Massenhafte Bearbeitung von Rollen mit der Transaktion PFCGMASSVAL

SAP-Berechtigungen, SAP-Sicherheit, XAMS Erwin Lachenmaier

Problemstellung

In der heutigen Zeit ist es für ein Berechtigungskonzept essenziell dynamisch und anpassbar zu sein, so dass Prozesse eines Unternehmens bestmöglich unterstützt bzw. geschützt werden können. Somit ist es nicht unwahrscheinlich, dass durch eine Prozessanpassung oder einen neuen Prozess mehrere Rollen angepasst werden müssen. Diese Anpassungen können die verschiedensten Formen annehmen. Sei es das Abändern einer Organisationsebene, die Anpassung von Berechtigungswerten  eines gewissen Berechtigungsobjekts oder das Hinzufügen bzw. Entfernen einer Transaktion aus dem Menü. Je nach Anzahl der anzupassenden Rollen kann eine solche Aufgabe einige Stunden, wenn nicht sogar Tage benötigen. Um solche Änderungen zeiteffizienter zu gestalten, wurde ein Massenverarbeitungswerkzeug für Rollen durch die SAP entwickelt, dessen Funktionalitäten ich Ihnen im Folgenden erläutern möchte.

Die Lösung

Die Transaktion, um die es in diesem Blog gehen soll, ist die PFCGMASSVAL. Diese kann durch SAP Note «2177996 – PFCGMASSVAL: Mass maintenance of authorization values in roles» in Ihr SAP-System importiert werden (in der Regel durch Ihre SAP Basis).

Über diese Transaktion bietet Ihnen die SAP die Möglichkeit:

  • Organisationsebenen zu ändern
  • Feldwerte eines bestimmten Objekts anzupassen
  • Feldwerte Objektübergreifend anzupassen
  • Hinzufügen/Löschen einer manuellen Berechtigungsinstanz
  • Hinzufügen von F4 als Vorschlagswert ohne Wechsel zum Status «Verändert»
Abbildung 1: Übersicht der Transaktion PFCGMASSVAL
Abbildung 1: Übersicht der Transaktion PFCGMASSVAL

Funktionsweise

Um die einzelnen Funktionalitäten der Transaktion erläutern zu können, möchte ich mit Ihnen ein praxisnahes Beispiel aus dem Alltag der Berechtigungsadministration, insbesondere der Rollenpflege, durchspielen.

Aus dem Fachbereich des Einkaufs wurde Ihnen herangetragen, alle Rollen des Produktivsystem, die eine Gesamtberechtigungen «*» für Belegarten in Bestellungen aufweisen, durch den Wert «NB» für eine Normalbestellung anzupassen >> Gesamtberechtigung.

Des Weiteren ist das Unternehmen gewachsen. Ein neuer Standort in Deutschland wurde gegründet. Dieser wurde unter dem Werk «9999» in das SAP-System eingepflegt und soll in allen Rollen, die Berechtigungen für Deutschland beinhalten, hinzugefügt werden.

Im Vorfeld muss bestimmt werden, welche ABAP-Rollen angepasst werden sollen. Dies kann zum einen über die direkte Auswahl von Rollen, einen maskierten Eintrag oder über eine «Rollenselektion nach Berechtigungsdaten» erfolgen, in der Sie gemäß Ihren Anforderungen anzupassende Rollen identifizieren können.

Abbildung 2: Übersicht Selektion
Abbildung 2: Übersicht Selektion

Weiterhin stehen Ihnen in der Selektionsmaske folgende Verarbeitungsmodi zur Verfügung:

  • Simulation
  • Ausführung mit vorhergehender Simulation
  • Direkte Ausführung

TIPP: Zu empfehlen ist hier immer die «Ausführung mit vorangehender Simulation», da Sie hier noch die Möglichkeit der Prüfung, über die darauffolgende Zusammenfassung der Änderungen, haben.

Im Nächsten Schritt müssen die durchzuführenden Änderungen definiert werden. Da sich je nach Art der Feldänderung auch die Selektionsparameter ändern, wird im Folgenden jede Änderungsvariante einzeln erläutert.

Organisationsebenen ändern

Über diese Option können Sie die Werte der in den Rollen enthaltenen Organisationsebenen anpassen. Folgende Änderungsoptionen stehen zur Verfügung:

  • Hinzufügen eines Wertes
  • Ersetzen eines Wertes
  • Ersetzen aller Werte der Organisationsebene
  • Löschen eines Wertes

Im Feld der Organisationsebene ist das zu bearbeitende Feld auszuwählen. Dieses kann auch durch die F4-Wertehilfe selektiert werden.

Zu guter Letzt müssen noch die neuen Werte hinterlegt werden, um die die Rollen erweitert werden sollen. Dies geschieht über den jeweiligen Button und dem Eintragen der gewünschten Werte. Für unser Beispiel muss somit der Wert «9999» mit der Aktion «Hinzufügen» eingetragen werden.

Abbildung 3: Übersicht Organisationsebene ändern
Abbildung 3: Übersicht Organisationsebene ändern

Feldwerte von Berechtigungen zu einem Objekt ändern

Mit Hilfe dieser Aktion ist es Ihnen möglich, Werte eines Feldes zu einem spezifischen Objekt zu ändern. In unserem Beispiel also das Objekt M_BEST_BSA. Analog zu der Änderung einer Organisationsebene stehen folgende Aktionen zur Verfügung:

  • Hinzufügen eines Wertes
  • Ersetzen eines Wertes
  • Ersetzen aller Werte der Organisationsebene
  • Löschen eines Wertes

Um den Wert «*» durch den angeforderten Wert «NB» zu ersetzen, muss die Selektion wie folgt aussehen.

Abbildung 4: Übersicht Berechtigung zu Objekt ändern
Abbildung 4: Übersicht Berechtigung zu Objekt ändern

Feldwerte von Berechtigungen objektübergreifend ändern

Ähnlich zu der Aktion, Feldwerte eines einzelnen Objektes abzuändern, ist es über die Transaktion PFCGMASSVAL ebenfalls möglich, Feldwerte Objektübergreifend anzupassen. Dies kann z.B. von Vorteil sein, wenn Sie eine Anzeigerolle erstellen möchten und die Aktivitäten entsprechend nur auf Anzeige stellen möchten. Von Vorteil sind hier auch die weiteren Einstellmöglichkeiten der Transaktion, die bei Auswahl von Änderungen an Feldwerten zusätzlich in der Maske erscheinen:

Abbildung 5: Erweiterte Einstellungen für Feldwertänderungen
Abbildung 5: Erweiterte Einstellungen für Feldwertänderungen

Über diese Einstellungen können Sie unter Berücksichtigung des Aktivitäts- und Pflegestatus bestimmen, welche Berechtigungsinstanzen geändert werden sollen. Ebenso wird Ihnen die Option geboten, einen Wechsel zum Status „Verändert“ zu verhindern. Dies ist ratsam, sofern Sie Ihre Rollen im SU24-Kontext der SAP pflegen und somit den Verwendungsnachweis zu Transaktionen nicht verlieren möchten (siehe auch: Optimaler Rollenbau mit PFCG & SU24).

Hinzufügen/Löschen einer manuellen Berechtigung

Ebenso wie die Bearbeitung von Berechtigungsobjekten (Authorization objects) im SU24-Kontext ist es über die PFCGMASSVAL möglich, manuelle Berechtigungsinstanzen hinzuzufügen oder zu entfernen. Dies kann zum Beispiel von Vorteil sein, wenn Sie ein Werterollenkonzept für gewisse Berechtigungsobjekte pflegen müssen und den Umfang der Rollen erweitern bzw. verringern müssen. Wie gewohnt muss das betroffene Objekt inklusive der Werte selektiert werden.

Abbildung 6: Hinzufügen/Löschen einer manuellen Berechtigung
Abbildung 6: Hinzufügen/Löschen einer manuellen Berechtigung

Prüfung der Änderungen und Generieren des Profils

Sobald Ihre Selektion der Änderungen abgeschlossen ist, folgt die Ausführung der Simulation. Hier können Sie, je nach der zuvor getroffenen Auswahl, die Änderungen überprüfen, die anzupassenden Rollen auswählen und die Änderungen durch das System durchführen lassen.

Abbildung 7: Prüfung und Ausführung der Änderungen
Abbildung 7: Prüfung und Ausführung der Änderungen

Aufgrund der Änderung an den Berechtigungsprofilen muss als letzter Schritt das Profil einer jeden Rolle neu generiert werden. Auch dies können Sie über die PFCGMASSVAL anstoßen, womit die Anpassung der Rollen vollständig ist.

Abbildung 8: Generieren der geänderten Profile
Abbildung 8: Generieren der geänderten Profile

Fazit zur SAP Transaktion PFCGMASSVAL

Zusammenfassend kann durch die Nutzung der PFCGMASSVAL eine deutliche Zeitersparnis durch Massenpflege bzw. Massenänderungen erlangt werden. Innerhalb von kürzester Zeit können bestimmte Berechtigungsausprägungen in einer sehr großen Anzahl von Rollen angepasst werden und Ihnen somit die Rollenpflege erleichtern.

Wie Sie sicherlich bemerkt haben, bietet Ihnen die PFCGMASSVAL leider keine Möglichkeit z. B. das Rollenmenü in Masse um einen T-Code zu erweitern oder auch Berechtigungsinstanzen von Rollen in Masse zu (De-)Aktivieren. 

Hierbei kann Sie die XAMS mit den Modulen Role Designer und Role Replicator tatkräftig unterstützen.

Sie benötigen Unterstützung im Bereich SAP Security? Dann steht Ihnen Xiting als 360-Grad-Lösungsanbieter umfassend zur Seite. Dabei decken wir neben SAP Authorization Management (Auth Management) auch die Bereiche SAP Fiori, SAP S/4HANA, SAP HANA Security, GRC, und viele mehr ab. Wir bieten fortlaufend auch Webinare zu diversen SAP Security- und Spezialthemen an, um Ihre Compliance dauerhaft zu gewährleisten. Dabei bieten wir auch einige Customizing-Optionen, um individuell auf kundenseitige Herausforderungen einzugehen. 

Erwin Lachenmaier
Letzte Artikel von Erwin Lachenmaier (Alle anzeigen)
Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden