/

SAP Knowledge

/

SAP User

/

SAP User erstellen

SAP User erstellen und Rollen für User verwalten – Wie mache ich das?

SAP User zu verwalten, gehört zu den grundlegenden Aufgaben jeder SAP-Administration. Der Prozess sorgt für eine stetige Systemsicherheit und -ordnung und sichert unter anderem die Compliance-Konformität in Ihrem Unternehmen.

SAP-Administratoren und IT-Verantwortliche stehen dabei vor der Herausforderung, Benutzerkonten korrekt anzulegen, die richtigen Berechtigungen zuzuweisen und gleichzeitig Segregation-of-Duties(SoD)-Konflikte zu vermeiden.

Wie das richtige Anlegen von SAP-Usern über die Transaktion SU01 und die Erstellung von Rollen mittels der Transaktion PFCG funktioniert, erklären wir Ihnen nun Schritt für Schritt.

SAP User anlegen: Transaktion SU01

Mit der Transaktion SU01 können Sie SAP User anlegen, aber auch bearbeiten und verwalten. Doch neben dem reinen Anlegen gibt es beim Erstellen neuer Nutzer weitere Schritte zu beachten, bevor Sie das neue Benutzerkonto sicher im System anlegen können.

  • Transaktion SU01 aufrufen

Starten Sie die Benutzerpflege über den Transaktionscode ‘SU01’.

  • Neuen Benutzer anlegen

Im Einstiegsbildschirm der Benutzerpflege geben Sie die gewünschte Benutzer-ID ein und klicken auf die Schaltfläche ‘Anlegen’. Achten Sie dabei auf die Namenskonventionen Ihres Unternehmens.

  • Adressdaten pflegen

Wechseln Sie zur Registerkarte ‘Adresse’ und tragen Sie mindestens den Nachnamen ein – das ist ein Pflichtfeld für die Benutzererstellung. Ergänzen Sie weitere Informationen wie Vorname, E-Mail-Adresse und Telefonnummer entsprechend Ihren Compliance-Anforderungen.

  • Logondaten pflegen

In der Registerkarte ‘Logondaten’ definieren Sie folgende Parameter:

  • Benutzertyp auswählen: Wählen Sie den passenden SAP-Benutzertyp entsprechend dem Verwendungszweck.
  • Initialkennwort setzen: Vergeben Sie ein sicheres Initialkennwort und wiederholen Sie die Eingabe zur Bestätigung. Das System erzwingt bei der ersten Anmeldung eine Passwort-Änderung (außer bei System- und Service-Benutzern).
  • Gültigkeitszeitraum definieren (bei Bedarf): Legen Sie das ‘Gültig-von’- und ‘Gültig-bis’-Datum fest, um zeitlich begrenzte Zugriffe zu ermöglichen und Compliance-Risiken zu minimieren. Das ist besonders wichtig bei Projektbenutzern oder externen Consultants.
  • Benutzergruppe zuweisen: Ordnen Sie dem User eine entsprechende Benutzergruppe zu, um die Verwaltung und Übersicht zu verbessern. Benutzergruppen ermöglichen, die Zugriffe auf mehrere User zu steuern und erleichtern die Massenpflege und Reporting-Funktionen in Ihrem System erheblich.
  • Speichern und Rollen zuweisen

Speichern Sie den Benutzerstammsatz und wechseln Sie zur Registerkarte ‘Rollen’, um die erforderlichen SAP-Berechtigungen zuzuweisen. Die Rollenzuweisung innerhalb Ihres Berechtigungskonzepts erfolgt idealerweise nach dem Minimalprinzip zur Vermeidung von SoD-Konflikten.

Wichtig!

Beachten Sie folgende Sicherheitsaspekte bei der Erstellung von SAP Usern:

  • Systembenutzer sollten ausschließlich für technische RFC-Verbindungen und Batchverarbeitung verwendet werden, da sie keiner Passwort-Policy unterliegen.
  • Dialogbenutzer hingegen sind für interaktive Anwender vorgesehen und unterliegen den konfigurierten Passwort-Regeln und Anmeldebeschränkungen Ihres Systems.
  • Kommunikationsbenutzer sollten nur dann eingesetzt werden, wenn das RFC-Tool auch Passwort-Änderungen unterstützt.

Wie kann ich Rollen für User erstellen?

Nutzen Sie die Transaktion PFCG für die Rollenerstellung. Mit der PFCG können SAP-Administratoren komplexe Berechtigungen für ABAP-Anwendungen pflegen, die sowohl funktionale Anforderungen des Unternehmens als auch Compliance-Vorgaben erfüllen sollten.

Sie können neue Rollen für User in 6 Schritten erstellen:

1.Transaktion PFCG aufrufen

Starten Sie die Rollenpflege über den Transaktionscode ‘PFCG’.

2.Neue Rolle anlegen

Klicken Sie auf ‘Einzelrolle’ und ‘Anlegen’.

Hinweis: Geben Sie der neuen Rolle einen aussagekräftigen Namen, der im Idealfall mit ‘Z’ oder ‘Y’ – also dem Kundennamensraum der SAP – beginnt.

3.Rollenmenü pflegen

Wechseln Sie zur Registerkarte ‘Menü’ und fügen Sie die erforderlichen Transaktionen, Funktionsbausteine und weitere Menüobjekte hinzu.

4.Berechtigungen generieren

Wechseln Sie zur Registerkarte ‘Berechtigungen’ und klicken Sie auf ‘Expertenmodus zur Profilgenerierung’. Das System führt nun einen automatischen Berechtigungsabgleich durch und generiert Berechtigungsvorschläge.

5.Berechtigungsfelder pflegen 

Ihnen werden die Berechtigungen angezeigt, die basierend auf den SU24 Vorschlagswerten der Rollenmenüobjekte automatisch eingefügt werden. Bearbeiten Sie nun die Berechtigungsobjekte und deren Berechtigungsfelder.

Hinweis: Achten Sie dabei, dass die Status “gepflegt” und “Standard” stets einen SU24 Verwendungsnachweis gewährleisten, wohingegen die Status “Manuell” und “Verändert” keinen SU24-Kontext mehr haben. Diese ermöglichen keine zentrale Pflege der Berechtigungen über die SU24 und sind daher zu vermeiden.

Brücksichtigen Sie dabei die Statusanzeigen der Ampeln in der Baumanzeige:

  • Grün = Berechtigungen sind gepflegt
  • Gelb = Berechtigungsfeldwerte sind noch offen 
  • Rot = Organisationsebenen vorhanden, die bisher nicht mit Werten belegt sind

6.Profil generieren

Klicken Sie auf ‘Generieren’, um das neue Berechtigungsprofil zu erstellen. Das System generiert automatisch den Profilnamen. 

Wenn Sie die neue Rolle erstellt haben, können Sie ihr unter der Registerkarte ‘Benutzer’ die gewünschten Benutzer zuweisen. Bei der nächsten Anmeldung ist dem Benutzer das Rollenmenü schließlich ersichtlich.

Tipps für die PFCG-Rollenerstellung:

  • Nutzen Sie die Systemtrace-Funktionalität, um fehlende Berechtigungen zu identifizieren.
  • Integrieren Sie für Compliance-Konformität SoD-Konfliktprüfungen in den Rollenerstellungs-Prozess.

Was muss ich bei der User-Erstellung in SAP beachten?

Bei der SAP-User-Erstellung müssen Sie verschiedene Sicherheitsprinzipien, z. B. das Prinzip der minimalen Berechtigungsvergabe und eine strikte Aufgabentrennung (SoD), sowie geltende Compliance-Anforderungen berücksichtigen.

Minimale Berechtigungen basierend auf stellenbasierte Berechtigungen

Weisen Sie Benutzern nur die minimal erforderlichen Berechtigungen zu, die für ihre Stelle notwendig sind. Das reduziert das Sicherheitsrisiko innerhalb des Systems und vereinfacht die Compliance-Überwachung.

Passwort-Policies und Authentifizierungen

Implementieren Sie starke Passwort-Richtlinien. Nutzen Sie zudem SAP Single Sign-On (SSO) für die interne Nutzerfreundlichkeit Ihrer Mitarbeiter, damit die Systemsicherheit auf höchstem Niveau bleibt.

Segregation of Duties (SoD)

SoD-Konflikte entstehen, wenn eine Person mehrere kritische Tätigkeiten ausüben kann. Sind solche Funktionstrennungskonflikte auf Benutzerebene vorhanden, können sie – gewollt oder ungewollt – weitreichende Schäden am System oder an Unternehmensprozessen verursachen.

Beispiele für kritische Berechtigungskombinationen sind:

  • Bestellung erstellen und Rechnung freigeben
  • Budgetplanung und Budgetfreigabe
  • Systemparameter ändern und Produktivbetrieb überwachen


Wichtig! Beachten Sie bei systemübergreifenden Landschaften auch Cross-System SoD-Risiken. Ein Benutzer könnte beispielsweise Bestellfreigaben in SAP Ariba und Rechnungsfreigaben in SAP S/4HANA haben, was einen kritischen SoD-Konflikt darstellt.

Rechtliche Konsequenzen

Die Nichtbeachtung von SoD-Konflikten kann hohe rechtliche Konsequenzen haben, insbesondere bei Verstößen gegen das Handelsgesetzbuch (HGB). Wirtschaftsprüfer kontrollieren regelmäßig Berechtigungsstrukturen, um eine ordnungsgemäße Buchführung zu bestätigen.

Nehmen Sie das Usermanagement in SAP also nicht auf die leichte Schulter. Bevor Sie ein instabiles Benutzergerüst aufbauen, das im schlimmsten Fall ein hohes Sicherheitsrisiko oder Compliance-Verstöße verursacht, beauftragen Sie doch einfach Xiting!

Xiting macht die SAP-User-Erstellung und -Verwaltung einfach

Xiting hilft Ihrem Unternehmen dabei, die SAP-User-Erstellung und Berechtigungsverwaltung zu automatisieren und compliance-konform zu gestalten. Mit unserer langjährigen Erfahrung haben wir die Xiting Authorizations Management Suite (XAMS) geschaffen: eine eigene, SAP-zertifizierte Lösung, die Ihre Prozesse rund um das User-, Berechtigungs- und Rollenmanagement endlich sorgenlos gestaltet.

Kontaktieren Sie uns noch heute kostenlos und unverbindlich und erfahren Sie, wie Xiting Ihre SAP-Landschaft nutzerfreundlicher und sicherer macht.

Kostenlos kontaktieren

FAQ

SAP unterscheidet grundlegend 5 verschiedene Benutzertypen:

  • Dialog
  • System
  • Referenz
  • Service
  • Kommunikationsuser

Die Kosten für einen SAP-User variieren je nach Lizenztyp:

  • Employee Self-Service User (ca. 50–100 € jährlich)
  • Employee User (ca. 150–300 € jährlich)
  • Limited Professional User (ca. 1.400 € jährlich)
  • Professional User (ca. 2.000–4.000 € jährlich)

Die genauen Preise hängen von Ihrem SAP-Produkt, Vertragsvolumen und Lizenzmodell ab.

Benutzergruppen sind organisatorische Einheiten, mit denen SAP-User strukturiert verwaltet und gruppiert werden können – beispielsweise nach Abteilungen, Rollen oder Funktionen. Dies erleichtert die Massenpflege, die Zuweisung von Berechtigungen sowie das Reporting erheblich und ermöglicht eine gezielte Einschränkung, wer auf bestimmte Gruppen bspw. lesend oder ändernd zugreifen darf.

Bleiben Sie auf dem Laufenden

Melden Sie Sich zu dem Newsletter an, um weitere Informationen zu erhalten.

Anmeldung Newsletter

Folgen Sie @Xiting und @xiting.global auf den Sozialen Medien.