle gewünschten SAP-Benutzer hinzu
Benutzerparameter vorbelegen
Für neue SAP-Benutzer kannst du Benutzerparameter mit der Transaktion SU01 (Massenpflege SU10) vorbelegen. Wenn bspw. für den SAP-Benutzer Müller die Einkäufergruppe 007 mit dem Parameter EKG eingestellt ist, wird bei der Anlage einer Bestellung die zugehörige Einkäufergruppe automatisch gezogen. Du erleichterst dem Anwender somit ggf. den Einstieg in die SAP-Welt. Anbei ein paar Beispiele:
| Parameter-ID | Beschreibung |
| BUK | Buchungskreis |
| LAG | Lagerort |
| EKO | Einkaufsorganisation |
| EKG | Einkäufergruppe |
| SPA | Sparte |
| VKB | Verkaufsbüro |
| VKG | Verkaufsgruppe |
| VKO | Verkaufsorganisation |
| VTW | Vertriebsweg |
| … | … |
Nimm die gewünschten Parameter in dein Berechtigungskonzept auf.
Rollen und Berechtigungen analysieren
An dieser Stelle zeige ich dir nur in Kurzform ein paar Analyse-Transaktionen. Wenn dich das Thema im Detail interessiert, schau dir doch den Beitrag Wie du Rollen und Berechtigungen im SAP-System analysierst an.
Berechtigungsdaten einer Rolle anzeigen:
- Rufe die Transaktion PFCG auf
- Einzelrolle suchen
- Verzweige auf den Reiter Berechtigungen
- Button (Brille unten links): Berechtigungsdaten anzeigen
Berechtigungsobjekt suchen:
- Rufe die Transaktion SUIM auf
- Klicke auf Berechtigungsobjekte
- Klicke auf die Uhr neben „nach Objektname, -text“
- Um nach kundenindividuellen Berechtigungsobjekten zu suchen, gib bspw. “Z*” ein und führe die Transaktion aus
Für eine Transaktion alle Berechtigungsobjekte anzeigen
- Rufe die Transaktion SU22 (SAP-Tabellen) oder SU24 (Kunden-Tabellen) auf
- Gib bei „Transaktionscode“ bspw. „ME23N“ ein
- Führe die Transaktion aus
- Es werden dir alle Berechtigungsobjekte angezeigt, die beim Aufruf der Transaktion ME23N geprüft werden
Rollen testen
Abschließend solltest du deine Rollen testen. Es empfehlen sich sowohl Positiv-Tests (funktioniert meine Berechtigung) als auch Negativtests (Habe ich keinen Zugriff auf eine bestimmte Transaktion). Solltest du auf ein Berechtigungsproblem stoßen, kannst du im Anschluss direkt die Transaktion SU53 ausführen. Hier werden dir die fehlenden Berechtigungen angezeigt. Die SU53 kannst du auch für andere Benutzer aufrufen. Ist das Berechtigungsproblem komplexer, empfehle ich auf den entsprechenden Benutzer einen Trace laufen zu lassen:
- Rufe die Transaktion STAUTHTRACE auf
- Gib den gewünschten Benutzer an und starte den Trace
- Lasse den Benutzer seine Transaktion aufrufen
- Stoppe den Trace
- Werte die Ergebnisse aus
Deine Rollen solltest du dir zudem durch die Revision und/oder externe Prüfer abnehmen lassen. Konntest du dir einen Überblick verschaffen, wie ein Berechtigungskonzept für ein SAP-System aussehen kann? Wie hast du deine Rollen umgesetzt?