Benutzergruppen: User- und Rollenverwaltung einschränken

Sie wollen mehr Kontrolle darüber, wer welche User in einem bestimmten SAP-System anlegen, ändern und mit Rollen versehen kann. Vergleichsweise komfortabel geht das über die Berechtigungsobjekte S_USER_GRP und S_USER_SAS. Wir zeigen Ihnen, wie Sie vorgehen müssen.

Es gibt viele Gründe, die Nutzerverwaltung in einzelnen SAP-Systemen einzuschränken: Sie haben die Useranlage und -pflege dezentral organisiert und die Admins sollen nur User aus ihrem Bereich bearbeiten können. Oder Sie arbeiten mit einem IDM und wollen verhindern, dass User direkt im System angelegt und bearbeitet werden können.

Am einfachsten erfolgt die Einschränkung über die Benutzergruppen, die Sie jedem User im Benutzerstamm zuweisen können (Transaktion SU01). Per Default ist das kein Pflichtfeld. Wollen Sie die Userverwaltung über die Benutzergruppen einschränken, müssen Sie das ändern. Doch das ist der letzte Schritt.

Benutzergruppen anlegen

Legen Sie zunächst die Benutzergruppen an, die Sie künftig verwenden wollen (Transkation SUGR), sofern es diese in Ihrem System noch nicht gibt.

Wir verwenden in unserem Beispiel drei Benutzergruppen:

  • STANDARD für alle Dialoguser
  • TEST für Testuser
  • TECH für technische User

Dabei sollen später nur Test- und technische User direkt im System angelegt werden können. Standard-User werden hier über ein Identity Management Tool (IDM) verwaltet.

User einer Benutzergruppe hinzufügen

Damit die Einschränkung der Userverwaltung später wirklich funktioniert, müssen ALLE User im System einer Benutzergruppe zugewiesen werden. User ohne Zuweisung werden sonst automatisch der Default-Gruppe zugewiesen, die Sie im letzten Schritt definieren.

Um sich einen Überblick zu verschaffen, nutzen Sie die Transaktion SU10 und klicken Sie auf den Button „Berechtigungsdaten“. Mit einem Doppelklick in das Feld „Gruppe für Berechtigungen“ selektieren Sie mit „=“ alle User, die keinen Eintrag im Feld „Benutzergruppe“ haben.

Weisen Sie diesen Usern nun die jeweils korrekte Benutzergruppe zu. Massenzuweisungen sind direkt in der SU10 möglich. Einzelnen Usern können Sie die Gruppe auch über SU01 zuweisen.

S_USER_GRP richtig ausprägen

Legen Sie nun eine neue Rolle an oder nutzen Sie eine passende bestehende Rolle, um das Berechtigungsobjekt S_USER_GRP auszuprägen.

Der Admin, dem diese Rolle zugewiesen wird, soll künftig User mit den Benutzergruppen TECH und TEST in diesem System frei verwalten können. Er kann sie also anlegen, ändern, löschen, sperren, zuweisen und so weiter. Normale Dialog-User allerdings werden in diesem System über ein IDM verwaltet. Damit es keine Synchronisierungsfehler gibt, sollen diese User für die Pflege im SAP-System selbst gesperrt sein. Der Admin bekommt lediglich Display-Ansicht für deren Benutzerstammsätze.

S_USER_SAS richtig ausprägen

Die Userverwaltung ist allein über S_USER_GRP vollständig abgedeckt. Das gilt allerdings nicht für die Rollenverwaltung. Früher konnten Sie die Rollenzuweisung nur über S_USER_AGR einschränken. Hier war die Eingrenzung aber lediglich auf einzelne, spezifisch benannte Rollen möglich. Mit dem vergleichsweise neuen Objekt S_USER_SAS können Sie die Rollenzuweisung auch nach Benutzergruppen einschränken.

Auch Rollen soll der Admin in unserem Beispiel nur technischen und Testusern direkt im System zuweisen können. Deshalb prägen wir das Objekt mit ACTVT: 22 (eintragen, aufnehmen, zuordnen) und CLASS: TECH, TEST aus.

Rollen kontrollieren und Objekte deaktivieren

Damit die Berechtigungen aus Ihrer neuen Rolle nicht ins Leere laufen, müssen Sie nun die anderen Rollen des Admin kontrollieren. Stellen Sie sicher, dass er keine Rollen hat, in denen S_USER_GRP und S_USER_SAS umfassender ausgeprägt sind.

Um ganz sicher zu gehen, können Sie sich über die SUIM (Rollen – Rollen nach komplexen Selektionskriterien) alle Rollen anzeigen lassen, die die Objekte S_USER_GRP und S_USER_SAS enthalten. Deaktivieren Sie sie in allen Rollen außer in der, die Sie gerade neu aufgebaut beziehungsweise ausgeprägt haben. Weisen Sie diese neue Rolle dann allen Usern zu, die Benutzer verwalten und Rollenzuweisungen vornehmen sollen.

Wenn Sie in Ihrem Unternehmen Benutzerverwaltung und Rollenzuweisung aus Sicherheitsgründen in verschiedene Hände legen, müssen Sie entsprechend zwei unterschiedliche Rollen ausprägen und zuweisen.

Wichtig: Ohne S_USER_GRP ist der Zugriff auf den Benutzerstamm nicht mehr möglich. Das sollten Sie berücksichtigen.

Benutzergruppe zum Pflichtfeld machen

Benutzer, denen keine Benutzergruppe zugewiesen ist, können von jedem Admin gepflegt und geändert werden – unabhängig davon, ob dessen Rollen eine Einschränkung nach Benutzergruppen enthalten oder nicht.

Deshalb müssen Sie verhindern, dass in Zukunft neue User ohne Benutzergruppe angelegt werden können. Sie müssen die Benutzergruppe also zum Pflichtfeld machen. Gehen Sie dafür über die Transaktion SM30 in die Tabelle USR_CUST.

Setzen Sie hier „USER_GRP_REQUIRED“ und geben Sie als Attribut die Benutzergruppe an, die Sie als Defaultwert vergeben wollen, wenn User direkt im System angelegt werden. In unserem Beispiel sollen alle entsprechenden User Testuser sein.

Auch User, die keine Benutzergruppen-Zuordnung haben (etwa weil Sie in Schritt 2 durchgerutscht sind), erhalten nun vom System automatisch die Zuweisung „TEST“.

Wichtig: S_USER_SAS ist in aktuellen Systemen per Default aktiviert. Ist das bei Ihnen nicht der Fall, erfolgt also keine Berechtigungsprüfung auf S_USER_SAS, wenn Sie Rollen zuweisen, müssen Sie die Prüfung aktivieren. Das geschieht in der Tabelle PRGN_CUST, indem Sie den Customizing-Schalter „CHECK_S_USER_SAS“ mit dem Wert „YES“ versehen.

Vorgehen bei zentraler Benutzerverwaltung (CUA)

Wenn Ihr Unternehmen User zentral verwaltet, also eine zentrale Benutzerverwaltung (CUA) im Einsatz hat, müssen Sie sicherstellen, dass die Einstellung im zentralen und den Kindersystemen übereinstimmen. Sie müssen die User also in beiden Systemen einer Benutzergruppe zuweisen.

Setzen Sie in einem Kindersystem die Einschränkungen nach Benutzergruppen um, wie wir Sie oben beschrieben haben, müssen User, die zentral angelegt werden, IMMER einer passenden Benutzergruppe zugeordnet werden. Andernfalls geschieht folgendes:

  1. Der User, der ohne Benutzergruppe, ins Kindersystem einläuft, erhält dort automatisch die Default-Gruppe.
  2. In der Transaktion SCUL taucht eine Fehlermeldung auf, die eine gültige Usergroup-Zuweisung im zentralen System verlangt.
  3. Ändern Sie den User im zentralen System, ohne dass er dort einer Benutzergruppe zugewiesen ist, werden diese Änderungen im entsprechenden Kindersystem NICHT übernommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.