Transaktion SUPO – Best Practice: Anhebung von Berechtigungsfeldern zu OrgEbenen

SAP-Berechtigungen, SAP-Sicherheit Alexander Sambill

Vor allem für große Unternehmen und deren sehr individuellen Anforderungen oder jenen mit einer komplexen Infrastruktur kann es sinnvoll sein, bestimmte Berechtigungsfelder zu organisatorischen Feldern, sogenannten Org-Levels, anzuheben. Dadurch können dedizierte und regulatorisch zwingende Zugriffsszenarien noch genauer ausgesteuert und berechtigt werden. Dies kann nicht nur für Eigenentwicklungen der Fall sein, sondern auch für SAP-Standard-Applikationen. Mithilfe der Anhebung von „normalen“ Berechtigungsfeldern zu Org-Levels können Sie zeitgleich auch den Rollenadministrations- und deren Pflegeaufwand drastisch minimieren.

Ab dem SAP_BASIS 7.50 Support Package (SP) 9 können Sie nun die neue Transaktion SUPO für die Pflege und Anhebung bzw. auch Zurückstufung von Org-Leveln nutzen. Vor diesem SP müssen Sie noch die Reports PFCG_ORGFIELD_* (* = CREATE / DELETE / ROLES / UPGRADE) nutzen. Informative SAP Notes diesbezüglich sind bspw. 727536 und 2535602.

Bei der Anhebung und dem Rückbau von Berechtigungsfeldern gibt es jedoch einiges zu beachten, da Ihr Rollenkonzept sonst möglicherweise irreparable Schäden erleidet. Aus diesem Grund soll dieser Blog neben wichtigen Best-Practice-Hinweisen, Ihnen das notwendige Rüstzeug geben, kundenindividuelle OrgEbenen in Ihr Berechtigungskonzept zu integrieren.

Bitte beachten Sie, dass die Grundlage für den Umgang mit solchen individuellen Org-Leveln ein korrekter und standardkonformen Rollenbau gem. SAP Standard in Zusammenhang mit Berechtigungsvorschlagswerten bedingt. Weitere Informationen können Sie bspw. meinem Blog zum Thema „Xiting Best Practice Rollenbau – Optimaler Rollenbau mit PFCG & SU24“ entnehmen.

Die wichtigsten Vorüberlegungen zur Nutzung der Transaktion SUPO

Auch wenn Sie im ersten Augenblick möglicherweise der Meinung sind, alle Berechtigungsfelder lassen sich zu Org-Ebenen hochleveln, ist dies spätestens konzeptionell nicht korrekt. Viele Berechtigungsfelder sind gar nicht dafür vorgesehen, einen organisatorischen Aspekt auszusteuern oder solch eine dedizierte Zugriffsregulierung umsetzen zu können. 

Was heißt das für Sie im Detail?

Das oberste Kredo ist, dass Sie darauf achten müssen, dass das von Ihnen gewählte Berechtigungsfeld mit den jeweiligen möglichen organisatorischen Werten 1:1 auf das gesamte Berechtigungsprofil der Rolle einsetzbar ist. Durch die zentrale Ausprägung der organisatorischen Werte im Profil bedeutete dies gleichzeitig, dass alle Berechtigungsobjekte, die dieses Berechtigungsfeld im Standard enthalten, genau diese Org-Werte in Korrelation mit den anderen dazugehörigen Berechtigungsfeldern des Objekts bekommen. Wenn Sie diesen Grundsatz für Ihr Szenario nicht gewährleisten können, sollten Sie unbedingt davon Abstand nehmen, ein Berechtigungsfeld anzuheben.

Außerdem müssen Sie darauf achten, dass Sie mit SAP-Standardwerkzeugen wie den Berechtigungsvorschlagswerten (Pflege über die Transaktion SU24) und dem Rollenmenü für Ihre Rollenpflege arbeiten. Sonst können Sie eine automatische Integration und zentrale Pflege der entsprechenden Org-Level nicht nutzen. 

Zudem sollten Sie auf jeden Fall im Hinterkopf behalten, dass das Anheben eines Berechtigungsfeldes relativ schnell und unkompliziert vollzogen werden kann, aber der Rückbau, vor allem nach langjähriger Nutzung dieser, nur sehr schwer bis kaum möglich ist (technisch und zeitlich gesehen).

Darüber hinaus müssen Sie sich auch im Klaren sein, dass eine solche Hochstufung mandantenübergreifend wirkt, womit alle Mandanten eines Systems betroffen sind. Die Hochstufung erfolgt grundsätzlich nur im Entwicklungssystem, da die Transaktion SUPO nach dem Speichern einen Workbench-Transport verlangt, um die Anpassung abschließend per Transport in die Folgesysteme zu verteilen. Die zugehörigen Rollen müssen Sie jedoch wie gewohnt als Customizing-Objekte transportieren.

Überblick zur Transaktion SUPO

Der Startbildschirm der Transaktion SUPO zeigt Ihnen direkt und überblicksartig alle vorhanden organisatorischen Berechtigungsfelder, im SAP Standard und im Kunden- bzw. Partnernamensraum. All die aufgelisteten OrgEbenen können Sie dann auch in der zentralen Org-Level Pflege im Berechtigungsprofil der Rolle über die Transaktion PFCG pflegen. Der Vollständigkeit halber sollte noch erwähnt sein, dass dies natürlich auch für die Berechtigungspflege von SAP Fiori in SAP S/4HANA zutrifft, da Sie hier weiterhin auch Backend-Berechtigungen benötigen und diese über die traditionellen Expertentools, wie z.B. die Transaktionen PFCG, SU24 oder SU01 pflegen und zuweisen.

Der tabellarische Überblick der Transaktion SUPO beinhaltet für Sie folgende Informationen, welche auch in Abbildung 1 nachvollziehbar sind:

•    SAP ORG.: Weist daraufhin, ob es sich um ein SAP Standard oder ein kundenindividuelles (bzw. Partnernamensraum) Org-Level handelt.

•    SU22_STAT: Listet die Applikationen, für welche die entsprechenden Transaktion-SU22-Daten für diese Org-Ebene gepflegt sind.

•    SU24_STAT: Listet die Applikationen, für welche die entsprechenden Transaktion-SU24-Daten für diese Org-Ebene gepflegt sind.

•    PFCG_STAT: Listet die Rollen, welche das jeweilige Org-Level im Berechtigungsprofil haben.

•    Objekte: Listet alle Berechtigungsobjekte auf, die dieses Org-Level-Berechtigungsfeld beinhalten.

Abbildung 1: Transaktion SUPO

Wenn Sie in die jeweiligen Werte der einzelnen Spalten klicken, können Sie über die integrierte Drill-Down-Funktion auch direkt die jeweiligen dazugehörigen Details einsehen.

Anhebung und Rückbau einer kundenindividuellen OrgEbene

Zum Anheben eines Berechtigungsfeldes müssen Sie nun zunächst in der Transaktion SUPO in den Änderungsmodus wechseln. Danach klicken Sie auf den Button „Org-Ebene“ (anlegen) und wählen das entsprechende Berechtigungsfeld per Vorschlagswerthilfe (F4-Hilfe) aus oder geben es manuell ein. Vor allem im Bereich der Eigenentwicklungen kann es hilfreich oder sogar wichtig sein, hier bestimmte eigene organisatorische Vorgaben mit in Ihr bestehendes Rollenkonzept zu integrieren.

Zum Beispiel ist es durchaus üblich, dass basierend auf dem Programm-Code Z* Objekte in der Eigenentwicklung per AUHTORITY-CHECK statement geprüft werden, wie bspw. das Kundenobjekt Z_K_FCO, welches im Programm-Code der Transaktion ZCO_CALC_INT (Kapselung des Programms für die Ausführung) Entwickler-seitig hinterlegt ist. Das Berechtigungsobjekt Z_K_FCO beinhaltet wiederum das Berechtigungsfeld Z_KOSTL, welches als OrgEbene hochgestuft werden soll. Somit geben Sie dieses Berechtigungsfeld auch in der Transaktion SUPO, wie in Abbildung 2 dargestellt, ein und speichern die Eingabe.

Abbildung 2: Anlage von Z_KOSTL als OrgEbene

Aktuell gibt es leider ein Synchronisationsproblem in der Transaktion SUPO, weswegen Sie nun diese Transaktion nochmal starten müssen, um eine Aktualisierung der OrgEbenen-Liste anzustoßen. Daraufhin sehen Sie jegliche Pflege und Verwendungsnachweise dieses Kunden Org-Levels in der Transaktion SUPO (Abbildung 3).

Abbildung 3: Kundenorgebene Z_KOSTL

Nun müssen Sie dieses Berechtigungsfeld-Update zunächst in Ihre Berechtigungsvorschlagswerte (Transaktion SU24) integrieren. Dafür klicken Sie im Änderungsmodus auf das entsprechende Feld in der Spalte „OrgEbene in SU24“. Daraufhin klicken Sie im neuen Fenster auf den Button „SU24-Daten“, um die neue OrgEbene mit den Transaktion SU24-Daten abzugleichen. Nun können Sie das neue Org-Level für neue Rollen direkt nutzen, wenn Sie die Applikationen Ihrer Rollen über das Rollenmenü pflegen (Stichwort „ordnungsgemäßer Rollenbau“). Für bereits existierende Rollen, die das angehobene Berechtigungsfeld noch als „normales“ Feld beinhalten, müssen Sie nun einen manuellen Abgleich fahren. Das bedeutet, Sie gehen zurück in die Übersicht der Transaktion SUPO und klicken auf das Feld in der Spalte „PFCG_STAT“ (Abbildung 3). Hier sehen Sie nun alle Rollen, die Sie mit dieser neuen Änderung noch updaten, sprich den Org-Level-Wert zentral setzen müssen (Abbildung 4).

Abbildung 4: Anzupassende Rollen in der Transaktion SUPO

Sie wählen also wieder die jeweiligen Rollen aus und gleichen mit dem Button „Rollen“, die OrgEbenen-Daten massenhaft ab. Dies ist wichtig, da Sie ja nur im System-Customizing (Transaktion SUPO) das Berechtigungsfeld in seiner Bedeutung geändert haben, jedoch nicht in den jeweiligen Rollen. Nach der Synchronisation sollten alle Rollen mit einem grünen Flag markiert sein, was bedeutet, dass das System die aktuell gepflegten (alten) Werte direkt als zentrale OrgEbenen-Werte zusammengeführt hat (Abbildung 5). Bei einem gelben Flag müssen Sie hier nun die jeweiligen Werte durch eine manuelle Profilsynchronisation der Rolle aktualisieren, da ein automatisierter Abgleich nicht möglich war.

Abbildung 5: Synchronisierte Rollen

Nun ist das Berechtigungsfeld als OrgEbene in allen Berechtigungsprofilen der synchronisierten Rollen, wie in Abbildung 6 zu sehen ($Z_KOSTL), enthalten.

Abbildung 6: Berechtigungsobjekt Z_K_FCO mit Z_KOSTL als Org-Ebene

Für den Rückbau der OrgEbenen müssten Sie nun die Schritte rückwärts gehen. Das bedeutet, zunächst alle Rollen desynchronisieren, dann die Transaktion SU24 entkoppeln und daraufhin das Feld aus der Transaktion SUPO löschen. Dies ist mit einem enormen Arbeitsaufwand verbunden, der je nachdem auch bei einer gewissen Rollenanzahl gar nicht mehr praktisch möglich ist. Daher sollten Sie sich immer vorher überlegen, ob eine Anhebung eines Berechtigungsfeldes nun wirklich für den jeweiligen Fall sinnvoll ist oder es nicht eine ergiebigere Lösung gibt.

Fazit

Ob Sie nun SAP-Standard-Berechtigungsfelder oder eigene Z/Y-Felder anheben, kommt immer auf Ihren Anwendungsfall an, aber eines sollten Sie sich immer gewiss sein, die Anpassung muss auf das gesamte Berechtigungsprofil der Rolle anwendbar sein. Zudem ist für die Arbeit mit diesem Expertentool auch ein umfangreiches Wissen zum Best-Practice-Rollenbau notwendig, damit die etwaigen Anhebungen keinen negativen bzw. überhaupt einen Effekt auf Ihr bestehendes Rollenkonzept haben.

Mithilfe dieses Blogs sind Sie nun in der Lage Ihr eigenen individuellen und abgestimmten OrgEbenen zu erstellen. Dadurch ist eine noch granularere Zugriffsteuerung möglich, die jedoch besonders bei der Umsetzung einige Risiken birgt. Falls Sie daher mehr über unsere Best-Practice-Vorgehensweise beim Rollenbau erfahren möchten oder im Zuge einer SAP S/4HANA-Berechtigungsmigration über eine Hochstufung von OrgEbenen nachdenken, stehen wir Ihnen gerne zur Verfügung. Ab XAMS Service Pack 17 können bei Rollenableitungen mit unserem XAMS-Modul Role Replicator übrigens auch normale Berechtigungsfelder wie Organisationsebenen behandelt werden, womit ein Hochstufen über die Transaktion SUPO bestenfalls vermieden werden kann. Ein Novum, welches so einzigartig ist. Darüber hinaus bieten wir Ihnen eine Vielzahl von verschiedenen Services und Produkte an, um Sie bei der Wartung Ihres Berechtigungswesens zu unterstützen. Überzeugen Sie sich doch einfach selbst und schauen Sie bei einem unserer wöchentlichen Webinare vorbei.

Kontakt

Nehmen Sie Kontakt mit uns auf!

Haben Sie Fragen zu unseren Produkten?

+41 43 422 8803
[email protected]
+49 7656 8999 002
[email protected]
+1 855 594 84 64
[email protected]
+44 1454 838 785
[email protected]
Kontakt
Webinare

Besuchen Sie unsere Live-Webinare und lernen Sie von unseren Experten mehr zu SAP-Berechtigungen, XAMS, SAP IDM und zu vielen weiteren Themen im Kontext von SAP Security.

Hier anmelden