SAST SOLUTIONS Website

SAST SOLUTIONS Website

Pathlock Website

SAST SOLUTIONS ist nun Mitglied der Pathlock-Gruppe

Pathlock Website und Blog

Jetzt Pathlock Blog besuchen: www.pathlock.com/de/blog

Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

4. März 202122. März 2021 | @securityblog

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen Im SAP-Standard gibt es viele Berechtigungsfelder, die nicht als Organisationsebene (OrgEbene) deklariert, sondern mit speziellen Werten ausgeprägt sind. Doch je mehr Berechtigungsfelder ohne OrgEbene organisationsspezifische Werte wie beispielsweise Standort oder Land enthalten, desto höher ist der Anteil an Sonderrollen.

Für eine größtmögliche Transparenz bei der Administration von Rollen und zur Vermeidung unnötiger Rechte – auch im Hinblick auf die Systemsicherheit – sollte die Erzeugung zusätzlicher Sonderrollen jedoch bestmöglich vermieden werden.

Ein Praxisbeispiel: Bei einem unserer Kunden bekamen die Mitarbeiter nur Drucker mit einem bestimmten Länderkürzel angezeigt. Die Benutzer benötigten allerdings auch Zugriff auf weitere Drucker, an anderen Standorten. Es stellte sich also die Frage, wie kann man weitere Länderkürzel vergeben, ohne eine Vielzahl von Sonderrollen erstellen zu müssen?

Zufügung bestimmter Berechtigungsfelder zur OrgEbene

Schauen wir uns den SAP-Standard an, stellen wir fest, dass hier nur ausgewählte Berechtigungsfelder als OrgEbene deklariert sind, zum Beispiel die OrgEbenen Vertriebsorganisation (VKORG), Werk (WERKS), etc. Durch die Zuweisung einer OrgEbene an ein Berechtigungsfeld lässt sich beeinflussen, dass Berechtigungsfelder in jedem Berechtigungsobjekt gleich vergeben werden.

Das obsolete Pflegen von OrgEbenen

Mit dem Report „PFCG_ORGFIELD_CREATE“ lassen sich OrgEbenen auf ein Berechtigungsobjekt definieren. Doch Vorsicht, ab der NetWeaver Version 7.50 sind folgende Reports bereits überholt:

PFCG_ORGFIELD_CREATE
PFCG_ORGFIELD_DELETE
PFCG_ORGFIELD_UPGRADE

Beim Start der Reports erscheint die Fehlermeldung „Der Report PFCG_ORGFIELD_* ist veraltet“. Lesen Sie hierzu auch die SAP Notes 2625102 – Report PFCG_ORGFIELD* is obsolete.

Auszug aus der SAP-Transaktion PFCG – Berechtigungsobjekt S_BLOG, ohne OrgEbene:

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

Wie lassen sich OrgEbenen nun korrekt pflegen?

Um eigene OrgEbenen für den SAP-Standard anlegen zu können, öffnen Sie die Transaktion „SUPO – OrgEbenen pflegen“. Beim Start der Transaktion wird Ihnen ein Überblick über alle bereits existierenden SAP-Standard OrgEbenen angezeigt. Um OrgEbenen zu erstellen oder zu löschen klicken Sie bitte auf den Button „Ändern“.

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

Das Einfügen oder Löschen von Zeilen lässt sich über OK-Codes steuern. Diese OK-Codes geben Sie in der Transaktionsleiste ein:

=CREA_OLVL um eine neue OrgEbene anzulegen
=DELE_OLVL um eine bereits existierende OrgEbene zu löschen

Im Modus „Ändern“ können Sie per Klick auf das Feld „OrgEbene“ Organisationsebenen auch ohne OK-Codes hinzufügen oder entfernen:

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

Wichtiger Hinweis: Zum Löschen einer OrgEbene müssen alle Berechtigungswerte mit dem Berechtigungsfeld aus allen Rollen entfernt werden! Es darf hierzu kein Eintrag in der Tabelle AGR_1252 verfügbar sein.

In die neu angelegte Zeile können Sie nun den Namen der neuen OrgEbene und des bereits vorhandenen Berechtigungsfeldes eingeben. Im Anschluss klicken Sie bitte auf „Speichern“ und fügen die Änderung an eine Aufgabe eines Transportes:

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

Die zuständigen OrgEbenen-Tabellen USORG, USVAR und USVART werden nun automatisch geupdatet:

SAST Blog: Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen

Ziel ist es also, bestimmte Berechtigungsfelder zur OrgEbene zu erheben und diese im Anschluss abzuleiten.

Ein ausgefeiltes Rollenmanagement spart Zeit und Ressourcen

Ein wichtiger Faktor bei der Rollenverwaltung ist es, diese so transparent wie möglich zu gestalten und unnötige Rechtevergaben zu vermeiden, auch im Hinblick auf die SAP-Systemsicherheit. Mit dieser Vorgehensweise erreichen Sie die Einsparung einer großen Anzahl an Sonderrollen und es entstehen zudem weitere positive Effekte aufgrund der durchgängigen Verwendung des Ableitungsprinzips. Das Ergebnis: Eine sehr hohe Zeitersparnis für Ihre Rollenadministration.

Wenn Sie weitere Informationen zum Vermeiden von Sonderrollen und Unterstützung im Rollenmanagement benötigen, besuchen Sie unsere Website oder schreiben Sie uns an.

Maximilian Hauer (SAST SOLUTIONS)
Maximilian Hauer (Consultant SAP Authorizations, SAST SOLUTIONS)

Weitere Beiträge zum Thema:

Rollenanpassung für technische SAP-Benutzer – wie Sie effektiv und sicher mit Berechtigungen umgehen

Self-Adjusting Authorizations: Neues Tool von SAST verschlankt SAP-Rollen intelligent