Xiting Best Practice Rollenbau – Optimaler Rollenbau mit PFCG & SU24
„Wie baut man wartbare und saubere Rollen im SAP ERP, die ein nachhaltiges Rollendesign ermöglichen?“ – Eine der wichtigsten Fragen im Bereich des Berechtigungswesens, der wir im nachfolgenden Artikel auf die Spur gehen wollen. Im Hinblick auf diese Fragestellung muss man sich zuerst bewusstmachen, welche Funktionen diese neuen Rollen ermöglichen sollen. Zum anderen steht die Nachhaltigkeit, also wie man diese Rollen in Zukunft ausbauen und optimieren kann, im Vordergrund. Um diese Ziele aktiv umzusetzen, ist es notwendig, im Einklang mit den Transaktionen „PFCG“ und „SU24“ zu arbeiten. Dadurch können Sie langfristig ein wartbares Rollenkonstrukt bauen. Wenn Sie die Methodik im nachfolgenden Beitrag beachten, wird Ihnen der generierte Mehrwert bald Ihre Rollenwartung erleichtern.
Table of Contents
Was ist die „PFCG“?
Um Endbenutzern die Arbeit in einem SAP System zu ermöglichen, benötigen diese User entsprechende Rollen, um die Funktionen auszuführen. In den Rollen sind Profile mit Zugriffsberechtigungen enthalten. Der Kerninhalt dieser Profile sind die Berechtigungsobjekte. Erst die Objekte ermöglichen die Ausführung gewünschter Funktionalitäten und Anwendungen, denn sie stellen die Zugriffsbeschränkung auf bestimmte Systeminhalte dar. Um Rollen zu erstellen, zu ändern oder zu löschen benötigen Sie die Transaktion „PFCG“, das Rollenpflegemenü. Dabei können Sie zunächst der Rolle einen Namen gemäß Ihrer Namenskonvention vergeben und diese daraufhin nach Ihren internen und externen Richtlinien pflegen.
Nachdem Sie in der Rolle eine entsprechende Beschreibung hinterlegt haben, sollten Sie für die Pflege vor allem die Reiter „Menü“ und „Berechtigungen“ genauer betrachten. Wenn Sie Transaktionen, aber auch Web-Dynpros oder andere Berechtigungsvorschläge in Ihre Rolle integrieren möchten, sollten Sie diese immer durch das Rollenmenü implementieren. Damit garantieren Sie, dass die SAP Berechtigungsvorschlagswerte aus der SU24 übernommen werden. Die Wichtigkeit und die Vorzüge durch Hinzunahme der SU24 werden wir im nachfolgenden Punkt nochmal genauer unter die Lupe nehmen. Neben der Rollenpflege über das Menü ist es für einen granularen Rollenbau außerdem notwendig, die Berechtigungen ordnungsgemäß zu pflegen. Dabei empfehlen wir Ihnen auf die vier Status der Berechtigungen zu achten:
- „Gepflegt“: Offene Felder der Vorschlagswerte wurden ordnungsgemäß gepflegt.
- „Standard“: Werte des Berechtigungsobjektes wurden bereits durch die SU24 hinterlegt.
- „Manuell“: Gesamtes Berechtigungsobjekt wurde manuell, ohne Pflege der Rolle über das Rollenmenü, hinzugefügt.
- „Verändert“: SU24 Vorschlagswerte wurden nicht beachtet und verändert.
Vermeiden Sie bei der Berechtigungspflege die Status „Verändert“ oder „Manuell“. Diese weisen auf Vernachlässigung bzw. Veränderungen der SU24 Vorschlagswerte hin. Dadurch wird Ihr Berechtigungskonzept inkonsistent und wird zudem auf kurz oder lang viele Sicherheitsmängel ausweisen. Warum das so ist und welchen Einfluss die SU24 auf Ihre Systemsicherheit hat, werden wir nun genauer betrachten.
Was ist die „SU24“?
Die SU24 beinhaltet alle Berechtigungsvorschlagswerte, welche die SAP Ihnen durch die SU22 zur Verfügung stellt. Im Gegensatz zur SU22 können Sie mithilfe der SU24 ein spezifisches Customizing der Vorschlagswerte durchführen. Dabei ist jedoch darauf zu achten, nicht willkürlich Einträge zu ändern, da dies gravierende Folgen für Ihr Berechtigungswesen haben kann. Die SU24 ist Grundlage für ein sichereres und sauberes Rollendesign. Durch jeden Releasewechsel oder jedes Update seitens SAP werden teilweise tiefgreifende Änderungen im ERP – System vollzogen. Dadurch ändern sich bspw. auch Berechtigungsprüfungen oder der Funktionsumfang von Transaktionen. Wenn Sie nun Ihre Rollen ohne die SU24 gepflegt haben, kann dies verschiedene negative Auswirkungen haben:
- Generierung einer Überberechtigung von Benutzern, da sie nun aufgrund neuer transaktionaler Funktionen auf erweiterte Systeminhalte zugreifen können.
- Entstehung obsoleter Rollen für den Endverbraucher, da neu implementierte Berechtigungsprüfungen von den alten Rollen nicht mehr abgedeckt werden.
Damit Sie diese Problematik umgehen und die Nachhaltigkeit Ihres Rollendesigns garantieren können, sollten sie folgende Punkte beachten:
- Pflege der Rollen über das Rollenmenü und somit die Einbindung der SAP Vorschlagswerte.
- Die Durchführung regelmäßiger Updates Ihrer SU24 Vorschlagstabelle.
Die Verbindung aus der Rollenpflege und den SAP Vorschlagswerten
Eine Rollenpflege ohne die Integration der SU24 birgt jedoch noch weitere Risiken, die sich negativ auf die Rollen auswirken können. Eine der kritischsten Vorgehensweisen ist der manuelle Rollenbau. Wenn man die Berechtigungen in den Rollen manuell pflegt, hat dies zum einem zur Folge, dass oftmals Berechtigungsprüfungen fehlschlagen. Der Grund dafür sind fehlenden Berechtigungsobjekte oder auch fehlende Ausprägungen dieser Objekte. Somit müssen die benötigten Berechtigungsobjekte Stück für Stück nachgepflegt werden.
Ein weiterer wesentlicher Punkt ist das Bestehen der manuellen Berechtigungen nach Löschung der eigentlichen Transaktion, in dem das manuelle Objekt hinterlegt wurde. Dadurch ergeben sich zwangsläufig SoD-Konflikte (Segregation of Duty). Außerdem stellen diese Berechtigungsobjekte einen fundamentalen Eingriff in Ihr internes Sicherheitskonzept dar. Eine Aufgabentrennung ist nicht mehr möglich. So kann bspw. ein Buchhalter (für Debitoren) weiterhin auf Kreditorendaten zugreifen.
Durch die Nutzung der SAP Vorschlagswerte können Sie schnell und einfach alle notwendigen Berechtigungen für Ihre Transaktionen hinterlegen. Sie müssen dann lediglich die spezifischen Werte ausprägen. Sie umgehen somit langanhaltende Trace – Prozesse und ungewünschte Systemzugriffe. Dadurch können Sie sich sicher sein, dass Ihre sauberen Rollen jegliche SAP Berechtigungsprüfungen für die expliziten Transaktionen standhalten.
Fazit zum Best Practice Rollenbau mit PFCG und SU24
Der Rollenbau ohne SU24 Vorschlagswerte ist sehr riskant und intransparent für Ihr Rollenkonstrukt. Daraus ergeben sich nicht nur fehlerhafte Berechtigungsprüfungen, sondern es fördert viel mehr einen ungehemmten Zugriff auf Ihre Systemdaten. Daher sollten Sie immer die SAP – Berechtigungsvorschläge nutzen.
Die Gleichung ist einfach: Sie haben einen einmaligen Aufwand und bekommen diesen langfristig um ein Vielfaches entlohnt.
Dadurch ergeben sich viele Vorteile:
- Minimaler Zeitaufwand bei der Erstellung von Rollen
- Konsistente und funktionsbezogenen Berechtigungen für Ihre Benutzer
- Nutzung der aktuellsten Systemvorgaben
- Umgehen fehlerhafter Berechtigungsprüfungen
Falls Sie mehr über unsere Best-Practice-Vorgehensweise erfahren möchten oder im Zuge eines Redesigns eine umfassende Beratung benötigen, stehen wir Ihnen gerne zur Verfügung. Wir bieten eine Vielzahl von verschiedenen Services an, u.a. auch einen SU24 Optimierungsservice. Darüber hinaus haben wir durch unser unternehmenseigenes Sicherheitstool, die Xiting Authorizations Management Suite, kurz XAMS, eine Vielzahl von Redesign-Projekten zum Erfolg geführt. Überzeugen Sie sich einfach selbst und schauen bei einem unserer wöchentlichen Webinare vorbei.
Erfahren Sie hier mehr in unserem Anwendungsfall mit der XAMS
- Top Pain Points bei SAP Fiori-Berechtigungen und deren Lösungen – ein Erfahrungsbericht - 20. November 2023
- Das Risikoregelwerk CRAF der Xiting AG – Schluss mit kritischen Berechtigungen und SoD! - 20. November 2023
- Die TOP 20 SAP IT Basis-Tabellen mit besonderem Schutzbedürfnis in SAP S/4HANA - 7. September 2023