Benutzerberechtigungen mit Rollen und Profilen pflegen

Objectives

After completing this lesson, you will be able to:
  • das Berechtigungskonzept von AS-ABAP-basierten SAP-Systemen beschreiben
  • Die Beziehung zwischen Berechtigungsobjekten und Berechtigungsprüfungen erläutern
  • Legen Sie mit der Rollenpflegetransaktion eine Berechtigungsrolle an.

Berechtigungskonzept

Benutzer können sich an einem Mandanten eines SAP-Systems anmelden, wenn sie einen Benutzerstammsatz haben und ihren Benutzernamen und ihr Kennwort kennen und wenn der Benutzertyp für die Anmeldeart berechtigt ist. Beispielsweise kann sich ein Kommunikations- oder Systembenutzer nicht über das SAP GUI anmelden.

Nachdem sich die Benutzer am SAP-System angemeldet haben, werden sie produktiv arbeiten, indem sie Anwendungen aufrufen. Wie in der Abbildung „Benutzer und Berechtigungen" dargestellt, findet im SAP-System bei jedem Aufruf einer Anwendung eine Berechtigungsprüfung statt.

Wenn Benutzer versuchen, eine Anwendung zu starten, für die sie keine Berechtigung haben, lehnt das System den Benutzer mit einer Fehlermeldung ab. Wenn der Benutzer eine zulässige Anwendung startet, zeigt das System das Einstiegsbild dieser Anwendung an. Abhängig von der aufgerufenen Anwendung gibt der Benutzer Daten ein und führt Aktionen auf diesem Bild aus. Für die zu schützenden Daten und Aktionen können weitere Berechtigungsprüfungen stattfinden.

Berechtigungsobjekte und Berechtigungsprüfungen

Um das ABAP-Berechtigungskonzept zu verstehen und eigene Rollen und Berechtigungen anlegen zu können, sind Grundkenntnisse von Rollen und Berechtigungsprofilen im Benutzerstammsatz erforderlich.

Im ABAP-basierten SAP-System werden Aktionen und der Zugriff auf Daten durch Berechtigungsobjekte geschützt. Die Berechtigungsobjekte werden von SAP ausgeliefert und sind in den SAP-Systemen vorhanden. Aus Gründen der Übersichtlichkeit sind Berechtigungsobjekte in verschiedene Objektklassen unterteilt.

Berechtigungsobjekte ermöglichen komplexe, an mehrere Bedingungen gebundene Prüfungen, die einem Benutzer erlauben, eine Aktion durchzuführen. Die Bedingungen werden in Berechtigungsfeldern zu den Berechtigungsobjekten angegeben und bei der Prüfung verknüpft. Berechtigungsobjekte und ihre Felder haben beschreibende und technische Namen. Ein Berechtigungsobjekt kann bis zu 10 Berechtigungsfelder umfassen.

Die Abbildung „Berechtigungsrollen" zeigt ein Beispiel für das Berechtigungsobjekt „Benutzerstammpflege: Benutzergruppen" (technischer Name: S_USER_GRP), das Benutzerstammsätze schützt. Das Berechtigungsobjekt S_USER_GRP enthält zwei Felder: Aktivität (technischer Name: ACTVT) und Benutzergruppe im Benutzerstammsatz (technischer Name: CLASS).

Eine Berechtigung ist immer mit genau einem Berechtigungsobjekt verknüpft und enthält den Wert für die Felder eines Berechtigungsobjekts. Eine Berechtigung ist eine Erlaubnis, eine bestimmte Aktion im SAP-System durchzuführen. Die Aktion wird auf der Grundlage der Werte für die einzelnen Felder eines Berechtigungsobjekts festgelegt. Im Beispiel erlaubt die Berechtigung A zum Berechtigungsobjekt S_USER_GRP das Anlegen, Ändern und Anzeigen aller Benutzerstammsätze, die der Benutzergruppe SUPER zugeordnet sind. Die Berechtigung B hingegen erlaubt nur die Anzeige von Benutzerstammsätzen für Benutzergruppen, die mit A-SUPEQ und SUPERA-Z beginnen.

Aus einem Berechtigungsobjekt können mehrere Berechtigungen generiert werden. Einige Berechtigungen werden bereits von SAP ausgeliefert, aber die meisten werden speziell für die Anforderungen des Kunden angelegt.

Wenn sich ein Benutzer an einem Mandanten eines SAP-Systems anmeldet, werden seine Berechtigungen in den Benutzerkontext geladen (siehe Abbildung Berechtigungsprüfung). Der Benutzerkontext liegt im Benutzerpuffer (im Hauptspeicher) des Anwendungsservers. Er kann über die Transaktion SU56angezeigt werden.

Wenn ein Benutzer eine Transaktion aufruft, prüft das System, ob der Benutzer im individuellen Benutzerkontext die erforderliche Berechtigung zum Aufruf der ausgewählten Transaktion hat. Berechtigungsprüfungen nutzen die Berechtigungen im Benutzerkontext. Werden dem Benutzer neue Berechtigungen zugeordnet, dann kann es notwendig sein, dass dieser sich neu am SAP-System anmelden muss, damit diese genutzt werden können. (Weitere Informationen finden Sie im SAP-Hinweis 452904 – Verlust der Berechtigung nach Profilgenerierung und in der Dokumentation des Parameters auth/new_buffering).

Ist die Berechtigungsprüfung für den Aufruf einer Transaktion erfolgreich, wird das Einstiegsbild der Transaktion angezeigt. Abhängig von der Transaktion kann der Benutzer Daten anlegen bzw. Aktionen auswählen. Wenn der Benutzer den Dialogschritt abschließt, werden die Daten an den Dispatcher gesendet, der sie zur Verarbeitung an einen Dialog-Workprozess übergibt. Für die zu schützenden Daten und Aktionen wurden von den ABAP-Entwicklern Berechtigungsprüfungen (Befehl AUTHORITY-CHECK) im Coding eingebaut, die zur Laufzeit im Workprozess geprüft werden. Wenn Benutzer alle erforderlichen Berechtigungen in ihrem individuellen Benutzerkontext für die Prüfungen haben (Rückgabewert = 0), werden die Daten und Aktionen verarbeitet und das nächste Bild wird angezeigt. Wenn die erforderliche Berechtigung fehlt, werden die Daten und Aktionen nicht verarbeitet, und der Benutzer erhält eine Meldung, dass die zugeordneten Berechtigungen nicht ausreichen. Dieses wird durch das Auswerten des Rückgabewerts gesteuert. In diesem Fall ist er ungleich 0.

Alle Berechtigungen sind Erlaubnisse. Es gibt keine Berechtigungen, die Aktionen verbieten. Es ist alles verboten, was nicht explizit erlaubt ist. Es handelt sich also um ein positives Berechtigungskonzept.

Rollenpflege mit Menüs und Berechtigungen

Ein Screenshot zeigt die Auswahl von Transaktionen über das Rollenmenü. Diese Transaktionen werden mit verschiedenen PFCG-Rollen verknüpft und mehreren ABAP-Benutzern zugeordnet.

Die Rollenpflege (Transaktion PFCG, früher auch Profilgenerator genannt) vereinfacht die Erstellung von Berechtigungen und deren Zuordnung zu Benutzern. Wie in der Abbildung „Rollenpflege" dargestellt, werden in PFCG Transaktionen ausgewählt, die aus Unternehmenssicht zusammengehören. Die Rollenpflege legt automatisch Berechtigungen mit den erforderlichen Feldwerten für die Berechtigungsobjekte an, die in den ausgewählten Transaktionen geprüft werden.

Eine Rolle kann mehreren Benutzern zugeordnet werden. Änderungen an einer Rolle wirken sich daher auf mehrere Benutzer aus. Benutzer können verschiedenen Rollen zugeordnet sein.

Dieses Bild zeigt auf der linken Seite verschiedene Funktionen wie Transaktionen, SAP-Fiori-Kataloge, Web Dynpros für ABAP, Web-Links und Reports, die beim Bearbeiten einer einzelnen Rolle auf der Registerkarte Menü in Transaktion PFCG eingebunden werden können. Im rechten Teil des Bildes wird Drag&Drop im PFCG-Rollenmenü angezeigt.

Wie in der Abbildung „Menülayout" dargestellt, besteht das Benutzermenü aus den Rollenmenüs und enthält die Einträge (startbare Anwendungen, URLs, Berichte usw.), die dem Benutzer über die Rollen zugeordnet sind.

Um das Menü einer Rolle in PFCG zu bearbeiten, geben Sie den Namen der Rolle ein, und wählen Sie das Symbol für Anlegen oder Ändern. Wählen Sie die Registerkarte Menü.

Hier können Sie Funktionen auswählen und ändern: Der Menübaum kann für die einzelnen Rollen nach Bedarf angepasst werden.

  • Sie können startbare Anwendungen wie Transaktionen, Web-Dynpro-Anwendungen oder SAP-Fiori-Objekte (z.B. Kataloge oder Gruppen) in die Baumstruktur einfügen und vorhandene Einträge löschen.

  • Wenn Sie im Dropdown-Menü von „Knoten einfügen" Bericht wählen, können Sie auch Berichte integrieren. Die Rollenpflege erzeugt in diesem Fall (wenn nicht schon vorhanden) Transaktionscodes, über die diese Berichte aufgerufen werden können.

  • Wenn Sie im Dropdown-Menü der Drucktaste Knoten einfügen die Funktion Web-Adresse oder Datei wählen, können Sie Internetadressen oder Dateiverweise (z.B. Tabellen oder Textdateien) hinzufügen. Bei der Integration von Dateien müssen anstelle von URLs die zugehörigen Ablagepfade angegeben werden. Sie können auch SAP-Business-Warehouse-Webberichte und Links zu externen Mailsystemen und Knowledge Warehouse angeben.

  • Die Berechtigungen für SAP-Fiori-Anwendungen werden auch über die Rollenpflege angelegt. Sie können Berechtigungen für SAP-Fiori-Kataloge, SAP-Fiori-Gruppen und ab SAP S/4HANA 2020 auch für SAP-Fiori-Bereiche pflegen, indem Sie die Option SAP Fiori Launchpad im Dropdown-Menü der Drucktaste Transaktion wählen.

Notiz

Das Content-Modell und das Berechtigungsmodell werden in dieser Lektion näher erläutert. Die neuen SAP-Fiori-Launchpad-Objekte "Bereiche" und "Seiten" werden in diesem Kurs jedoch nicht behandelt.

Darüber hinaus können Sie Menüs ändern, indem Sie Verzeichnisse oder Unterverzeichnisse Ihren Anforderungen entsprechend anlegen, verschieben, löschen oder umbenennen. In der Rollenpflege steht die Drag&Drop-Funktion zur Verfügung.

Das erste Bild auf der linken Seite zeigt die Registerkarte Berechtigungen bei der Pflege einer PFCG-Rolle gelb an und hebt die Bleistift-Drucktaste als Schritt 1 zum Ändern von Berechtigungsdaten hervor. Er verweist auf die Schritte 2 und 3 als Teil des zweiten Bilds, das einige Details beim Pflegen und Generieren von Berechtigungsprofilen für eine PFCG-Rolle anzeigt.

Die Rollenpflegeerzeugt automatisch die Berechtigungen, die zu den im Menübaum angegebenen Transaktionen gehören. Trotzdem müssen alle Berechtigungswerte entsprechend den tatsächlichen Anforderungen und Befugnissen beim Kunden manuell überprüft und gegebenenfalls angepasst werden. Für diese Aufgaben ist der Systemadministrator in Zusammenarbeit mit der jeweiligen Fachabteilung verantwortlich. Wenn Sie Organisationsebenen verwenden, führen Sie die Pflege nicht direkt im Feld durch, sondern über die Drucktaste Organisationsebenen....

Wie in der Abbildung Berechtigungsprofile generieren dargestellt, wählen Sie die Registerkarte Berechtigungen und dann je nach Pflegemodus Berechtigungsdaten anzeigen oder Berechtigungsdaten ändern. Überprüfen Sie den Umfang und den Inhalt der Berechtigungen.

Wenn Systemvorschläge vorhanden sind, zeigt eine grüne Ampel in der Berechtigungsübersicht an, dass die Rollenpflege für jedes Berechtigungsfeld mindestens einen Vorschlag geliefert hat. Eine gelbe Ampel weist darauf hin, dass manuell nachgepflegt werden muss. Die Rollenpflege stellt keinen Vorschlagswert für die Berechtigung bereit. Im obigen Beispiel, das sich mit der Benutzerpflege in Bezug auf Benutzergruppen befasst, bietet die Rollenpflege keinen Vorschlag darüber an, welche Benutzergruppen von einem Benutzer gepflegt werden sollen, der dieser Rolle zugeordnet wird.

Manche Felder kommen in vielen Berechtigungen vor. Einige wichtige Felder wurden daher zu sogenannten Organisationsebenen zusammengefasst, wie z.B. der Buchungskreis. Pflegt man die Organisationsebene über die dafür vorgesehene Schaltfläche Orgebenen... durch einen Eintrag, pflegt man alle darin vorkommenden Felder auf einmal. Eine rote Ampel zeigt daher eine nicht gepflegte Organisationsebene an.

Sind alle Berechtigungen bedarfsgerecht gepflegt, kann das Berechtigungsprofil durch Anklicken der Drucktaste Generieren erzeugt werden. Nach dem Anlegen ist der Profilname nicht mehr änderbar. Die Berechtigungen werden in Profilen gruppiert. Die Profile müssen (von der Rollenpflege) in den Benutzerstammsatz eingetragen werden, damit die Berechtigungen für den Benutzer wirksam sind. Dies wird als Benutzerabgleich bezeichnet.

Notiz

Der Profilname darf als zweites Zeichen nicht einen Unterstrich (Zeichen „_") enthalten. Siehe SAP-Hinweis 16466 – Kundennamensbereich SAP-Objekte.

Nach dem Anlegen ist der Profilname nicht mehr änderbar. Die Berechtigungen werden in Profilen gruppiert. Die Profile müssen (von der Rollenpflege) in den Benutzerstammsatz eingetragen werden, damit die Berechtigungen für den Benutzer wirksam sind. Dies wird als Benutzerabgleich bezeichnet.

Benutzer und Rollen

Die Zuordnung von Benutzern zu Rollen wird in der Transaktion für die Rollenpflege (PFCG) oder in der Transaktion für die Benutzerpflege (SU01) vorgenommen. Wählen Sie die Registerkarte Benutzer und dort die zu pflegenden Benutzerkennungen aus. Bei der Auswahl der Benutzerkennungen verwendet das System das Tagesdatum als Beginn der Gültigkeit der Zuordnung; als Enddatum wird der 31.12.9999 gesetzt. Beide Werte können verändert werden.

Einzelnen Benutzern und/oder mehreren Benutzern sind unterschiedliche Einzelrollen zugeordnet.

Wie in der Abbildung Benutzern Rollen zuordnen dargestellt, können Benutzer mit mehreren Rollen verbunden werden. Dies kann beispielsweise dann sinnvoll sein, wenn einzelne Tätigkeiten (z.B. Drucken) rollenübergreifend zulässig sein sollen.

Die Zuordnung von Rollen zu Benutzern verleiht deren Trägern nicht automatisch die entsprechenden Berechtigungen. Zur Zuordnung der Berechtigungen muss zunächst ein Benutzerabgleich durchgeführt werden, bei dem das Profil der Rolle in den Benutzerstammsatz eingetragen wird. Dies ist in der Abbildung Benutzerabgleichdargestellt.

Ein Screenshot der Transaktion PFCG mit der Registerkarte Benutzer und der Drucktaste Benutzerabgleich ist mit einer Bubble namens Berechtigungsprofil verknüpft. Dieses Berechtigungsprofil ist mit drei verschiedenen ABAP-Benutzern verbunden.

Ein Benutzerabgleich bestimmt, ob dem aktuellen Benutzer aufgrund der individuellen Rollenzuordnung Berechtigungsprofile hinzugefügt oder daraus entfernt werden sollen. Profile werden aufgrund hinzugekommener Rollen bei einem Abgleich in den Benutzerstammsatz eingetragen. Wenn Rollenzuordnungen manuell oder zeitabhängig gesteuert aufgehoben werden, werden die entsprechenden Berechtigungsprofile aus dem Benutzerstammsatz gelöscht.

Der Abgleich kann für jede Rolle einzeln erfolgen. Wählen Sie hierzu die Rolle in der Rollenpflege (Transaktion PFCG), wählen Sie die Registerkarte Benutzer und dann Benutzerabgleich. Wählen Sie im daraufhin angezeigten Dialogfenster Vollständiger Abgleich.

Wenn Sie mehrere Rollenzuordnungen aktualisieren müssen, können Sie in der Rollenpflege unter HilfsmittelMassenabgleich (Transaktion PFUD) einen entsprechenden Abgleich durchführen. Sie können die gewünschten Rollen einzeln angeben oder durch Eingabe des Sternchens (*) alle Zuordnungen aktualisieren.

Der periodische Benutzerstammabgleich wird ebenfalls in der Transaktion PFCG unter HilfsmittelMassenabgleich aktiviert. Wählen Sie die Option Hintergrundjob für den Gesamtabgleich einplanen oder überprüfen. Sie gelangen dann in ein Suchfenster für den Hintergrundjob PFCG_TIME_DEPENDENCY. Wird kein entsprechender Job gefunden, können Sie diesen neu anlegen. Mit dem Standardwert werden alle Benutzerstammsätze einmal pro Tag abgeglichen.

Hinweis

Wenn Sie proaktiv sicherstellen möchten, dass der Benutzer SAP* für die meisten Notfallsituationen nicht mehr erforderlich ist und das allgemeine Profil SAP_ALL nicht mehr dem Notfallbenutzer zugeordnet werden muss, lesen Sie den SAP-Hinweis 76829 – Notfallrolle zur Benutzeradministration.

Rollenpflege

Unternehmensszenario

Berechtigungen für Benutzer werden angelegt, indem ihnen Rollen und Berechtigungsprofile zur Verfügung gestellt werden. Als Benutzeradministrator sind Sie für das Anlegen von Rollen in SAP-Systemen verantwortlich.

Notiz

Wenn die Werte in dieser Übung ## enthalten, ersetzen Sie die Zeichen durch die Nummer, die Ihnen Ihr Referent zugewiesen hat.

Aufgabe 1: Eine Rollenvorlage kopieren

Sie möchten eine vorhandene SAP-Standardrolle in Ihre eigene Rolle kopieren und ihr einen Benutzer zuordnen.

Schritte

  1. Rufen Sie im Mandanten 100 Ihres SAP-Systems die Rollenpflege (Transaktion PFCG) auf, und suchen Sie nach der Einzelrolle SAP_BC_ENDUSER.

    1. Melden Sie sich im Mandanten 100 Ihres SAP-Systems an.

    2. Starten Sie die Transaktion PFCG.

    3. Verwenden Sie im Feld Rolle die Eingabehilfe (F4), um nach einer Rolle zu suchen.

    4. Geben Sie im Dialogfenster RollennameSAP_BC_ENDUSER in das Feld Einzelrolle ein.

    5. Wählen Sie Suche starten.

      Ergebnis

      Es wurde eine Rolle mit unkritischen Basisberechtigungen für alle Benutzer gefunden.

    6. Doppelklicken Sie in der Suchergebnisliste auf die gefundene Rolle.

  2. Kopieren Sie die Rolle SAP_BC_ENDUSER vollständig in Ihre eigene Rolle Z_BC_ENDUSER_##.

    1. Kehren Sie zum Bild Rollenpflege zurück, und wählen Sie in der Anwendungsfunktionsleiste Rolle kopieren.

    2. Geben Sie im daraufhin angezeigten Dialogfenster Z_BC_ENDUSER_## in das Feld nach Rolle ein, und wählen Sie Alle kopieren.

      Ergebnis

      Die SAP-Standardrolle wurde in Ihre benutzerdefinierte Rolle kopiert.

  3. Bearbeiten Sie die Rolle und überprüfen Sie die Transaktionen im Rollenmenü.

    1. Kehren Sie zum Bild Rollenpflege zurück, und wählen Sie Ändern neben dem Feld Rolle.

    2. Ändern Sie bei Bedarf die Rollenbeschreibung.

    3. Wechseln Sie auf die Registerkarte Menü.

    4. Zeigen Sie die Transaktionscodes an, indem Sie Technische Namen einschalten wählen.

    5. Öffnen Sie den Ordner Basisfunktionen im Rollenmenü, und prüfen Sie, welche Einträge im Rollenmenü enthalten sind.

      Ergebnis

      Die Transaktionen SU3, SU53 und die Web-Dynpro-Anwendung WDHC_HELP_CENTER sollten angezeigt werden.

  4. Prüfen Sie die Berechtigungen der Rolle, und pflegen Sie ggf. offene Berechtigungen.

    1. Wechseln Sie auf die Registerkarte Berechtigungen.

    2. Wählen Sie unter Berechtigungsdaten bearbeiten und Profile generieren die Option Berechtigungsdaten ändern.

    3. Expandieren Sie auf dem Bild Rolle ändern: Berechtigungen die Ordnerstruktur, und prüfen Sie die Berechtigungen.

      Sie können dies schnell tun, indem Sie den Ordner markieren und Teilbaum expandieren wählen.

    4. Pflegen Sie ggf. offene Berechtigungen.

      Notiz

      Da die im Rollenmenü enthaltenen Anwendungen unkritisch sind und in der Regel allen Endbenutzern zur Verfügung gestellt werden, erscheinen in der Struktur nur Startberechtigungsobjekte. Bei Startberechtigungsobjekten werden alle Felder automatisch mit Werten gefüllt und sollten nicht gepflegt werden.

  5. Generieren Sie das Berechtigungsprofil für die Rolle.

    1. Wählen Sie auf dem Bild Rolle ändern: Berechtigungen die Option Generieren, um Ihre Profileinstellungen zu generieren (und zu sichern).

    2. Das System schlägt einen automatisch generierten Profilnamen vor. Sie können sie nicht ändern. Passen Sie bei Bedarf die Profilbeschreibung im Feld Text an.

    3. Wählen Sie Ausführen.

      Ergebnis

      Das Berechtigungsprofil wurde für die Rolle generiert.

    4. Wählen Sie Zurück, um das Bild Rolle ändern: Berechtigungen zu verlassen.

      Hinweis

      Sie müssen nicht erneut sichern, da dies bereits mit der Funktion Generieren durchgeführt wurde.

  6. Ordnen Sie die Rolle dem Benutzer ADMIN-## zu.

    1. Kehren Sie auf dem Bild Rollen ändern zur Registerkarte Benutzer zurück.

      Notiz

      Wenn der Benutzer ADMIN-## nicht vorhanden ist, legen Sie in der Transaktion SU01 in einem neuen Modus einen Benutzer mit dieser Benutzer-ID an.

    2. Geben Sie in der Spalte Benutzer-IDADMIN-## ein.

    3. Wählen Sie unten rechts Sichern.

  7. Führen Sie einen Benutzerabgleich für die Rolle Z_BC_ENDUSER_## durch.

    1. Wählen Sie auf der Registerkarte Benutzer die Option Benutzerabgleich.

    2. Wählen Sie Vollständiger Vergleich.

    3. Nachdem der Vergleich abgeschlossen ist, wählen Sie Abbrechen, um das Dialogfenster zu schließen.

      Ergebnis

      Sie sehen die grüne Ampel für den Benutzerabgleich. Das bedeutet, dass der Benutzerstammsatz vollständig mit der Rolle abgeglichen und dem Benutzer das Berechtigungsprofil zugeordnet wurde.

  8. Prüfen Sie, ob der Benutzer ADMIN-## die Berechtigungen erhalten hat.

    1. Melden Sie sich am Mandanten 100 Ihres SAP-Schulungssystems mit der Benutzer-ID ADMIN-## und dem Produktivkennwort an, das Sie in der vorherigen Übung festgelegt haben.

      Auf dem Bild SAP Easy Access sollten Sie sehen, dass dem Benutzer ADMIN-## ein Benutzermenü zugeordnet ist.

    2. Starten Sie die Transaktion SU3 und SU53. Sind Sie dazu berechtigt?

      Ergebnis

      Der Benutzer ADMIN-## hat die Berechtigungen zum Ausführen der Transaktionen.

Aufgabe 2: Eigene Rolle anlegen

Anstatt die SAP-Standardrolle zu kopieren, möchten Sie eine benutzerdefinierte Rolle anlegen. Legen Sie die Einzelrolle MONITORING_## an, um SAP-Transaktionen zu autorisieren.

Schritte

  1. Legen Sie in der Rollenpflege (Transaktion PFCG) die Einzelrolle MONITORING_## an.

    1. Melden Sie sich am Mandanten 100 Ihres zugeordneten SAP-Schulungssystems an.

    2. Starten Sie die Transaktion PFCG.

    3. Geben Sie im Feld RolleMONITORING_## ein.

    4. Wählen Sie Einzelrolle anlegen.

    5. Geben Sie im Feld Beschreibung eine geeignete Beschreibung ein.

    6. Wählen Sie unten rechts Sichern.

  2. Legen Sie ein Rollenmenü mit den Transaktionen SM50, SM51, SM04 und SU01 an.

    1. Wechseln Sie auf die Registerkarte Menü.

    2. Wählen Sie Knoten einfügenTransaktion.

    3. Geben Sie im Dialogfenster Transaktionen zuordnen die folgenden Transaktionscodes ein:

      Transaktionen

      TransaktionscodeText
      SM50Workprozesse der AS-Instanz
      SM51Gestartete AS-Instanzen
      SM04Anmeldung an einer AS-Instanz
      SU01Benutzerpflege

    4. Wählen Sie Transaktionen zuordnen.

    5. Wählen Sie unten rechts Sichern.

  3. Pflegen Sie Berechtigungen für die Rolle MONITORING_##. Vergeben Sie die Berechtigungen für die Administration der Benutzergruppe ADMINTEAM_##, indem Sie das Berechtigungsobjekt S_USER_GRP bearbeiten.

    1. Wechseln Sie zur Registerkarte Berechtigungen.

    2. Wählen Sie unter Berechtigungsdaten bearbeiten und Profile generieren die Option Berechtigungsdaten ändern.

    3. Wählen Sie im Dialogfenster Organisationsebenen definieren die Option Gesamtberechtigung.

      Notiz

      In dieser Übung wird dies nur aus Gründen der Einfachheit durchgeführt. Normalerweise stellen Sie Einzelberechtigungen für die in Ihrem Unternehmen definierten Organisationsebenen bereit.

    4. Wählen Sie Sichern.

    5. Expandieren Sie auf dem Bild Rolle ändern: Berechtigungen den Ordner Objektklasse BC_A.

    6. Expandieren Sie das Berechtigungsobjekt S_USER_GRP.

    7. Expandieren Sie die generierte Berechtigung.

      Ergebnis

      Sie sehen, dass das Feld ACTVT bereits gepflegt ist. Sie müssen jedoch Werte in das Feld CLASS eingeben.

    8. Pflegen Sie das Feld CLASS, indem Sie Ändern wählen.

    9. Wählen Sie als Feldwert ADMINTEAM_## über die Eingabehilfe F4 aus.

    10. Wählen Sie Übernehmen.

    11. Pflegen Sie das Feld ACTVT, indem Sie Ändern wählen.

    12. Heben Sie die Auswahl aller Aktivitäten außer Anzeigen auf.

    13. Wählen Sie Übernehmen.

    14. Pflegen Sie weitere offene Berechtigungen.

      Sie können beispielsweise die Drucktaste Status mit der roten Ampel oben wählen und die Systemabfrage zur Vergabe der Gesamtberechtigung mit Ausführen bestätigen.

      Notiz

      In dieser Übung sollten Sie nur der Einfachheit halber Gesamtberechtigungen vergeben. In „der Praxis" sollten Sie die einzelnen Berechtigungen sehr sorgfältig anpassen.

  4. Generieren Sie das Berechtigungsprofil für die Rolle.

    1. Wählen Sie auf dem Bild Rolle ändern: Berechtigungen die Option Generieren, um Ihre Profileinstellungen zu generieren (und zu sichern).

    2. Das System schlägt einen automatisch generierten Profilnamen vor. Sie können sie nicht ändern. Passen Sie bei Bedarf die Profilbeschreibung im Feld Text an.

    3. Wählen Sie Ausführen.

      Ergebnis

      Das Berechtigungsprofil wurde für die Rolle generiert.

    4. Wählen Sie Zurück, um das Bild Rolle ändern: Berechtigungen zu verlassen.

      Hinweis

      Sie müssen nicht erneut sichern, da dies bereits mit der Funktion Generieren durchgeführt wurde.

  5. Ordnen Sie in der Benutzerpflege (Transaktion SU01) dem Benutzer ADMIN-## die Rolle MONITORING_## zu.

    1. Starten Sie die Transaktion SU01.

    2. Suchen Sie auf dem Einstiegsbild nach dem Benutzerstammsatz von ADMIN-##, und öffnen Sie ihn im Bearbeitungsmodus, indem Sie Ändern wählen.

      Notiz

      Wenn der Benutzer ADMIN-## nicht vorhanden ist, legen Sie in der Transaktion SU01 in einem neuen Modus einen Benutzer mit dieser Benutzer-ID an.

    3. Wechseln Sie auf die Registerkarte Roles.

    4. Fügen Sie in der Spalte Rolle die Rolle MONITORING_## hinzu. Verwenden Sie bei Bedarf die F4-Wertehilfe, um sie zu finden.

    5. Wählen Sie unten rechts Sichern.

      Ergebnis

      Wenn Sie die Rolle dem Benutzer im Benutzerstammsatz in SU01 zuordnen, wird der Benutzerabgleich automatisch durchgeführt.

  6. Prüfen Sie, ob der Benutzer ADMIN-## die Berechtigungen der neuen Rolle MONITORING_## erhalten hat.

    1. Melden Sie sich am Mandanten 100 Ihres SAP-Schulungssystems mit der Benutzer-ID ADMIN-## und dem Produktivkennwort an, das Sie in der vorherigen Übung festgelegt haben.

    2. Rufen Sie die Transaktion SU01 auf.

  7. Versuchen Sie, den Benutzerstammsatz des Benutzers TRAIN-## zu ändern, den Sie in der vorherigen Übung der Benutzergruppe ADMINTEAM_## zugeordnet haben. Können Sie das machen?

    1. Suchen Sie auf dem Einstiegsbild nach dem Benutzerstammsatz von TRAIN-##, und öffnen Sie ihn im Bearbeitungsmodus, indem Sie Ändern wählen.

      Ergebnis

      Der Benutzer ADMIN-## ist nicht berechtigt, den Benutzer TRAIN-## zu ändern, da er der Benutzergruppe ADMINTEAM_## zugeordnet ist. Der Benutzer ADMIN-## hat nur Anzeigeberechtigungen.

Learning

SAP FacebookSAP YoutubeSAP LinkedIn