Massenhafte Bearbeitung von Rollen mit der Transaktion PFCGMASSVAL
Table of Contents
Problemstellung
In der heutigen Zeit ist es für ein Berechtigungskonzept essenziell dynamisch und anpassbar zu sein, so dass Prozesse eines Unternehmens bestmöglich unterstützt bzw. geschützt werden können. Somit ist es nicht unwahrscheinlich, dass durch eine Prozessanpassung oder einen neuen Prozess mehrere Rollen angepasst werden müssen. Diese Anpassungen können die verschiedensten Formen annehmen. Sei es das Abändern einer Organisationsebene, die Anpassung von Berechtigungswerten eines gewissen Berechtigungsobjekts oder das Hinzufügen bzw. Entfernen einer Transaktion aus dem Menü. Je nach Anzahl der anzupassenden Rollen kann eine solche Aufgabe einige Stunden, wenn nicht sogar Tage benötigen. Um solche Änderungen zeiteffizienter zu gestalten, wurde ein Massenverarbeitungswerkzeug für Rollen durch die SAP entwickelt, dessen Funktionalitäten ich Ihnen im Folgenden erläutern möchte.
Die Lösung
Die Transaktion, um die es in diesem Blog gehen soll, ist die PFCGMASSVAL. Diese kann durch SAP Note «2177996 – PFCGMASSVAL: Mass maintenance of authorization values in roles» in Ihr SAP-System importiert werden (in der Regel durch Ihre SAP Basis).
Über diese Transaktion bietet Ihnen die SAP die Möglichkeit:
- Organisationsebenen zu ändern
- Feldwerte eines bestimmten Objekts anzupassen
- Feldwerte Objektübergreifend anzupassen
- Hinzufügen/Löschen einer manuellen Berechtigungsinstanz
- Hinzufügen von F4 als Vorschlagswert ohne Wechsel zum Status «Verändert»
Funktionsweise
Um die einzelnen Funktionalitäten der Transaktion erläutern zu können, möchte ich mit Ihnen ein praxisnahes Beispiel aus dem Alltag der Berechtigungsadministration, insbesondere der Rollenpflege, durchspielen.
Aus dem Fachbereich des Einkaufs wurde Ihnen herangetragen, alle Rollen des Produktivsystem, die eine Gesamtberechtigungen «*» für Belegarten in Bestellungen aufweisen, durch den Wert «NB» für eine Normalbestellung anzupassen >> Gesamtberechtigung.
Des Weiteren ist das Unternehmen gewachsen. Ein neuer Standort in Deutschland wurde gegründet. Dieser wurde unter dem Werk «9999» in das SAP-System eingepflegt und soll in allen Rollen, die Berechtigungen für Deutschland beinhalten, hinzugefügt werden.
Im Vorfeld muss bestimmt werden, welche ABAP-Rollen angepasst werden sollen. Dies kann zum einen über die direkte Auswahl von Rollen, einen maskierten Eintrag oder über eine «Rollenselektion nach Berechtigungsdaten» erfolgen, in der Sie gemäß Ihren Anforderungen anzupassende Rollen identifizieren können.
Weiterhin stehen Ihnen in der Selektionsmaske folgende Verarbeitungsmodi zur Verfügung:
- Simulation
- Ausführung mit vorhergehender Simulation
- Direkte Ausführung
TIPP: Zu empfehlen ist hier immer die «Ausführung mit vorangehender Simulation», da Sie hier noch die Möglichkeit der Prüfung, über die darauffolgende Zusammenfassung der Änderungen, haben.
Im Nächsten Schritt müssen die durchzuführenden Änderungen definiert werden. Da sich je nach Art der Feldänderung auch die Selektionsparameter ändern, wird im Folgenden jede Änderungsvariante einzeln erläutert.
Organisationsebenen ändern
Über diese Option können Sie die Werte der in den Rollen enthaltenen Organisationsebenen anpassen. Folgende Änderungsoptionen stehen zur Verfügung:
- Hinzufügen eines Wertes
- Ersetzen eines Wertes
- Ersetzen aller Werte der Organisationsebene
- Löschen eines Wertes
Im Feld der Organisationsebene ist das zu bearbeitende Feld auszuwählen. Dieses kann auch durch die F4-Wertehilfe selektiert werden.
Zu guter Letzt müssen noch die neuen Werte hinterlegt werden, um die die Rollen erweitert werden sollen. Dies geschieht über den jeweiligen Button und dem Eintragen der gewünschten Werte. Für unser Beispiel muss somit der Wert «9999» mit der Aktion «Hinzufügen» eingetragen werden.
Feldwerte von Berechtigungen zu einem Objekt ändern
Mit Hilfe dieser Aktion ist es Ihnen möglich, Werte eines Feldes zu einem spezifischen Objekt zu ändern. In unserem Beispiel also das Objekt M_BEST_BSA. Analog zu der Änderung einer Organisationsebene stehen folgende Aktionen zur Verfügung:
- Hinzufügen eines Wertes
- Ersetzen eines Wertes
- Ersetzen aller Werte der Organisationsebene
- Löschen eines Wertes
Um den Wert «*» durch den angeforderten Wert «NB» zu ersetzen, muss die Selektion wie folgt aussehen.
Feldwerte von Berechtigungen objektübergreifend ändern
Ähnlich zu der Aktion, Feldwerte eines einzelnen Objektes abzuändern, ist es über die Transaktion PFCGMASSVAL ebenfalls möglich, Feldwerte Objektübergreifend anzupassen. Dies kann z.B. von Vorteil sein, wenn Sie eine Anzeigerolle erstellen möchten und die Aktivitäten entsprechend nur auf Anzeige stellen möchten. Von Vorteil sind hier auch die weiteren Einstellmöglichkeiten der Transaktion, die bei Auswahl von Änderungen an Feldwerten zusätzlich in der Maske erscheinen:
Über diese Einstellungen können Sie unter Berücksichtigung des Aktivitäts- und Pflegestatus bestimmen, welche Berechtigungsinstanzen geändert werden sollen. Ebenso wird Ihnen die Option geboten, einen Wechsel zum Status „Verändert“ zu verhindern. Dies ist ratsam, sofern Sie Ihre Rollen im SU24-Kontext der SAP pflegen und somit den Verwendungsnachweis zu Transaktionen nicht verlieren möchten (siehe auch: Optimaler Rollenbau mit PFCG & SU24).
Hinzufügen/Löschen einer manuellen Berechtigung
Ebenso wie die Bearbeitung von Berechtigungsobjekten (Authorization objects) im SU24-Kontext ist es über die PFCGMASSVAL möglich, manuelle Berechtigungsinstanzen hinzuzufügen oder zu entfernen. Dies kann zum Beispiel von Vorteil sein, wenn Sie ein Werterollenkonzept für gewisse Berechtigungsobjekte pflegen müssen und den Umfang der Rollen erweitern bzw. verringern müssen. Wie gewohnt muss das betroffene Objekt inklusive der Werte selektiert werden.
Prüfung der Änderungen und Generieren des Profils
Sobald Ihre Selektion der Änderungen abgeschlossen ist, folgt die Ausführung der Simulation. Hier können Sie, je nach der zuvor getroffenen Auswahl, die Änderungen überprüfen, die anzupassenden Rollen auswählen und die Änderungen durch das System durchführen lassen.
Aufgrund der Änderung an den Berechtigungsprofilen muss als letzter Schritt das Profil einer jeden Rolle neu generiert werden. Auch dies können Sie über die PFCGMASSVAL anstoßen, womit die Anpassung der Rollen vollständig ist.
Fazit zur SAP Transaktion PFCGMASSVAL
Zusammenfassend kann durch die Nutzung der PFCGMASSVAL eine deutliche Zeitersparnis durch Massenpflege bzw. Massenänderungen erlangt werden. Innerhalb von kürzester Zeit können bestimmte Berechtigungsausprägungen in einer sehr großen Anzahl von Rollen angepasst werden und Ihnen somit die Rollenpflege erleichtern.
Wie Sie sicherlich bemerkt haben, bietet Ihnen die PFCGMASSVAL leider keine Möglichkeit z. B. das Rollenmenü in Masse um einen T-Code zu erweitern oder auch Berechtigungsinstanzen von Rollen in Masse zu (De-)Aktivieren.
Hierbei kann Sie die XAMS mit den Modulen Role Designer und Role Replicator tatkräftig unterstützen.
Sie benötigen Unterstützung im Bereich SAP Security? Dann steht Ihnen Xiting als 360-Grad-Lösungsanbieter umfassend zur Seite. Dabei decken wir neben SAP Authorization Management (Auth Management) auch die Bereiche SAP Fiori, SAP S/4HANA, SAP HANA Security, GRC, und viele mehr ab. Wir bieten fortlaufend auch Webinare zu diversen SAP Security- und Spezialthemen an, um Ihre Compliance dauerhaft zu gewährleisten. Dabei bieten wir auch einige Customizing-Optionen, um individuell auf kundenseitige Herausforderungen einzugehen.
- Massenhafte Bearbeitung von Rollen mit der Transaktion PFCGMASSVAL - 8. November 2022