Show TOC Anfang des Inhaltsbereichs

Vorgehensweisen Rollenverwaltung: Beispiel  Dokument im Navigationsbaum lokalisieren

Ausgangslage

Sie haben die Module SD und MM im Einsatz: jedoch nicht HR und HR-Org.

In der Materialwirtschaft setzen Sie keine Lagerverwaltung ein.

Ihr Unternehmen besteht aus 5 Werken, für die Sie Materialstammdaten erfassen wollen. Für jedes Werk ist ein Bearbeiter zuständig, der die Daten für die anderen Werke nicht bearbeiten darf.

Hinweis

Wenn Sie diese Vorgehensweise nachvollziehen, verstehen und auf Ihre Belange umsetzen möchten, müssen Sie über Grundkenntnisse über das SAP-Berechtigungskonzept verfügen: Sie kennen Berechtigungsobjekte, Berechtigungen und Berechtigungsprofile.

In den folgenden Ausführungen wird davon ausgegangen, dass keine der vordefinierten Benutzerrollen Ihren Anforderungen entspricht.

Vorgehensweise

Vorbereitungen

Profilgenerator aktivieren/Unterdrückung von Berechtigungsprüfungen zulassen

Der Systemparameter auth/no_check_in_some_cases muss auf den Wert 'Y' gesetzt sein. Dies ist bei Neuinstallationen der Fall.

Überprüfen Sie die Einstellung in Ihrem System ggf. mit dem Report RSPARAM.

SAP-Vorschläge für Prüfkennzeichen und Berechtigungsfeldwerte kopieren

Kopieren Sie mit der Transaktion SU25 die von SAP ausgelieferten Vorschläge der Prüfkennzeichen für die Berechtigungsobjekte einer Transaktion und die Berechtigungsfeldwerte für den Profilgenerator.

Mit der Transaktion SU24 können Sie die vorgeschlagenen Prüfkennzeichen nachbearbeiten.

Weitere Einzelheiten finden Sie unter Vorbereitende Maßnahmen.

Berechtigungsprofil für einen Benutzer anlegen und bearbeiten

Erstellen Sie ein benutzerspezifisches Menü mit entsprechenden Berechtigungen.

Der Benutzer soll folgende Funktionen erfüllen:

      Materialstammdaten für Werk 0001, Buchungskreis 0001, alle Verkaufsorganisationen/Vertriebswege bearbeiten

      Materialstammdaten für alle Werke/Buchungskreise anzeigen

Dafür benötigt der Benutzer eine Reihe von Berechtigungen, die in einem Berechtigungsprofil zusammengefasst werden.

Um ein Berechtigungsprofil für einen Benutzer anzulegen, verfahren Sie wie folgt:

...

       1.      Rolle anlegen und Berechtigungsprofil erzeugen

       2.      Rolle einem Benutzer zuordnen

       3.      Rolle ändern (optional)

       4.      Prüfvorschläge ändern (optional)

       5.      Allgemeine Berechtigungen aus SAP-Vorlagen übernehmen (optional)

       6.      Berechtigungsprofil nach Änderungen neu erzeugen

       7.      Berechtigungsprofil überprüfen

Diese Schritte sind nachfolgend im einzelnen beschrieben.

1.   Rolle anlegen und Berechtigungsprofil erzeugen

Die Funktionen (Transaktionen) für die ein Benutzer Berechtigungen erhält, werden mit Hilfe von Rollen definiert.

1.       Auf dem Einstiegsbild der Benutzerverwaltung (Transaktion SU01) wählen Sie Umfeld Rolle pflegen (Transaktion PFCG).

2.       Legen Sie eine Rolle an. Dazu geben Sie das Kürzel MATST_0001 ein und wählen Anlegen.

3.       Auf dem Folgebildschirm geben Sie eine sprechende Beschreibung ein.

4.       Wählen Sie den Registerindex Menü und hier die Drucktaste SAP-Menü.

5.       Expandieren Sie die Ebenen Logistik, Materialwirtschaft und Materialstamm.

6.       Klicken Sie auf das Ankreuzsymbol bei Material. Wenn Sie diesen Zweig noch weiter expandieren, bekommen Sie angezeigt, welche Transaktion Sie nun ausgewählt haben: Darunter finden Sie u.a. Material anlegen/anzeigen/ändern.

7.       Übernehmen Sie Ihre Auswahl. Das System stellt nun anhand der ausgewählten Transaktionen die Berechtigungsdaten zusammen.

8.       Wählen Sie auf dem Register Berechtigungen das Symbol Berechtigungsdaten ändern.

9.       Auf dem folgenden Dialogfenster werden Sie aufgefordert, die Orgebenen zu bearbeiten. Orgebenen sind von SAP festgelegte Felder im Berechtigungswesen, die sich auf die Unternehmensstruktur beziehen. Diese Felder kommen zumeist in vielen Berechtigungen vor. Sie müssen Sie nur einmal bearbeiten, eben in diesem Einblendfenster zu den Organisationsebenen.

Sie geben entsprechend unseren Annahmen folgende Werte ein (jeweils bei von Wert):

    Buchungskreis: 0001

    Lagernummer/Lagerkomplex: (leer) (keine Lagerverwaltung)

    Verkaufsorganisation: *  (alle)

    Vertriebsweg: *  (alle)

    Werk: 0001

Drücken Sie die Eingabetaste.

10.   Auf dem folgenden Bild sehen Sie die Berechtigungsdaten hierarchisch dargestellt: Auf der obersten Ebene die Rolle, darunter die Objektklassen der Berechtigungsobjekte, die für diese Rolle relevant sind.

Expandieren Sie einige Hierarchieebenen. Über die Drucktaste Legende erhalten Sie eine Erläuterung der verschiedenfarbigen Hierarchieebenen der Berechtigungskomponenten.

Auf der untersten Ebene beispielsweise finden Sie die Ausprägungen für die Feldwerte der Berechtigungen: Die meisten Felder sind vorbelegt, entweder mit den Werten, die SAP für die im Menü ausgewählten Funktionen hinterlegt hat, oder mit den von Ihnen gepflegten Werten für die Orgebenen.

Die Ampeln geben an, ob Felder existieren, für die noch keine Werte gepflegt sind:

Rot -   Sie haben Orgebenen noch nicht gepflegt.

Gelb: - Sie haben Felder (keine Orgebenen) noch nicht mit Werten versehen.

11.   Expandieren Sie die Ebenen, die rote Ampeln enthalten: Dazu gehört eine Berechtigung zum Objekt Materialstamm: Lagernummer. Da Sie in Ihrem Unternehmen keine Lagerverwaltung einsetzen wollen, braucht auch kein Mitarbeiter eine Berechtigung zur Verwaltung dieser Daten.

12.   Deaktivieren Sie diese Berechtigung.
Klicken Sie dazu mit der Maus auf das entsprechende Symbol. Die Berechtigung wird als Inaktiv gekennzeichnet. Wenn sie später ein Berechtigungsprofil generieren, wird diese Berechtigung nicht mit in das Profil übernommen.

Es gibt nun keine roten Ampeln mehr, da keine aktiven Berechtigungen mit ungepflegter Orgebene übrig sind.

13.   Es sind noch viele gelbe Ampeln übrig. Für diese sollten Sie die fehlenden Werte zu den Berechtigungsfeldern nachbearbeiten, indem Sie auf das Bearbeitungssymbol bei den Feldern klicken.

Hilfe können Sie wie folgt aufrufen:

Doppelklick auf den Text eines Berechtigungsobjekts

Doppelklick auf den Text eines Berechtigungsfeldes

14.   Gesamtberechtigung vergeben

Wollen Sie eine Gesamtberechtigung (*) vergeben, klicken Sie auf das Sternsymbol vor einem Berechtigungsfeld.

Wollen Sie für eine oder mehrere Hierarchiebenen auf einmal die Gesamtberechtigung für die noch ungepflegten (leeren, offenen) Felder vergeben, so können Sie auch auf die Ampel klicken. Dann wird nach Bestätigung überall in der darunterliegenden Hierarchie ein Stern (*) in alle leeren Felder eingefügt. Beobachten Sie das Verhalten der Ampeln.

Über die Drucktaste Farblegende erhalten Sie ausführliche Informationen über die einzelnen Symbole (Ikonen).

15.   Sichern Sie die Daten, wenn Sie die Bearbeitung beenden möchten. Dabei können Sie den vorgeschlagenen Namen für das zu erzeugende Berechtigungsprofil ändern.

16.   Erzeugen Sie ein Berechtigungsprofil, indem Sie auf das Generiersymbol klicken. Dazu benötigen Sie eine entsprechende Berechtigung. Aus den Berechtigungsdaten wird ein Profil generiert (in Aktivversion).

2.   Rolle und Berechtigungsprofil einem Benutzer zuordnen

Die Rolle MATST_0001 ordnen Sie Benutzern zu, indem Sie im Register Benutzer entsprechende Namen in die Liste aufnehmen. Diese Benutzer dürfen die Transaktionen der Rolle mit den entsprechenden Berechtigungen ausführen. Weitere Informationen zur Zuordnung von Benutzern im Register Benutzer finden Sie in der Online Dokumentation.

Hinweis

Das generierte Profil wird erst nach einem Benutzerstammabgleich in den Benutzerstamm eingetragen. Wählen Sie dazu die Drucktaste Benutzerabgleich.

Sie können die Zuordnung einer Rolle zu einem Benutzer auch in der Benutzerverwaltung (SU01) im Register Rollen vornehmen. Einzelheiten dazu finden Sie unter Rollen zuordnen.

Melden Sie sich mit dem Benutzernamen, den Sie eingetragen haben, neu an. Er sollte nun alle Berechtigungen haben, die für die Materialstammverwaltung im Werk 0001/Buchungskreis 0001 nötig sind. Das Anzeigen von Stammdaten soll in allen Werken möglich sein. Dies funktioniert noch nicht.

3.   Rolle ändern (optional)

Eine Rolle ändern Sie wie folgt:

1.       Im Einstiegsbild der Rollenverwaltung geben Sie den Namen der zu ändernden Rolle ein und wählen Ändern.

2.       Über das Register Menü und die Drucktaste Menüauswahl aktivieren Sie zusätzlich die Menüfunktionen Bestandsübersicht, Periode verschieben, Rückbuchung erlauben. Sichern Sie Ihre Eingaben.

3.       Springen Sie über das Register Berechtigungen und das Symbol Berechtigungsdaten ändern in die Berechtigungsverwaltung. Im nun erscheinenden Dialogfenster sind zwei weitere Organisationsebenen hinzugekommen: Einkäufergruppe und Einkaufsorganistion. Bearbeiten Sie diese nach, z.B. mit *. Klicken Sie auf Weiter.

Durch Hinzunahme der weiteren Funktionen sind einige Berechtigungen hinzugekommen. Sie sind als Neu gekennzeichnet. Einige sind bereits mit Werten vollständig gefüllt, während Sie andere noch nachbearbeiten müssen (gelbe Ampeln). Die Berechtigung zur Lagerverwaltung bleibt inaktiv. Neue Berechtigungen (z.B. zum Periodenverschieber) können schon vollständig gefüllt sein, wenn sie nur Orgebenen betreffen, die Sie schon zuvor mit Werten versehen haben.

Sie möchten zusätzlich die Berechtigung vergeben, Daten in allen Werken ansehen zu dürfen. Dazu gehen Sie wie folgt vor:

1.       Expandieren Sie die Berechtigung zum Objekt Materialstamm:Werk. Kopieren Sie die Berechtigung durch Klicken auf das Kopiersymbol.

2.       Bei der kopierten Berechtigung bearbeiten Sie die Aktivitäten. Entfernen Sie alle bis auf Anzeigen.

3.       Bearbeiten Sie über das Bearbeitungssymbol des Feldes das Feld Werk,und wählen sie Gesamtberechtigung.
Wie Sie beobachten können, ist der Status der Berechtigung auf Verändert gewechselt. Dies bedeutet, dass Sie Aktivitäten und/oder Orgebenen verändert haben, die nicht mehr dem Vorschlag der Berechtigungen der gewählten Funktionen entsprechen.

Hinweis

Beachten Sie, dass wenn Sie eine Organisationsebene über die Drucktaste Orgebenen ändern, sind automatisch alle Felder betroffen, die diese Orgebene beinhalten. Ausnahme: Felder, die den Status verändert haben.

Bearbeiten Sie dagegen ein Feld einer Orgebene über das Bearbeitungssymbol des Feldes, so wirkt sich die Änderung nur für dieses Feld aus. Das Feld erhält den Status Verändert.

4.       Generieren Sie das Berechtigungsprofil.

4.   Prüfvorschläge ändern (optional)

Sie haben festgestellt, dass Sie Daten zur Lagerverwaltung bearbeiten müssen, damit Sie die roten/gelben Ampeln auf grün setzen können. Dies können Sie verhindern, indem Sie die Vorschläge für die Transaktionen ändern.

1.       Starten Sie dazu die Transaktion SU24.

2.       Wählen Sie die Option Prüfkennzeichen in allen Transaktionen bearbeiten und tragen Sie als Objekt M_MATE_LGN ein. Wählen Sie Ausführen.

3.       Auf dem nächsten Bildschirm sehen Sie alle Transaktionen, welche dieses Berechtigungsobjekt prüfen. In der ersten Zeile können Sie für das Objekt global das Prüfkennzeichen vorgeben. In diesem Fall ist es sinnvoll, für alle Transaktionen dieses Objekt zu prüfen, aber keine Vorschläge in den Profilgenerator zu übernehmen.

Markieren Sie alle Transaktionen, setzen Sie das Prüfkennzeichen in der obersten Zeile auf P, und wählen Sie Sichern. Alle Transaktionen werden auf P gesetzt. Sichern Sie die Daten.

4.       Bearbeiten Sie erneut die Rolle MATST_0001. Wählen Sie im Register Berechtigungen Berechtigungsdaten ändern. Anschließend sehen Sie in der Übersicht, dass alle Daten zum Berechtigungsobjekt M_MATE_LGN verschwunden sind.

5.       Das Prüfkennzeichen können Sie auch transaktionsindividuell verändern. Wählen Sie zum Beispiel auf dem Einstiegsbild der Transaktion SU24 die Transaktion MMPV Perioden verschieben. Wollen Sie nicht, dass als Vorschlag der Wert 51 Initialisieren beim Objekt M_MATE_PER Materialstamm: Rückbuchen erlauben in die Rolle übernommen wird, so ändern Sie dies im Vorschlag zur Transaktion MMPV durch Bearbeiten der Feldwerte. Sie können jederzeit die SAP-Vorschläge wieder aktivieren, also die Vorschläge in den Auslieferungszustand zurückversetzen.

Änderungen an den Vorschlägen sind immer dann sinnvoll, wenn mehrere Rollen betroffen sind: Schon existierende (die dann abgeglichen werden müssen) oder solche, von denen Sie wissen, dass Sie sie in der Zukunft anlegen werden.

5.   Allgemeine Berechtigungen aus SAP-Vorlagen übernehmen (optional)

Sie werden feststellen, dass der Benutzer mit dem generierten Profil keine allgemeinen Berechtigungen wie z.B. für das Drucken hat. Es ist nicht sinnvoll, solche allgemeinen Berechtigungen in jede Transaktion mit dem Prüfkennzeichen PP zu übernehmen.

Es gibt zwei Möglichkeiten:

1.       Sie legen eine Rolle an, die nur allgemeine Berechtigungen (Drucken, etc.) umfasst. Diese Rolle ordnen Sie allen Benutzern zu. Dies ist sinnvoll, wenn z.B. jeder Benutzer auf jedem Drucker drucken darf.

Führen Sie anschließend einen Abgleich der Benutzerstammsätze durch.

2.       Sie holen sich die benötigten Objekte über eine Vorlage in die Rolle und pflegen die fehlenden Feldinhalte. Dies ist sinnvoll, wenn jeder einer Rolle zugeordnete Benutzer z.B. nur bestimmte Drucker verwenden darf.

In der Verwaltung der Berechtigungsdaten wählen Sie Bearbeiten  Einfügen Berechtigungen Aus Vorlage. Wählen Sie die Vorlage SAP_PRINT. Es werden Berechtigungsdaten eingefügt, die Sie noch ergänzen müssen (welche Drucker, etc.)

Falls Sie selbst Vorlagen erstellen möchten, wählen Sie in der Transaktion SU24 die Option Vorlagen bearbeiten. Dazu benötigen Sie die Berechtigung Benutzerstammpflege: Benutzergruppen, S_USER_GRP. Sie können selbst Vorlagen erstellen oder von SAP ausgelieferte kopieren und die Kopien ändern. Änderungen an Vorlagen werden aber, im Gegensatz zu Änderungen an den Vorschlägen, beim Abgleichen von Rollen nicht weitergereicht. Ihre eigenen Vorlagen dürfen nicht mit S beginnen.

6.   Berechtigungsprofil nach Änderungen neu erzeugen

Erzeugen Sie das Berechtigungsprofil erneut, damit die Änderungen wirksam werden.

7.   Berechtigungsprofil überprüfen

Testen Sie das generierte Berechtigungsprofil.

Falls Berechtigungen fehlen oder überflüssig sind, so gibt es zwei Möglichkeiten:

1.       Sie ändern die Rolle: Aktivitäten verändern, Berechtigungen manuell einfügen, Berechtigungen deaktivieren

2.       Sie ändern die Vorschläge mit SU24 wie oben beschrieben und gleichen die Rollen ab.

Scheitert eine Berechtigungsprüfung während eines Transaktionsablaufs, so erhalten Sie die fehlende Berechtigung über System Hilfsmittel  Anz. Berecht.prüfung (Transaktion SU53).

In diesem Beispiel testen Sie solange, bis Sie mit dem Ergebnis zufrieden sind: Der Benutzer darf genau die richtige Aktion im Werk/Buchungskreis 0001 durchführen. Anschließend kopieren Sie die Rolle, z.B. auf einen Namen MATST_0002. Ändern Sie die Orgebenen auf Werk 0002 und Buchungskreis 0002, und generieren Sie das Berechtigungsprofil. Dann können Sie diese Rolle den Benutzern zuordnen, die die Materialstammverwaltung im Werk 0002 durchführen sollen.

Einführen eines neuen Moduls

Wenn Sie später die Lagerverwaltung einführen, machen Sie die oben beschriebenen Schritte rückgängig, die das Berechtigungsobjekt M_MATE_LGN betreffen.

Anschließend überprüfen Sie, ob die Funktionen Ihrer Rollen noch stimmen (Menüauswahl noch aktuell ?) und gleichen auf jeden Fall die Berechtigungsdaten ab.

 

 

Ende des Inhaltsbereichs