Die Rolle für alle Benutzer (FALLE)

Die Rolle für alle Benutzer

In den meisten Berechtigungskonzepten wird immer eine Rolle benannt, die als Basis-Rolle für alle Benutzer bezeichnet wird. Ich habe hierzu auch schon den Ausdruck „Die Falle-Rolle“ oder nur FALLE gehört, wobei FALLE für „für alle“ steht.

Warum sollte man eine derartige Rolle anlegen?

Sie können jedem Benutzer eine Rolle anlegen, die seinen Arbeitsplatz beschreibt, und haben dann  in etwa so viele Rollen, wie Mitarbeiter. Um Überschneidungen zu vermeiden, können Sie nun die Mitarbeiter mit gleichen „Arbeitsplatzausprägungen“ in Gruppen zusammenfassen und damit die Rolle einer solchen Gruppe geben.

Sicherlich hätte das Vorteile auf die Größe des Benutzerpuffers für den einzelnen Benutzer. Bei Änderungen haben Sie aber enormen Arbeitsaufwand. Außerdem werden die Rollen im Zeitablauf immer größer werden, wenn Sie berücksichtigen, dass Urlaubsvertretungen vorkommen können. Dann erhält ein Benutzer die Riesen-Rolle des anderen zusätzlich.

Auf lange Sicht ist das wohl nicht der optimale Weg die Rollen anzulegen.

Ziel muss es sein, einen „Stapel“ Rollen zu haben, der ohne viele Doppelbelegungen den Benutzern zuordenbar ist. Dabei sollen alle Restriktionen bzgl. der Rechte der Benutzer eingehalten werden, trotzdem dem Benutzer nur eine minimale Menge an Rollen zugeordnet werden. Das Optimum könnte man in der Transaktion SU56 sehen, wenn für jeden Benutzer immer nur ein B-Objekt über alle Rollen zugeordnet wäre.

Das allerdings wäre das andere Extrem: Man hat für jede Objektausprägung eine gesonderte Rolle! Sie müssen also einen Kompromiss eingehen!

Ein Vorschlag ist zunächst alle Transaktionen und Rechte, die jeder Benutzer haben darf, in eine Rolle zu packen. Sie hätten somit also die „Falle„. Dann können Sie in alle anderen Rollen die Transaktionen der „Falle“ herauslassen.

Welche Transaktionen sind das?

Sicherlich kann ich hier nur einen Ausschnitt präsentieren, da bei jedem Unternehmen die Restriktionen anders gelagert sind. So gilt bei dem einen, dass z.B. alle Benutzer die Spoollisten anderer Benutzer ansehen und drucken dürfen. Jeder darf bspw. einen Download oder Upload von Listen durchführen etc. Andere Unternehmen sehen das strickter und verbieten Up- und Download, Änderungen am ALV etc.

Fast unstrittig dürften aber Transaktionen sein, wie

TCODE Bedeutung idx
S00 Kurznachricht
SEARCH_SAP_MENU Suche im SAP Menü
SESS Session Manager Menübaumanzeige
SO* SAPOffice-Transaktionen
SP02 Anzeigen von Spool-Aufträgen
SRET Berichtsauswahl
SU3 Benutzer eigene Daten pflegen
SU52 Eigene Benutzerparameter pflegen
SU53 Auswertung der Berechtigungspüfung
SU56 Benutzerpuffer analysieren
SU01D Benutzeranzeige (1)
ST22 ABAP Dumpanalyse (2)
SM37 Übersicht über Jobauswahl (3)
SMX Eigene Jobs (Menü) als Alternative zu SM37 (3)
SM04 Benutzerliste (4)
SM04 Benutzerliste (4)
SM50 Workprozess-Übersicht (5)
SBWP SAP Business Workplace  

Über die mit der Ziffer in der Spalte idx kann man sich sicherlich trefflich streiten :-). Aber

  • (1) : warum sollte ein Benutzer nicht einen anderen Benutzerstammsatz sehen dürfen?
  • (2):  Falls ein Benutzer eine Dump produziert und sich an den Support wendet, kann er doch telefonisch schon einiges an Auskunft geben, oder
  • (3): Warum sollte man Jobs nicht anzeigen dürfen (Act: SHOW, PROT)
  • (4): Warum sollte man keine Benutzerliste anschauen dürfen, um zu wissen wer am System ist?
  • (5): Warum sollte man nicht die Workprozesse ansehen dürfen (aber mit S_ADMI_FCD != PADM)?

All diese Transaktionen könnten aber der Inhalt einer „FALLE-ROLLE“ bilden!

Ich stelle dies einfach mal zur Diskussion und bin gespannt auf die Kommentare

Viele Grüße

Bernd Klüppelberg

10 Responses to “Die Rolle für alle Benutzer (FALLE)”

  1. Hallo Bernd,

    in deiner FALLE-Rolle würdest Du SO* SAP Office Transaktionen emfehlen.

    Das wären dann (siehe unten) viele, unter anderen auch Transaktionen die eher ein Admin verwenden sollte. Insbesondere wenn man hier Workithems den Usern zuordnet.
    Ich würde das für die Enduser ein wenig enger fassen wollen als SO*.

    Viele Grüße
    Holger

    SPRSL TCODE TTEXT
    D SO00 SAPoffice: Kurznachricht
    D SO01 SAPoffice Eingang
    D SO01X SAPoffice Eingang
    D SO02 SAPoffice Ausgang
    D SO02X SAPoffice Ausgang
    D SO03 SAPoffice Persönliche Ablage
    D SO03X SAPoffice Persönliche Ablage
    D SO04 SAPoffice Allgemeine Ablage
    D SO04X SAPoffice Allgemeine Ablage
    D SO05 SAPoffice: Persönliche Papierkorb
    D SO05X SAPoffice: Persönliche Papierkorb
    D SO06 SAPoffice: Vertretung ein/aus
    D SO07 SAPoffice Wiedervorlage
    D SO07X SAPoffice Wiedervorlage
    D SO10 SAPscript Standardtexte
    D SO12 SAPoffice Benutzerstamm
    D SO13 SAPoffice Vertreter
    D SO15 SAPoffice: Verteilerlisten
    D SO16 SAPoffice Profile
    D SO17 SAPoffice: Allg. Papierkorb löschen
    D SO18 SAPoffice: Allgemeine Papierkorb
    D SO19 SAPoffice: Initialdokumente
    D SO20 SAPoffice persönliche Initialdokum.
    D SO21 PC-Arbeitsverzeichnis pflegen
    D SO22 SAPoffice: PC-Arb.Dateien löschen
    D SO23 SAPoffice: Verteilerlisten
    D SO24 SAPOffice:Pflege voreingestellte PC
    D SO28 Pflege der SOGR
    D SO2_MIME_REPOSITORY Mime Repository
    D SO2_TAG_BROWSER Tag Library
    D SO30 Business Workplace: Reorg
    D SO31 Reorganisation (täglich)
    D SO36 Automatisches Weiterleiten anlegen
    D SO38 SAPoffice:Abgleich Mappenberechtig.
    D SO40 SAPoffice: Cust. Formular MAIL
    D SO41 SAPoffice: Cust. Formular TELEFAX
    D SO42 SAPoffice: Cust. Formular TELEFAX_K
    D SO43 SAPoffice: Cust. Formular TELEFAX_M
    D SO44 SAPoffice: Cust. Formular TELEX
    D SO50 Regeln für die Eingangsverteilung
    D SO52 Löscht Adresse aus Benutzerstamm
    D SO55 Benutzerkonsistenzcheck
    D SO70 Hypertext: Struktur Anzeige/Pflege
    D SO71 Testplanverwaltung
    D SO72 Hypertextbausteinpflege: Einstieg
    D SO73 Importieren Grafik in SAPfin
    D SO81 SAPfind: Freetext_indexing (Test)
    D SO82 SAPfind: Freetext_retrieval_batch
    D SO85 SAPfind: Txt_seq_search
    D SO86 SAPfind: Txt_seq_search_1
    D SO90 SAPfind: Shellmappen-Serviceprogramm
    D SO91 SAPfind-SO: SAPoffice Marketing Info
    D SO95 Vorgernierte Suchanfragen – Auswahl
    D SO99 Put-Informationssystem
    D SOA SAP ArchiveLink
    D SOA0 ArchiveLink Workflow-Dokumentarten
    D SOAACT Ist-Berechnung von Rückstellungen
    D SOAAD Kontenfindung ACE
    D SOAADCONT01 Kontenfindung: Einträge pfl. Area 01
    D SOAADCONT02 Kontenfindung: Einträge pfl. Area 02
    D SOAADMETA01 Kontenfindung: Def. Regel Area01
    D SOAADMETA02 Kontenfindung: Def. Regel Area 02
    D SOAADMETASGL Kontenfindung: Def. Regelw. einstuf.
    D SOAAD_MAIN Kontenfindung: Einträge pflegen
    D SOAAD_META Kontenfindung ACE
    D SOAARCHPREP Vorbereitung des Archivierungslaufs
    D SOACARRYFORWARD Saldovortrag
    D SOAD SAPoffice: Externe Addressen
    D SOADATADEL Löschen von Daten in Accrual Engine
    D SOADSITEMS Reporting Abgrenzungsobjekte SOA
    D SOADSPARAMS Reporting ACE-Objektparameter SOA
    D SOAFCHART Simulation: Abgangsraten
    D SOAFIRECON Abstimmung Accrual Engine mit FI
    D SOAFISCYEAR Geschäftsjahre in ACE öffnen/sperren
    D SOAFVERS Versionen für Abgangsraten
    D SOAHRCON Einrichten der Verbind. zum HR-Syst.
    D SOAHRFI Zuordnung Mitarb.-Bet. Methode
    D SOAHRTRANS Datenübernahme aus HR-System
    D SOAIACE Zuordnung Mitarb.-Bet. Index
    D SOAICHART Simulation: Indexverläufe
    D SOAIMG IMG des Stock Option Accounting
    D SOAIVAL Definition Index-Werte
    D SOAIVERS Versionen für Index-Verläufe
    D SOAMANAGER SOA Manager
    D SOAPPLOG Periodische Buchungsläufe anzeigen
    D SOAPSDOCITEMS Einzelposten in Acrual Engine anz.
    D SOAPSITEMS Summenwerte in Acrual Engine anz.
    D SOAREVERS Storno von Rückstellungsbuchungen
    D SOASCHART Simulation: Kursverläufe
    D SOASIM Simulation Rückstellungen
    D SOASVERS Versionen für Kursverläufe
    D SOATRANSFER Überleitung ACE-Belege in RechgWesen
    D SOATREE01 Zuteilungen anlegen
    D SOATREE03 Anzeige von Zuteilungen
    D SOA_ACEPS_APPLLOG Nummernkreispflege: ACEAPPLLOG
    D SOBJ Pflegeobjekte attributieren
    D SOBL_MODEL Modelldaten Objektverknüpfungen
    D SOBN01 Personendaten
    D SOBT einzelne Pflegeobjekte attributieren
    D SOCP SAPoffice: Externe Adressen
    D SODIS BCS: Pflichtangaben Kommunikation
    D SODS SAPoffice: LDAP Browser
    D SOEX Expreßnachricht
    D SOFF SAPoffice: Bereichsmenue
    D SOFR Zuordnung der Telefaxempfänger
    D SOHI Objekthistorie
    D SOIN BCS: Eingehende Sendeaufträge (SMTP)
    D SOJ2 SAP Objekte: Methoden anzeigen
    D SOJ3 SAP Objekte: Rückgabewerte anzeigen
    D SOL Lösungen: Lösungswege überprüfen
    D SOLE OLE Anwendungen
    D SOLMAP Solution Maps pflegen
    D SOLPA Lösungswege
    D SOPE Dokumenttypen ausschließen
    D SOSB Übersicht Sendeaufträge (Benutzer)
    D SOSG Übersicht Sendeaufträge (Gruppen)
    D SOST SAPconnect Sendeaufträge
    D SOSV SAPconnect Sendeaufträge
    D SOTD SAPoffice: Pflege der Objekttypen
    D SOTG Objekttypgruppen pflegen
    D SOTR Testtransaktion für API1 (Empfangen)
    D SOTR_EDIT Editor für OTR-Texte
    D SOY1 SAPoffice: Massenpflege Benutzer
    D SOY2 SAPoffice: Statistik-Datensammlung
    D SOY3 SAPoffice: Statistik-Auswertung
    D SOY4 SAPoffice: Zugriffsübersicht
    D SOY5 SAPoffice: Eingangsübersicht
    D SOY6 SAPoffice: Dokumentübersicht
    D SOY7 SAPoffice: Mappenübersicht
    D SOY8 SAPoffice: Massenarchivierung
    D SOY9 SAPoffice: Eingangsreorg
    D SOYA SAPoffice: Mappenbesitzer ändern

  2. Danke Holger für den exakten Auszug aus der TSTCT! Natürlich meinte ich nur die unkritischen SAPoffice-Transaktionen.
    Ich hätte die Liste enger fassen sollen.

    Gruß
    Bernd

  3. Mir fehlt hier auch sowas Grundlegendes wie die SBWP oder spricht da was kritisches dagegen?

  4. Hallo Christian,
    Sie haben natürlich Recht, die SBWP sollte auch noch in die FALLE!
    Gruß
    Bernd Klüppelberg

  5. Sehr netter & Informativer Post, werde den Blog wieder besuchen!

  6. Die SM37 ist nicht ohne weiteres zu vergeben. Für allgemeine Tätigkeiten (inkl. für Endnutzer) ist die SMX völlig ausreichend.

  7. Hallo Peter,
    die SMX bzw. die neue SMXX zeigen aber nur die Jobs des aktuellen Benutzers. Nun gibt es einige Systeme, in denen wird gefordert,
    alle Jobs unter einem Batchuser laufen zu lassen, dann genügt die SMX(X) nicht.

    Viele Grüße
    Bernd Klüppelberg

  8. Für die Anzeige eigener per Mail versendeten Nachrichten ist die SOSB noch geeignet.

    Gruß,
    Nabil

  9. Hallo Bernd,

    ich finde die Liste oben ziemlich gut und setze gerade testweise so eine Rolle mal auf.

    Bei den SO-Transaktionen in der Liste vom Holger sind aber so viele kritische Transaktionen dabei, die Dumps erzeugen oder keine Inhalte haben, dass ich da ins schleudern komme. Die SOA-Transaktionen gehören z.B. alle nicht hier hin.

    Kannst Du Deine Liste vielleicht um die richtigen SO-Einträge ergänzen?

    Viele Grüße,
    Frank

  10. Hallo Frank,
    für die Falle nimm nur die Transaktionen die im Text SAPOFFICE stehen haben.
    Die SOA* sollte man rauslassen. Auch die Archiv-Transaktionen haben je nicht unbedingt was mit SAPOFFICE zu tun. Die SBWP aber wohl schon.
    Bei SMX und SM37 kommt es auf die Organisation an: Periodische Jobs sollten unter einer allgemeinen Userid laufen. Dann muss aber ein Benutzer, der diese Jobs kontrolliert, diese mit der SM37 anschauen können. SMX reicht da nicht.

    Bei der ST22 muss man aufpassen, hier gibt es seitens des Herstellers einen S_DEVELOP OBJTYPE=DEBUG
    Vorschlag, der natürlich falsch ist. Hier muss S_DEVELOP OBJTYPE=ST22 angegeben werden.

    Es ist von Organisation zu Organisation verschieden, was in die FALLE soll, deshalb kann ich hier unmöglich eine bessere Liste angeben. Manche haben noch Z*-Transaktionen, die jedem zugänglich sein sollen, andere haben SAPOFFICE überhaupt nicht im Einsatz.

    Gruß
    Bernd

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg