Schnelltransport von Rollen zwischen Mandanten

Sie haben ein System mit mehrern Mandanten und sollen ein Berechtigungskonzept erstellen für alle diese Mandanten. Dann ergibt sich sofort das Problem, wie kann ich Rollen zwischen Mandanten transportieren?

Man kann sicherlich einen Transportweg zwischen den Mandanten erstellen und somit den Transport bewältigen.

Aber es gibt auch noch einen schnelleren Weg….

Eine Bemerkung vorweg:
Dies ist kein offizieller Weg, deshalb liegt die Verantwortung ganz bei Ihnen. Sie können den Weg benutzen, aber Sie müssen verteufelt gut aufpassen, was Sie genau tun. Sicheren Sie sich vorher ggf. die Rollen! Testen Sie die Vorgehensweise an einer Testrolle.

Der Weg geht mit Up- und Download!

„Wie? Die Rollen sind mandantenbezogen, wenn ich eine Rolle downloade, und in einem anderen Mandanten uploade, dann werden die doch im alten Mandanten angelegt“, werden Sie einwenden.

Richtig, aber nur bedingt. Was benötigen Sie? Sie brauchen einen Editor auf Ihrem PC, der große Dateien öffnen kann. D.h. das Programm Notepad reicht ggf. nicht aus! Aber es gibt kostenlose Editoren, die das können, so z.B. Notepad++, PsPad…! Word, WritePad oder ähnliche Mittel nehmen dürfen Sie nicht anwenden, weil diese Programme eine Datei mit ihren eigenen Strukturen füllen, Sie brauchen einen einfachen Editor!

Der Trick ist der, dass Sie eine oder mehrere Rollen mit der Transaktion PFCG auf Ihren PC downloaden, dann mit dem Editor bearbeiten und in dem anderen Mandanten wieder hochladen.

Laden Sie doch mal eine einzelne Rolle mit der Menüfunktion Rolle / Download in der PFCG  herunter. Öffnen Sie die Downloaddatei mit dem Editor. Sie sehen eine formatierte Datei, die Sie in ihrer Struktur nicht verändern dürfen.

Die Struktur ist so gegliedert, dass zurest die Tabelle steht, in die die Daten gespeichert werden, dann kommt der Mandant und dann z.B. der Name der Rolle.  Also z.B.

AGR_1250                                 010MEINE_ROLLE1 …..
AGR_1250                                 010MEINE_ROLLE2……

Der Mandant ist immer 3-stellig. Mit einem Suchen und Ersetzen OHNE VERSCHIEBUNG können Sie nun den Mandanten ändern.

Genau das ist der Trick, den man natürlich nur im Entwicklungssystem anwendet. Man ändert den Mandant von z.B. 010  nach 100 und schon kann man die Datei im Mandant 100 hochladen.

Im Mandant 100 wird die Rolle dann hochgeladen, hat aber noch keinen Profileintrag, den müssen Sie nun entweder händisch nachtragen, oder Sie lassen ihn mit einer Massengenerierung vom System selbst anlegen.

Dieser Trick funktioniert aber nur, wenn Sie bei der Ersetzung des alten Mandanteneintrags in den Neuen keine Verschiebung machen. D.h. Sie müssen in unserem Beisiel oben „010M“ in „100M“ ändern. Vergewissern Sie sich mit der Suchfunktion des Editors vorher, dass Sie nur diese Eintragungen ändern.

Hinweis: Genau deshalb ist es auch so wichtig, dass Sie die Rollennamen so definieren, dass sie bspw. immer mit einem Z beginnen, oder dass die Rollennamen als erstes Zeichen bspw. die Konzeptverison enthalten.

Um die Rolle aber wirklich 1 zu 1 abbilden zu können, müssen Sie vorher noch ggf. den SAP®-Hinweis 132615 „Verwendungsnachweis für Berechtigungen“ einspielen, da in der ECC 6.0 hier noch ein Fehler bei den Berechtigungsnachweisen auftritt, wenn die Rolle geladen wird.

Eine Warnung für diesen Trick möchte ich Ihnen aber nicht vorenthalten. Ich habe versucht mit VBA (Visual Basic) auch die Rollenamen zu ändern, dies führte zu einem Fehler, weil wahrscheinlich  beim Ausschreiben der Downloaddatei mit VBA das Satzformat nicht richtig war. (Zeilenende mit CR/LF).  Wenn Sie also ein Programm einsetzen, das Veränderungen an der Downloaddatei vornimmt prüfen Sie bitte,  in einem Hexeditor, ob die Formate gleichgeblieben sind. (Mit einem C-Programm, Delfi / Pascal oder Modula-Programm hat man da bessere Chancen!)

Für eine Schritt für Schritt Anleitung, sollten Sie sich bei www.sybeklue.de registrieren und Sie erhalten diese als gratis eBook sofort zum Herunterladen.

Gruß

Bernd Klüppelberg

5 Responses to “Schnelltransport von Rollen zwischen Mandanten”

  1. Hallo Hr. Klüppelberg!
    Nachdem ich ich mich mit dem Thema SAP-Berechtigungen beschäftigen (herumschlagen ;-)) darf bin ich u.a. auch auf ihre Seite gestoßen. Ich konnte hier schon einige nützliche Hinweise mitnehmen und auch hatte auch schon einige Aha-Erlebnisse.
    Herzlichen Dank dafür!!
    Vielleicht können Sie mir auch eine Antwort auf meine Frage geben: Es kommt auf unseren Systemen immer wieder vor, dass bei Rollen ein Profilabgleich erforderlich wird. Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)?

    Besten Dank im Voraus!
    Johann Felser

  2. Hallo Herr Felser,
    vielen Dank für den Kommentar.
    Dass ein Profilabgleich notwendig wird, ist meist z.B. mit Transporten verbunden. Wenn ein Benutzer aktiv ist und sozusagen unter Ihm die Rolle neu importiert wird, dann kann ein Profilabgleich notwendig werden.
    Dazu steht entweder in der PFCG unter dem Reiter Benutzer der Profilabgleich zur Verfügung. Oder Sie starten die Transaktion PFCD! Sie können aber auch einen Job definieren der das Programm PFCG_TIME_DEPENDENCY
    aufruft. Dieser Job sollte mindestens einmal am Tag morgens laufen. Er führt einen kompletten Benutzerabgleich durch.

    Viele Grüße aus Mannheim
    Bernd Klüppelberg

  3. Tja, da war ich vermutlich zu ungenau. Es geht den Benutzerabgleich sondern um den Status der Berechtigungsprofile, die immer wieder mal auf den Status „Profilabgleich erforderlich“ fallen, erkenntlich an der roten Ampel am Karteireiter Berechtigungen in der PFCG. Dazu noch mal meine Fragen:
    Welche(n) Auslöser gibt es für dieses Problem? Uns sollte man deswegen einen Job einplanen, der die Profilgenerierung periodisch durchführt (SAPPROFC_NEW)?

    Besten Dank und viele Grüße, Johann Felser

  4. Hallo Herr Felser,
    dass ein Profil kaputt geht, kenne ich nur, wenn z.B. ein Z-Objekt gelöscht wird, ohne dass die Rolle neu generiert wurde. Dann fallen alle Rollen, die das Objekt haben aus. Ich nehme ja an,
    dass Sie die Rollen normal transportieren. Was ich dabei auch schon erlebt habe, ist, wenn ich nur den Master transportiere, fallen alle abgeleiteten Rollen aus. Deshalb transportiere ich die
    abgeleiteten Rollen immer mit. Sonst fällt mir kein Auslöser ein. Aber den SAPPROFC_NEW können Sie gerne als Job periodisch morgens früh laufen lassen. Ich würde aber der Sache im Fall 1 oben doch nachgehen.

    Gruß
    Bernd Klüppelberg

  5. Hallo, das ist ein toller Blog. Großes Kompliment! Hier habt hier gute Artikel.

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg