{"id":2679,"date":"2021-03-04T10:49:53","date_gmt":"2021-03-04T09:49:53","guid":{"rendered":"https:\/\/sast-solutions.de\/blog-de\/?p=2679"},"modified":"2021-03-22T15:12:29","modified_gmt":"2021-03-22T14:12:29","slug":"praxistipp-sonderrollen-vermeiden-sap-system-neue-orgebene-anlegen","status":"publish","type":"post","link":"https:\/\/sast-solutions.de\/blog-de\/2021\/03\/04\/praxistipp-sonderrollen-vermeiden-sap-system-neue-orgebene-anlegen\/","title":{"rendered":"Praxistipp: Wie Sie Sonderrollen vermeiden und in Ihrem SAP-System eine neue OrgEbene anhand eines Berechtigungsfeldes anlegen"},"content":{"rendered":"

\"SASTIm SAP-Standard gibt es viele Berechtigungsfelder, die nicht als Organisationsebene (OrgEbene) deklariert, sondern mit speziellen Werten ausgepr\u00e4gt sind. Doch je mehr Berechtigungsfelder ohne OrgEbene organisationsspezifische Werte wie beispielsweise Standort oder Land enthalten, desto h\u00f6her ist der Anteil an Sonderrollen.<\/p>\n

F\u00fcr eine gr\u00f6\u00dftm\u00f6gliche Transparenz bei der Administration von Rollen und zur Vermeidung unn\u00f6tiger Rechte \u2013 auch im Hinblick auf die Systemsicherheit \u2013 sollte die Erzeugung zus\u00e4tzlicher Sonderrollen jedoch bestm\u00f6glich vermieden werden.<\/p>\n

<\/p>\n

 <\/p>\n

Ein Praxisbeispiel: Bei einem unserer Kunden bekamen die Mitarbeiter nur Drucker mit einem bestimmten L\u00e4nderk\u00fcrzel angezeigt. Die Benutzer ben\u00f6tigten allerdings auch Zugriff auf weitere Drucker, an anderen Standorten. Es stellte sich also die Frage, wie kann man weitere L\u00e4nderk\u00fcrzel vergeben, ohne eine Vielzahl von Sonderrollen erstellen zu m\u00fcssen?<\/p>\n

Zuf\u00fcgung bestimmter Berechtigungsfelder zur OrgEbene <\/strong><\/h2>\n

Schauen wir uns den SAP-Standard an, stellen wir fest, dass hier nur ausgew\u00e4hlte Berechtigungsfelder als OrgEbene deklariert sind, zum Beispiel die OrgEbenen Vertriebsorganisation (VKORG), Werk (WERKS), etc. Durch die Zuweisung einer OrgEbene an ein Berechtigungsfeld l\u00e4sst sich beeinflussen, dass Berechtigungsfelder in jedem Berechtigungsobjekt gleich vergeben werden.<\/p>\n

Das obsolete Pflegen von OrgEbenen <\/strong><\/h2>\n

Mit dem Report \u201ePFCG_ORGFIELD_CREATE\u201c lassen sich OrgEbenen auf ein Berechtigungsobjekt definieren. Doch Vorsicht, ab der NetWeaver Version 7.50 sind folgende Reports bereits \u00fcberholt:<\/p>\n

    \n
  • PFCG_ORGFIELD_CREATE<\/li>\n
  • PFCG_ORGFIELD_DELETE<\/li>\n
  • PFCG_ORGFIELD_UPGRADE<\/li>\n<\/ul>\n

    Beim Start der Reports erscheint die Fehlermeldung \u201eDer Report PFCG_ORGFIELD_* ist veraltet\u201c. Lesen Sie hierzu auch die SAP Notes 2625102 – Report PFCG_ORGFIELD* is obsolete<\/a>.<\/p>\n

    Auszug aus der SAP-Transaktion PFCG \u2013 Berechtigungsobjekt S_BLOG, ohne OrgEbene:<\/p>\n

    \"SAST<\/p>\n

    Wie lassen sich OrgEbenen nun korrekt pflegen?<\/strong><\/h2>\n

    Um eigene OrgEbenen f\u00fcr den SAP-Standard anlegen zu k\u00f6nnen, \u00f6ffnen Sie die Transaktion \u201eSUPO – OrgEbenen pflegen\u201c. Beim Start der Transaktion wird Ihnen ein \u00dcberblick \u00fcber alle bereits existierenden SAP-Standard OrgEbenen angezeigt. Um OrgEbenen zu erstellen oder zu l\u00f6schen klicken Sie bitte auf den Button \u201e\u00c4ndern\u201c.<\/p>\n

    \"SAST<\/p>\n

    Das Einf\u00fcgen oder L\u00f6schen von Zeilen l\u00e4sst sich \u00fcber OK-Codes steuern. Diese OK-Codes geben Sie in der Transaktionsleiste ein:<\/p>\n

      \n
    • =CREA_OLVL um eine neue OrgEbene anzulegen<\/li>\n
    • =DELE_OLVL um eine bereits existierende OrgEbene zu l\u00f6schen<\/li>\n<\/ul>\n

      \"SAST<\/p>\n

      Im Modus \u201e\u00c4ndern\u201c k\u00f6nnen Sie per Klick auf das Feld \u201eOrgEbene\u201c Organisationsebenen auch ohne OK-Codes hinzuf\u00fcgen oder entfernen:<\/p>\n

      \"SAST<\/p>\n

      Wichtiger Hinweis:<\/strong> Zum L\u00f6schen einer OrgEbene m\u00fcssen alle Berechtigungswerte mit dem Berechtigungsfeld aus allen Rollen entfernt werden! Es darf hierzu kein Eintrag in der Tabelle AGR_1252 verf\u00fcgbar sein.<\/p>\n

      In die neu angelegte Zeile k\u00f6nnen Sie nun den Namen der neuen OrgEbene und des bereits vorhandenen Berechtigungsfeldes eingeben. Im Anschluss klicken Sie bitte auf \u201eSpeichern\u201c und f\u00fcgen die \u00c4nderung an eine Aufgabe eines Transportes:<\/p>\n

      \"SAST<\/p>\n

      Die zust\u00e4ndigen OrgEbenen-Tabellen USORG, USVAR und USVART werden nun automatisch geupdatet:<\/p>\n

      \"SAST<\/p>\n

      Ziel ist es also, bestimmte Berechtigungsfelder zur OrgEbene zu erheben und diese im Anschluss abzuleiten.<\/p>\n

      Ein ausgefeiltes Rollenmanagement spart Zeit und Ressourcen<\/strong><\/h2>\n

      Ein wichtiger Faktor bei der Rollenverwaltung ist es, diese so transparent wie m\u00f6glich zu gestalten und unn\u00f6tige Rechtevergaben zu vermeiden, auch im Hinblick auf die SAP-Systemsicherheit. Mit dieser Vorgehensweise erreichen Sie die Einsparung einer gro\u00dfen Anzahl an Sonderrollen und es entstehen zudem weitere positive Effekte aufgrund der durchg\u00e4ngigen Verwendung des Ableitungsprinzips. Das Ergebnis: Eine sehr hohe Zeitersparnis f\u00fcr Ihre Rollenadministration.<\/p>\n

      Wenn Sie weitere Informationen zum Vermeiden von Sonderrollen und Unterst\u00fctzung im Rollenmanagement ben\u00f6tigen, besuchen Sie unsere Website<\/a> oder schreiben Sie uns<\/a> an.<\/p>\n

      \"Maximilian
      \nMaximilian Hauer (Consultant SAP Authorizations, SAST SOLUTIONS)<\/strong><\/p>\n

       <\/p>\n

      Weitere Beitr\u00e4ge zum Thema:<\/h2>\n

      Rollenanpassung f\u00fcr technische SAP-Benutzer \u2013 wie Sie effektiv und sicher mit Berechtigungen umgehen<\/a><\/p><\/blockquote>\n