Profile im SAP R/3

Computer: Software & Programmierung SAP & Business Software
#1

Hallo Experten,

ich soll im R/3 4.0B zwei Profile anlegen. Eines mit allen Rechten (SAP_all) das ist ja einfach, dann noch eines mit allen Rechten ausser Basis. Wie mache ich denn das? Wie bekomme ich raus, welche Rechte zur Basis gehören?

Für Tips ewig dankbar
zauberm@us

#2

Hi,

Für „alle Berechtigungen“ soltest du zur Sicherheit SAP_NEW dazugeben - so ein Benutzer ist in unserer Firma explizit verboten…

Unter Transaktion SU03 kannst du die Objektklassen für Berechtigungen und Profile einsehen.
Die 3 Basis-Klassen (Admin, Zentral, Entwickl.) enthalten grundsaetzlich nur Berechtigungsobjekte namens S_* (anklicken und dann Button technische Namen). Es gibt unter „Anwendungsuebergreifende“ noch 3 S_* Objekte. Wenn du also ein Profil manuell zusammenstellst, duerfen diese S_* Objekte nicht enthalten sein.
Unter SU02 kannst du dir auch alle Profile ansehen - die S_* Objekte sind auch fast ausschliesslich in S* Profilen.

Mir ist allerdings voellig schleierhaft, wer so einen Unfug will - klingt nach wenig Ahnung von der SAP Berechtigungsstruktur, da man gewisse Basisberechtigungen immer braucht.
Die Anwendungsuebergreifenden Komponenten sind da ja auch ein Thema - ohne die geht es tw. auch nicht.

Was soll denn damit verhindert werden ?

Gruss
Dirk

#3

Hallo Dirk,

danke für Deine Antwort. Das hilft mir schon etwas weiter…

Ich traue es mir gar nicht zu sagen… aber wir sind ein Softwarehaus und entwickeln sogar SAP-Zertifizierte Software. Leider haben die Entwickler auch keine Ahnung von Berechtigungen.
Wir haben Hauseigene Systeme auf denen die Standard-Entwicklungen laufen. Ein Teil der Entwickler soll jetzt also ein SAP_All Profil bekommen (mit SAP_NEW, das machen wir) und ein Teil soll halt ein Profil ohne Basis-Berechtigung bekommen.
Leider ist auch niemand in meiner Firma in der Lage mir explizit zu sagen was gebraucht wird (drucken, eigene Benutzerparameter sollen gepflegt werden) und was auf gar keinen Fall enthalten sein darf (Mandantenkopie, Benutzerpflege,ABAP-Reporting(SE38-Nein, SA38-Ja etc.) Ich soll da jetzt etwas basteln (am besten bis gestern :wink: ) und werde von den SAP-Objeketen ja förmlich erschlagen. Ich habe schon versucht mir für gewisse Transaktionen die Objekte anzusehen, aber irgendwie komme ich nicht weiter…
Beim Kunden haben die Berater wohl wieder SAP_ALL… Bei uns im Hause traut man ihnen aber wohl nicht so recht und will sie soweit wie möglich einschränken, so daß sie zwar entwickeln und die Entwicklungen testen können, ohne aber an unseren Systemen an den Basis-Einstellungen herumfummeln zu dürfen.
Leider sagen mir die Entwickler nicht mal was sie haben müssen… auch nicht, wie die Eigenentwickelten Transaktionen heissen… Und für mich ist die Basis ja auch Neuland.
Tja, Zaubermäuse müssen wohl wirklich zaubern lernen…
Ziemlich chaotisch mein Brötchengeber, aber ich kann ja nur bei lernen…

Danke nochmals für Deine Infos.
Zauberm@us

Für „alle Berechtigungen“ soltest du zur
Sicherheit SAP_NEW dazugeben - so ein
Benutzer ist in unserer Firma explizit
verboten…

Unter Transaktion SU03 kannst du die
Objektklassen für Berechtigungen und
Profile einsehen.
Die 3 Basis-Klassen (Admin, Zentral,
Entwickl.) enthalten grundsaetzlich nur
Berechtigungsobjekte namens S_*
(anklicken und dann Button technische
Namen). Es gibt unter
„Anwendungsuebergreifende“ noch 3 S_*
Objekte. Wenn du also ein Profil manuell
zusammenstellst, duerfen diese S_*
Objekte nicht enthalten sein.
Unter SU02 kannst du dir auch alle
Profile ansehen - die S_* Objekte sind
auch fast ausschliesslich in S* Profilen.

Mir ist allerdings voellig schleierhaft,
wer so einen Unfug will - klingt nach
wenig Ahnung von der SAP
Berechtigungsstruktur, da man gewisse
Basisberechtigungen immer braucht.
Die Anwendungsuebergreifenden Komponenten
sind da ja auch ein Thema - ohne die geht
es tw. auch nicht.

Was soll denn damit verhindert werden ?

Gruss
Dirk

#4

Hallo,

ich möchte das nicht zu trastisch ausdrücken, aber Du brauchst Hilfe, Eure Entwickler brauchen eine Schulung und die Kunden, die Euren Entwicklern SAP_ALL geben, lassen Euch nur entwickeln, weil Sie selbst anscheinend nicht genug Überblick haben. Bitte sei mir nicht böse, daß ich so losschieße, aber das ist schon der Hammer.
Wenn Du willst, helfe ich Dir gerne an der einen oder anderen Stelle weiter, aber schminkt Euch das mit dem SAP_ALL und (hallo Dirk) auch SAP_NEW ist bisweilen nicht ganz ohne. Immerhin ist da alles Neue von einem Release zum Anderen drin . Ob gefährlich oder nicht. SAP_NEW im Bankbereich beim richtigen Release-Sprung und schon kann man Mitarbeiterkredite sehen, die noch nicht mal in SAP_ALL eingebunden sind.
Mein Tip:

  1. installiert Euch zunächst den Profilgenerator unter 4.0.
  2. Fragt Eure Entwickler, die keine Basisberechtigungen haben sollen, wie sie ohne S_DEVELOP entwickeln wollen.
  3. legt Euch reine Entwicklerberechtigungen an. Da muß alles aus S_DEVELOP, S_TRANSPORT, etc. rein. Die Doku hilft dabei.
  4. legt Euch für die Module die Profile AM_ALL, CO_ALL, FI_ALL, …etc eben alle Module , die Ihr braucht, an und ebenso die Profile AM_SHOW_ALL, CO_SHOW_ALL,… etc.
  5. Faßt diese zu zwei großen Profilen zusammen *:WORK_ALL und *:SHOW_ALL.

Jetzt könnt Ihr wesentlich differenzierter berechtigen. So fängt man an. Wenn Du das Alles gemacht hast, dann kannst Du die Stellschrauben immer enger drehen, und nach 1 Jahr verkauft Ihr ein Berechtigungskonzept an Eure Kunden. Ich bin zwar in fester Anstellung, aber ihr könnt mir ja einen Feierabendberatervertrag anbieten, dann stricke ich Euch was, was jeder versteht, aber sinnvoll und einfach einzusetzen ist. :wink:
Gruß, Stephan - der, der mit 4.6B kämpft

#5

* ein paar Anmerkungen *

Hallo,

aber Du brauchst Hilfe, Eure Entwickler brauchen eine Schulung

Jo, verwunderte mich auch, aber bei vielen Beratern oder Programmierern, die zu uns kommen, ist das scheinens so - sehr kurios

und die Kunden, die Euren Entwicklern SAP_ALL geben, lassen Euch nur entwickeln, weil sie selbst anscheinend nicht genug Überblick haben.

Dito, bei uns kriegen die so gut wie nix (steigert die Effizienz war auch nicht, aber die ist eh nicht immer riesig :wink:)

und (hallo Dirk) auch SAP_NEW ist
bisweilen nicht ganz ohne.

Wer eh SAP_ALL hat, kann auch SAP_NEW bekommen, kann er ja auch selbst machen :wink:

  1. Fragt Eure Entwickler, die keine
    Basisberechtigungen haben sollen, wie sie
    ohne S_DEVELOP entwickeln wollen.

** die Antwort wuerd ich gerne sehen S_DATASET und Konsorten sind auch beliebt **


  1. Die Doku hilft dabei.

Sadist :smile:

bin zwar in fester Anstellung,

dito

aber ihr könnt mir ja einen Feierabendberatervertrag anbieten, dann stricke ich Euch was, was jeder versteht, aber sinnvoll und einfach einzusetzen

Helfe auch mit im bekannten Grossraum

Gruß, Stephan - der, der mit 4.6B kämpft

Wer tut das nicht ? SAP hat wohl auch die Übersicht verloren - wir haben sogar 4.61 (speziel fuer uns erweitert, zieht einem die Socken aus)

Immer laechelnd
Dirk

#6

Hallo,

ich denke, Du solltest auf dem Tip aufbauen, den Profilgenerator zu nutzen. Gerade wenn Du mit Basis und Berechtigungen anfängst, empfiehlt sich die Arbeit mit dem Generator statt sich direkt mit den Objekten rumprügeln zu müssen.
Wir haben bei uns 4.0B im Einsatz und ich steuere sämtliche Berechtigungen ausschließlich mit dem PFCG (die dazugehörige Transaktioin).
Der PFCG hat den Vorteil, daß Du in etwa mit der SAP-Menüstruktur arbeiten kannst anstatt mit abstrakten Objekten. Schau einfach mal rein.

Grüße Tanja

#7

Hallo zusammen,

da bin ich doch zufällig über das R/3-„Forum“ bei w-w-w gestolpert. Und man findet hier wirklich gute Tipps. Allerdings kann ich nicht ganz nachvollziehen, warum alle Welt den Profilgenerator einsetzen will. Ich versuche bei allem