Die neue Transaktion SU24N (Teil 1)
Dass die Pflege der Berechtigungsvorschlagswerte eine besondere Stellung im Bereich der SAP-Sicherheit und Rollenverwaltung einnehmen, wurde bereits in zahlreichen Blogs, wie bspw. „Xiting Best Practice Rollenbau – Optimaler Rollenbau mit PFCG & SU24“ oder „Vorteile einer nachhaltigen SU24-Optimierung“, ausführlich erklärt. Trotzdem soll deren Wichtigkeit an dieser Stelle nochmals verdeutlicht werden, da der Aufbau eines nachhaltigen und sicheren SAP-Berechtigungskonzept nur mithilfe der Berechtigungsvorschlagswerte gewährleistet werden kann. Ohne diese werden Sie auf kurz oder lang an diesem Ziel scheitern. Solche Berechtigungsvorschläge ermöglichen in erster Linie die adäquate Nutzung aller Objekte im Rollenmenü (bspw. Transaktionen, Web Dynpros oder Gateway Services) entsprechend der hinterlegten Berechtigungsprüfungen innerhalb des Programmcodes der jeweiligen Applikationen und sind somit essenziell für eine Best-Practice-Rollenpflege und Berechtigungsverwaltung Ihres SAP-Systems. Zudem bringt die Nutzung der Berechtigungsvorschlagswerte u. a. folgende weitere Vorteile:
- Berechtigungsvergabe nach dem „Need-to-know“-Prinzip wird technisch gewährleistet
- Ermöglicht die notwendige und gleichzeitig sichere Berechtigungspflege und -provisionierung an die Endbenutzer gemäß der vorhandenen ABAP-Code-Berechtigungsprüfungen (AUTHORITY-CHECK Anweisungen)
- Granulare und technisch korrekte Nutzung des Profilgenerators während des Rollenbaus
- Reduzierter Pflegeaufwand durch automatische Integration der Berechtigungsvorschlagswerte in das Berechtigungsprofil im SAP Standard
- Beibehaltung einer dauerhaften Aktualität und Aktualisierungsmöglichkeit der in den Rollen eingebetteten Menüobjekte (Applikationen), wenn neue Transaktion SU22-Daten zur Verfügung stehen (bedingt durch bspw. SAP Release Updates mit neuen SAP-Vorschlagswertdefinitionen)
- Vereinfacht auch die Integration von kundeneigenen Programmen in das derzeitige Berechtigungskonzept
- Erstellung auditbasierter Sicherheitsüberprüfung und Risikoregeln auf Basis der Berechtigungsvorschlagswerte
Nun, ab SAP_BASIS Release 7.54, bekommt die altbewährte Transaktion SU24, welche seit jeher zur Pflege jener Berechtigungsvorschlagswerte genutzt wird, eine Neuauflage: Transaktion SU24N. Sie gilt im Kontext von SAP S/4HANA mit SAP Fiori, neben der Standardtransaktion SU24, als Erweiterung für die Berechtigungsvorschlagspflege.
Damit einhergehend bietet sie essenzielle neue Möglichkeiten für Berechtigungsadministratoren. Daher wird dieser Blog-Beitrag primär neben allgemeinen Neuheiten, vor allem auf die zwei wichtigsten Änderungen im Zuge der Einführung der Transaktion SU24N eingehen – die Integration von Änderungstexten und Vorschlagsdatenvarianten. In einem zweiten Blog werden Ihnen dann vor allem die Erstellung und Nutzung von Transaktion SU24N Vorschlagsdatenvarianten nähergebracht.
Falls Sie Probleme mit der neuen Applikation SU24N haben sollten, sind folgende SAP Notes hilfreich: https://launchpad.support.sap.com/#/notes/3036665 und https://launchpad.support.sap.com/#/notes/2798443
Bitte beachten Sie zudem, dass die SAP mit dem SAP S/4HANA 2021 IS die Transaktion SU24N und deren neue Funktionalitäten in die initiale Transaktion SU24 übernommen hat und somit die Transaktion SU24N seit diesem Release nicht mehr existiert.
Inhaltsverzeichnis
Allgemeine Neuerungen
Gegenüber der bekannten Transaktion SU24 haben Sie als Berechtigungsadministrator mit der Transaktion SU24N eine erweiterte und detaillierte Selektionsmaske zur Verfügung (Abbildung 1). Hier können Sie nun nicht nur zwischen einer Vielzahl neuer pflegbarer Applikationstypen wählen. Ihnen stehen jetzt auch neue Suchbereiche und Anzeigeoptionen zur Verfügung. Zudem erkennen Sie auf einem Blick alle wichtigen Systemeinstellungen bezüglich der Berechtigungsvorschlagswertpflege.
Zudem können Sie innerhalb der Applikationspflege nun zwischen den folgenden Vorschlagswertstatus für die entsprechenden Berechtigungsobjekte wählen (Tabelle 1):
| Vorschlagsstatus: einspaltig | Vorschlagsstatus: zweispaltig |
| Setze: Vorschlag mit Feldwerten | Status: “Ja” setzen |
| Setze: Vorschlag ohne Feldwerte | Status: “Ja, inaktiver Vorschlag” setzen |
| Setze: Vorschlag inaktiv | Status: “Ja, ohne Wert” setzen |
| Setze: Kein Vorschlag | Status: “Nein” setzen |
| Setze: Berechtigungsprüfung inaktiv |
Zudem können Sie jetzt per Layout-Option “Vorschlagsstatus: einspaltig/zweispaltig” zwischen der Anzeige und Pflegemöglichkeiten der Berechtigungsdaten wechseln. Je nach Ansicht ändern sich übrigens auch die Bezeichnung der Vorschlagsstatus. Mit einer “einspaltigen” Ansicht entfällt auch die Eingabemöglichkeit, die Prüfkennzeichen separat auszusteuern (Abbildung 2).
Durch die feste Verbindung zwischen Prüfkennzeichen und Vorschlagswerte ist dies jedoch nachvollziehbar. Wenn Sie in der Vergangenheit bspw. das Prüfkennzeichen eines bestimmten Berechtigungsobjektes auf „Nicht prüfen“ gestellt hatten, hat das System den Vorschlagsstatus für die Applikation automatisch auch auf „Nein“ gesetzt. Daher ist eine separate Pflege der Prüfkennzeichen per se nicht notwendig, da das entsprechende Berechtigungsobjekt bei inaktivem Prüfkennzeichen dann auch nicht in das Berechtigungsprofil der Rolle integriert wird. Es gab somit schon immer einen kausalen Zusammenhang zwischen dem Prüfkennzeichen und dem Vorschlagsstatus, wobei ersteres ausschlaggebend ist, ob ein Vorschlagsstatus für die entsprechende Applikation überhaupt pflegbar ist.
An dieser Stelle sollte noch erwähnt werden, dass es nun auch möglich ist, inaktive Berechtigungsobjekte automatisiert in das Berechtigungsprofil der Rolle einfließen zu lassen („Setze: Vorschlag inaktiv“). Dies kann nützlich sein, wenn Sie bei bestimmten Applikationen den Berechtigungsumfang im Rollenprofil situativ und je Rolle unterscheiden möchten.
Außerdem können Sie nun auch mit der Ansichtsoption “Komprimierte Objektliste” direkt auf Objekte mit den Vorschlagsstatus “Setze: Vorschlag mit Feldwerten” bzw. “Status: Ja setzen” oder “Status: Ja, ohne Wert setzen” filtern bzw. auch alle anzeigen lassen, per “Vollständige Objektliste” (Abbildung 2).
Bis auf die nachfolgenden tiefgreifenden Änderungen gibt es weiterhin nur noch kleinere technische bzw. optische Anpassungen, die sich nahe an der bisherigen Transaktion SU24 bewegen. Bspw. können Sie nun einen genauen und vor allem integrierten Transaktion SU22-Datenabgleich fahren, welcher in der Vergangenheit entweder manuell oder über die Transaktion SU25 erfolgen musste. Die integrativen Berechtigungstrace-Optionen (bspw. STUSOBTRACE, STAUTHTRACE oder STUSERTRACE) sind auch weiterhin mit der Transaktion SU24N nutzbar.
Beschreibungen von Transaktion SU24-Daten
Das erste Mal seit der Existenz der Transaktion SU24 ist es möglich, innerhalb dieser Expertentransaktion Beschreibungen und Kommentare für Berechtigungsvorschlagswerte zu hinterlegen – ein Meilenstein. Das ermöglicht eine essenzielle Verbesserung der Transparenz von Berechtigungsvorschlagswertänderungen im System. Somit können Sie nun Änderungen vornehmen und gleichzeitig auch die Entscheidungen, die dahinterstehen bzw. ggf. auch Genehmiger, direkt in eine Änderungsdokumentation aufnehmen (Abbildung 3).
Das vereinfacht nicht nur Änderungsprozesse von Berechtigungswerten, sondern auch die Zuordnung der Änderungen, falls bspw. die Bearbeiter oder Genehmiger das Unternehmen verlassen haben und man dann vergeblich nach den Gründen für den jeweiligen Pflegestatus sucht.
Einzusehen ist diese dann aktuell bspw. durch die Druckansicht innerhalb des Transkation SU24-Pflegebereichs der jeweiligen Applikation. Für die massenhaften Überprüfung für mehrere Applikationen dieser Beschreibungen können Sie auch per Transaktion SE16(N) die Tabelle „SU2X_TEXT“ auslesen.
Transaktion SU24N Vorschlagsdatenvariante
Ein weiterer und vor allem im Kontext der Berechtigungspflege entscheidender Meilenstein ist die Nutzung sogenannter Vorschlagsdatenvariante für den Rollenbau. Mit der neuen Transaktion SU24N können Sie jetzt Varianten für Berechtigungsvorschlagswerte einer bestimmten Applikation erstellen und bearbeiten. Dadurch können Sie unterschiedliche Zugriffsszenarien für ein und dieselbe SAP-Anwendung abbilden. Das bedeutet, dass Sie entsprechend der Vorgaben und Ziele für eine Applikation, verschiedene Ausprägungsvarianten für vielerlei Szenarien erstellen können (Abbildung 4). Das ist eine absolute Neuheit im Bereich der Berechtigungsvorschlagswerte und vereinfacht dedizierte Berechtigungsvergaben ungemein, welche bis dato in dieser Form noch nicht existierte.
Beim bisherigen Weg zur Aussteuerung von bspw. Cockpit-Transaktionen (bspw. Transaktion BP oder MIGO) musste man entweder alle Aktivitätsfelder in der Transaktion SU24 leer lassen oder dedizierte Z-Transaktionen für ein und dieselbe Ausgangstransaktion erstellen. Darauffolgend war es erst möglich, situativ die Pflege in jeder Endanwenderrolle einzeln vorzunehmen, um eine Differenzierung der Aktivitätsebenen für bestimmte Personenkreise zu gewährleisten. Nun kann man durch die Erstellung einer Transaktion SU24N Vorschlagsdatenvariante für bspw. BP sowohl eine Anzeige- sowie auch eine Anlage/Änderung-Variante erstellen. Diese Varianten können dann mittels der neuen Integrationsmöglichkeit in der Transaktion PFCG in die jeweilige Jobfunktionsrolle eingeführt werden. Dadurch können Sie sich viel Pflegeaufwand hinsichtlich der Berechtigungsvorschlagswerte innerhalb der Rollen sparen. Zudem wird eine Upgrade-Kompatibilität jederzeit ohne großen Pflegetätigkeiten, wie es bisher der Fall aufgrund der offenen Berechtigungsfelder war, gewährleistet.
Übrigens sind die Varianten innerhalb der jeweiligen Rollen über die Tabelle AGR_APPL_VARS als Hashwert einsehbar. Dafür benötigen Sie jedoch dann bspw. die Berechtigungen für die Transaktion SE16. Außerdem ist die Variantenpflege nur für Anwendungen möglich. Es gibt keine Variante einer Variante. Weitere technische Informationen zum Thema SU24N finden Sie in dem offiziellen SAP-Hinweis 2809885. Weiterhin ist auch der SAP-Hinweis 2798443 hilfreich, falls Sie keine Änderungen in der Transaktion SU24N vornehmen können und sich hier nochmal mit den SAP Basis Administratoren austauschen wollen.
Auf das Erstellen einer solchen Vorschlagsdatenvariante und die Einbindung in eine Rolle per Transaktion PFCG wird im Detail in einem weiteren Blog eingegangen. Sie müssen beachten, dass die reine Erstellung einer solchen Variante für die Nutzung innerhalb der Rolle nicht ausreicht. Erst durch das Einbinden greift die entsprechende Vorschlagsdatenvariante und die jeweiligen Ausprägungen werden durch die Profil-Bearbeitungsfunktion „Alten stand lesen und mit den neuen Daten abgleichen“ automatisiert in das Berechtigungsprofil geladen.
Fazit: Transaktion SU24 – Bedeutende Änderungen für die Berechtigungsvorschlagswertpflege
Anhand des Blogs können Sie nun initial schon erkennen, welche tiefgreifenden und vor allem bedeutenden Änderungen diese neue Applikation (Transaktion SU24N) für die Berechtigungsvorschlagswertpflege mit sich bringt. Sie können nun individuelle und fachbereichsspezifische Vorschlagsdatenvarianten für jeden möglichen Sachverhalt granular aufschlüsseln und den Endbenutzern zur Verfügung stellen. Dies wird gepaart mit einem sicheren, pflegbareren und nachhaltigeren Rollenbau. Zudem ermöglicht die Hinterlegung von Beschreibungs- oder Änderungstexten eine transparente Nachvollziehbarkeit. Im Hinblick auf den Best-Practice-Rollenbau ist die Transaktion SU24N die bedeutendste Neuerung, mit dem SAP_BASIS Release 7.54. Diese essenziellen Möglichkeiten werden die nächsten Jahrzehnte einen spürbaren Mehrwert für alle Berechtigungsadministratoren bieten.
Falls Sie mehr über unsere Best-Practice-Vorgehensweise beim Rollenbau erfahren möchten oder im Zuge einer SAP S/4HANA-Berechtigungsmigration oder einem Berechtigungs-Redesign eine umfassende Beratung benötigen, stehen wir Ihnen gerne zur Verfügung. Darüber hinaus bieten wir Ihnen eine Vielzahl von verschiedenen Services und Produkten an, um Sie bei der Wartung Ihres Berechtigungswesen zu unterstützen. Überzeugen Sie sich doch einfach selbst in unserem wöchentlichen Webinar zum Thema SAP-Berechtigungen.
