Einige Infos zur Zentralen-Benutzer-Verwaltung ZBV (CUA)

Tipps zur Zentralen-Benutzer-Verwaltung ZBV (CUA)

Seit frühesten Zeiten des Systems gibt es die heiß geliebte und oft gehasste Zentrale Benutzer Verwaltung (ZBV) [Central User Administration (CUA)]. Einmal eingeführt, und schon gibt es die Befürworter und die Hasser für diese Anwendung. Aber mit einigen Tricks 🙂

Sicher, einiges was man aus der PFCG und der SU01 im einzelnen System gewohnt ist und einem Erleichterung bringt, ist bei Einsatz der ZBV Vergangenheit. Soll bspw. ein einzelner Benutzer 20-30 Rollen erhalten, ist es leicht, hier mit der SU01 und der ZBV ihm diese Rollen zu geben. Wenn aber eine Rolle an 30 Benutzer gegeben werden soll, geht man oft über die PFCG, schlägt die Rolle auf und ordnet der Rolle die Benutzer zu. Das geht in der ZBV nicht mehr so einfach.

Es ist viel Arbeit, 30 Benutzern in 10 Systemen je 3 Rollen zu geben. Hier ist die ZBV einfach zu schwach. Unter Zuhilfenahme von Excel kann man sich hier einige Vereinfachungen schaffen: Man fertigt für einen Benutzer die Systeme und Rollen in Excel vor und kann diese dann den einzelnen Benutzern in der ZBV zuordnen. Schon hierbei muss man aber häppchenweise arbeiten, da der Pflegemodus keine Paste-Funktion aus der Zwischenanlage besitzt.

Es sind einfach gute Fingerübungen, um solche Aufgaben zu tätigen.

Ja, man kann in der ZBV auch die SU10 zum Einsatz bringen, die kann hier einiges abnehmen, aber so ganz glücklich kann man darüber nicht sein.

Auch der „Export“ der Rollen eines Benutzers z.B. für ein Genehmigungssystem bei der Aufgabe, „Gebe dem Benutzer A in den Systemen X,Y,Z die gleichen Berechtigungen, wie dem Benutzer B“ , stellt sich als ziemlich unübersichtliche Klick- und Kopierarbeit heraus. Eine Arbeit die viel Konzentration erfordert und besser nicht unterbrochen werden sollte. Aber Sie wissen ja, genau dann kommt ein Telefonanruf, den Sie unbedingt annehmen müssen. Dann ist die Konzentration flöten und Sie beginnen von vorne :-(!

So gibt es noch eine ganze Menge anderer Aufgabenstellungen, die mit der ZBV nicht so gut zu lösen sind.

Aber es gibt da einige Tricks, die man zu Hilfe nehmen kann.

Gerade den eben geschilderten Export lässt sich leichter gestalten! Denn – wie immer – das System legt die gespeicherten Informationen in Tabellen ab.
Schauen Sie sich mal die Tabellen USLA04 und USL04 an. Diese beiden Tabellen halten genau die Daten, die sie brauchen.

USLA04:
Userid  |  System  |  Rolle  |  From  |  To-Date

USL04
Userid  |  System  |  Profile

Sie können mit der Userid eines Benutzers somit schnell eine Excel Tabelle erstellen, die Ihnen genau die Rollen des Benutzers B in den Systemen gibt. In Excel einige Zeilen manipulieren und diese dann in der SU01 der ZBV für Benutzer A hineinkopieren, schon sind sie fertig.

Da normaler Weise die USL04 nur die Profile hält, die einem Benutzer zugeordnet werden, die keine Profile von Rollen sind, haben Sie mit dieser Tabelle auch gleich eine Auswertung über die klassische Anfrage „Welche Benutzer haben „alte“ Profile, die noch nicht zu Rollen umgebaut wurden“.

Probieren Sie das mal bei einem normalen System (Tochtersystem) , wo es Rollenprofile gibt, die manuelle Profilnamen und keine mit der PFCG generierte Profilnamen haben. Hier müssen Sie schon die Tabellen AGR_PROF und die UST04 gegenseitig abmischen.

Bleibt noch festzustellen: Welche Systeme / Mandanten sind an die ZBV angeschlossen und welche nicht? Bei 3 Systemen ist das noch leicht, aber stellen Sie sich vor Sie haben 12 Systeme mit durchschnittlich 10 Mandanten, wobei einige Systeme noch stand alone sind und andere nicht! Klar, irgendwo in einem Dokument ist festgehalten, welche Systeme mit der ZBV administriert werden. Aber diese Datei liegt auf irgendeinem Laufwerk und ist gerade heute nicht mehr aktuell [Wenn Sie diese Datei überhaupt auf dem Ihnen gerade nicht einfallen wollenden den Laufwerk finden 🙁 ]

Die ZBV wird schwerlich auch auf Ihrem Laufwerk nachschauen wollen, die ZBV hat dazu – wie immer – einige Tabellen mit dem Namen TBDLS und USZBVLNDRC [Danke Herr Chr. Bauer]

Diese Tabellen geben Ihnen den Überblick über die Systeme. Ein Download derselben könnte auch die ominöse Datei auf dem gerade unbekannten Laufwerk ersetzen 🙂 !

Doch zurück zur Arbeit mit der ZBV. Sicherlich man wünscht sich hier noch einigen Komfort, aber den wird es wohl zu Zeiten des IDM (Identity Managementsystem) nicht mehr geben.

Bei schwierigen Useranträgen gilt wohl, Telefon auf Abwesenheit stellen und frisch ans Werk mit Excel, ZBV und einigen Tabellen.

Deshalb meine Fragen an Sie:
– haben Sie sich andere Erleichterungen in der ZBV geschaffen?
– haben Sie sich „Erleichterungsprogramme“ geschaffen ?
– haben Sie andere Tipps und Tricks?

Ich lade Sie ein, hier im Block darüber zu berichten. Es wird bestimmt vielen geplagten Kollegen helfen! Schreiben sie mir! Sie können Ihre Erkenntnisse hier gerne als Gastartikel einstellen. [Keine Angst, die Edition des Artikels und Einstellung in den Blog übernehme ich]

Ich hoffe viele Erleichterungsmöglichkeiten zu erhalten.
Bis dann
Bernd Klüppelberg

3 Responses to “Einige Infos zur Zentralen-Benutzer-Verwaltung ZBV (CUA)”

  1. Bei der Tabelle TBDLS muss ich leider widersprechen – diese beinhaltet nur die logischen Systeme für ALE gem. Transaktion BD54.
    Die ZBV-Konfiguration (angeschlossene Tochtersysteme)zeigt Transaktion SCUA – und hier steht Tabelle USZBVLNDRC dahinter.
    Ansonsten freue ich mich immer sehr, Neuigkeiten in Ihrem Blog zu lesen! Hatte mir auch das eBook gekauft…

  2. Hallo Herr Bauer,
    danke für den Hinweis auf die USZBVLNDRC. Beim Suchen nach den Tabellen über Sources-Scan bin ich in der SU01 nur auf die TBDLS gestolpert. Das genügte mir, weil ich da auch die Firmenbeschreibung der Systeme bekam. Mit der Suchen nach USZBV* habe ich jetzt auch die Protokolle der Änderungen bei Adressen und Userdaten gefunden. Danke dafür.

    Aber noch eine Frage zurück, haben Sie es geschafft, beim Sperren von einem Benutzer in der ZBV-SU01 eine Systemtabelle angezeigt zu bekommen und nicht nur Sperren lokal und global? Irgendwie haben wir das bisher nicht geschafft.
    Viele Grüße
    Bernd Klüppelberg

  3. Hallo Herr Bauer,

    ja, die ZBV – mein tägliches Werkzeug – ist grundsätzlich schon mal gut, aber arbeits- und konzentrationsreich. Alles was im Artikel steht, stimmt! Nicht stören lassen und wenn gestört, dann von vorne anfangen…. Das ist die leidliche Erfahrung.
    Lästig hingegen ist bei einem dennoch „runden“ Accessmanagement die Dokumentation. Es gibt zwar ein Registerblatt „Dokumentation“ das schon mal ein erster Schritt ist; aber so richtig gebrauchen kann man das noch nicht. Es fehlt die Möglichkeit Anlagen zum Benutzer hinzuordnen zu können und und und…..

    Danke für den Artikel. SAP sollte da noch einmal ran – zum Wohle des ADMIN und letztlich auch zur Steigerung der Usability des eigenen Produktes.

    Gruß aus HH
    Horst Matuszewski

Schreiben Sie bitte einen Kommentar





SAP Berechtigungen, -Konzepte, -Technik | System Beratung Bernd Klüppelberg