Wie du deine Rollen und Berechtigungen im SAP ERP & S/4HANA analysierst

In diesem Beitrag liegt der Schwerpunkt auf der Analyse von Rollen und Berechtigungen im SAP ERP und S/4HANA. Wir starten mit den bekannten SAP ERP-Transaktionen, denn auch unter S/4HANA werden Backend-Berechtigungen auf diese Art geprüft und vergeben. Im Anschluss zeige ich dir, wie du für Fiori-APPs die zugehörigen Business Roles (=Berechtigungen) und Business Catalogs (=Fiori-Menü) findest.

Wenn du hingegen erfahren möchtest, wie sich Einzel- und Sammelrollen zusammensetzen und welche Grundsätze du beim Entwurf von Berechtigungen befolgen solltest, dann schau dir doch den Beitrag Rollen- und Berechtigungskonzept in SAP-Projekten an.

Wir starten mit einer einfachen Frage: welche Rollen sind deinem SAP-Benutzer eigentlich zugeordnet? Mit der Transaktion SU01 kannst du dir deinen (oder andere) SAP-Benutzer ansehen. Neben vielen anderen Informationen findest du auf dem Reiter “Rollen” die zugeordneten Einzel- und Sammelrollen.

Um diese Frage zu beantworten steigst du mit der Transaktion PFCG ein – die Mutter aller Transaktionen im Umfeld der SAP-Rollen und -Berechtigungen. Wähle eine Rolle aus und klicke auf den Reiter “Benutzer”.

Klicke in der PFCG oben im Menü auf Hilfsmittel > Änderungen anzeigen, um dir die Änderungsbelege anzeigen zu lassen. Du siehst eine detaillierte Auflistung, welcher Benutzer wann welche Änderung an welchem Objekt vorgenommen hat.

Auch hierbei startest du die Transaktion PFCG und lässt dir eine Rolle anzeigen. Verzweige dann auf den Reiter Berechtigungen und klicke auf den Button mit der “Brille” (unten links): Berechtigungsdaten anzeigen.

Du möchtest eine Transaktion starten, hast aber keine Berechtigungen? Oder der komplexere Fall: Du öffnest die ME23N (Bestellung anzeigen), siehst aber keine Einkaufspreise? Starte direkt danach die Transaktion SU53, um eine Berechtigungsprüfung durchzuführen. Dir werden die fehlenden Berechtigungsobjekte “rot” angezeigt.

Du kannst die SU53 auch für anderen Benutzer ausführen, indem du im Menü auf Berechtigungswerte > Andere Benutzer klickst und den entsprechenden SAP-Benutzernamen eingibst:

Das Benutzerinformationssystem ist ein mächtiges Werkzeug, mit dessen Hilfe du diverse Auswertungen durchführen kannst:

• In welchen Rollen ist die Transaktion ME23N enthalten?
• Welche Transaktionen darf ein bestimmter Benutzer ausführen (siehe auch Report RSUSR010)?
• Welche kundenindividuellen Berechtigungsobjekte gibt es im SAP-System?
• Wie unterscheiden sich zwei Rollen (siehe auch Report RSUSR050)
• …

Lasse dir bspw. alle kundenindividuellen Berechtigungsobjekte anzeigen, indem du die Transaktion SUIM aufrufst, auf Berechtigungsobjekte und danach auf die Uhr neben „nach Objektname, -text“ klickst.

Gib bspw. “Z*” ein und führe die Transaktion mit F8 aus. Als Ergebnis siehst du eine Liste aller kundenindividuellen Berechtigungsobjekte.

Mit dem Report RSUSR050 kannst du Benutzer, Rollen oder Berechtigungen innerhalb eines SAP-Systems oder systemübergreifend vergleichen. Starte hierzu die Transaktion SE38 und führe den o.g. Report aus.

Mit dem Berechtigungstrace kannst du aufzeichnen, welche Berechtigungsobjekte von einem Benutzer verwendet werden. Dies hilft bspw. bei der Erstellung geeigneter Rollen:

• Rufe die Transaktion STAUTHTRACE auf
• Gib den gewünschten Benutzer an und starte den Trace
• Lasse den Benutzer seine Transaktion aufrufen
• Stoppe den Trace (Wichtig, nicht vergessen!)
• Werte die Ergebnisse aus

Beim Aufruf einer Transaktion, wie bspw. die ME23N, werden diverse Berechtigungsobjekte geprüft. Eine Übersicht erhältst du wie folgt: Rufe die Transaktion SU22 (SAP-Tabellen) oder SU24 (Kunden-Tabellen) auf, gib bei „Transaktionscode“ bspw. „ME23N“ ein und führe die Transaktion aus. Als Ergebnis werden dir alle Berechtigungsobjekte angezeigt, die beim Aufruf der Transaktion ME23N geprüft werden.

Um eine Fiori-APP verwenden zu können, benötigt der SAP-Benutzer die zugehörige Business Role (=Berechtigungsrolle, vergeben im SAP Gateway) und die erforderlichen Backend-Berechtigungen (vergeben im SAP ERP bzw. S/4HANA). Zudem bietet es sich an, dem SAP-Benutzer ein Standard-Menü zuzuordnen (=Business Catalog).

Für jede Fiori APP findest du alles in der SAP Fiori Library. Suche zum Beispiel nach Monitor Purchase Order Items (App-ID F2358), eine Weiterentwicklung der ME2L. Gehe dann auf den Reiter IMPLEMENTATION INFORMATION und scrolle nach unten. Du findest: