Ein Berechtigungsobjekt ist eines der zentralsten Objekte in der SAP-Sicherheit und im gesamten SAP-System. In einem Berechtigungsobjekt wird die gewünschte Berechtigung ausgeprägt, die man einer Rolle zuordnet. Zur Laufzeit, wenn ABAP-Code ausgeführt wird, wird geprüft, ob die Ausprägung ausreicht, um den ABAP-Code auszuführen.
Diese Prüfungen werden im SAP-System sehr häufig durchgeführt. Dadurch wird die Datensicherheit und der Datenschutz gewährleistet. Nur autorisierte SAP-Benutzer können Daten im SAP-System anlegen, ändern, einsehen oder löschen.
In diesem Artikel wird genauer erläutert, was ein Berechtigungsobjekt in SAP ERP bzw. SAP S/4HANA ist. In der Kategorie „SAP Security“ erfährst Du weitere wichtige Artikel rund um die SAP-Sicherheit. Besonders hervorzuheben sind die Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ und „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“.
Was ist ein Berechtigungsobjekt?
Ein Berechtigungsobjekt ist Prüfobjekt des ABAP-Befehls AUTHORITY-CHECK und damit zentraler Bestandteil des SAP-Berechtigungskonzepts. Es enthält bis zu zehn Berechtigungsfelder, die die zu prüfenden Eigenschaften definieren, um Datenzugriffe in ABAP-Anwendungen zu schützen. Der Name des Berechtigungsobjekts kann bis zu zehn Zeichen lang sein und sollte immer so gewählt werden, dass sowohl der Anwendungsbereich als auch die funktionale Bedeutung des Objekts erkennbar sind.
Berechtigungsobjekte werden im SAP-System mit der Transaktion SU21 definiert und in der Tabelle TOBJ gespeichert.
Führt man in der Transaktion SU21 die Selektion mit einem bestimmten Berechtigungsobjekt aus, erhält man anschließend die Detailinformationen dieses Berechtigungsobjektes. Im folgenden Beispiel werden die Detailinformationen des Berechtigungsobjektes S_TCODE angezeigt.
In der Transaktion PFCG werden die Berechtigungsobjekte einzelnen Rollen und Werten in den Berechtigungsfeldern zugeordnet. Nur wenn im ausführenden ABAP-Code mit der ABAP-Anweisung AUTHORITY-CHECK ein Berechtigungsobjekt mit einem Wert geprüft wird, wird auch die Berechtigung geprüft.
Eine Liste der Aktivitäten kannst Du in der Tabelle TACTT erhalten.
Berechtigungsobjekt in SAP erstellen
In der Transaktion SU21 wird ein Berechtigungsobjekt in SAP erstellt. Nachdem Du die Transaktion aufgerufen hast, klickst Du in der Toolbar auf den Button „Berechtigungsobjekt anlegen“ oder nutzt die Tastenkombination „Strg + F2“.
Daraufhin gibst Du die Kopfdaten des Berechtigungsobjektes an. Darunter fallen folgende Informationen:
- Name des Berechtigungsobjektes
- Berechtigungsobjekttext
- Berechtigungsobjektklasse
- Berechtigungsobjektklassentext
- Paket
Benötigst Du eine eigene Berechtigungsobjektklasse, kannst Du diese in der Transaktion SU21 mit dem Button „Berechtigungsobjektklasse anlegen“ anlegen.
Nachdem die Daten eingegeben wurden, kannst Du mit dem Speichern-Button oder der Tastenkombination „Strg + S“ die Daten und somit das Berechtigungsobjekt speichern. Das Berechtigungsobjekt wurde somit angelegt.
Es gilt jedoch noch die Objektattribute und Berechtigungsfelder anzugeben. Mit dem Speichern-Button speicherst Du Deine Änderungen. Du kannst jederzeit in der Transaktion SU21 die Daten verändern.
Benötigst Du ein eigenes Berechtigungsfeld, kannst Du dieses in der Transaktion SU20 anlegen.
Berechtigungsobjekt löschen
Ein Berechtigungsobjekt kannst Du in der Transaktion SU21 löschen. Nachdem Du die Transaktion aufgerufen hast, gibst Du im Eingabefeld „Berechtigungsobjekt“ das Berechtigungsobjekt ein oder suchst es über die F4-Hilfe und führst die Selektion über den Ausführen-Button aus. Daraufhin landest Du im Anzeigemodus.
Das Berechtigungsobjekt kannst Du nun über den Button „Berechtigungsobjekt löschen“ oder der Tastenkombination „Umschalt + F2“ löschen.
Nachdem Du den Button geklickt hast, erscheint ein Abfrage, die Du mit dem Button „Ja“ bestätigen musst. Daraufhin erhältst Du in der Statusleiste eine Erfolgsmeldung und das Berechtigungsobjekt wurde gelöscht.
Die wichtigsten Berechtigungsobjekte im Überblick
| Berechtigungsobjekt | Beschreibung |
|---|---|
| T_TCODE | Transaktionscode-Prüfung bei Transaktionsstart |
| S_TABU_DIS | Tabellenpflege (über Standardtools wie z. B. SM30) |
| S_TABU_CLI | Tabellenpflege mandantenunabhängiger Tabellen |
| S_TABU_NAM | Tabellenzugriff über generische Standardtools |
| S_PROGRAM | ABAP: Programmablaufprüfungen |
| S_BTCH_JOB | Hintergrundverarbeitung: Operationen auf Hintergrundjobs |
| S_BTCH_ADM | Batch-Verarbeitung: Batch-Administrator |
| S_BTCH_NAM | Hintergrundverarbeitung: Hintergrundbenutzername |
| S_USER_AGR | Berechtigungswesen: Prüfung für Rollen |
| S_USER_AUT | Benutzerstammpflege: Berechtigungen |
| S_USER_GRP | Benutzerstammpflege: Benutzergruppen |
| S_USER_OBJ | Berechtigungswesen: Berechtigungsobjekte global ausschalten |
| S_USER_PRO | Benutzerstammpflege: Berechtigungsprofil |
| S_USER_SAS | Benutzerstammpflege: Systemspezifische Zuordnungen |
| S_DEVELOP | ABAP Workbench |
| S_RFC | Berechtigungsprüfung für RFC-Zugriff |
| S_ADMI_FCD | Systemberechtigungen |
Im Artikel „Übersicht aller SAP-Berechtigungsobjekte – SAP Security“ findest Du eine Übersicht über alle Berechtigungsobjekte. Im Artikel „Überblick über kritische Berechtigungen in SAP ERP“ findest Du eine Übersicht über kritische Berechtigungsobjekte im SAP-System.
Die wichtigsten Transaktionen für Berechtigungsobjekte
| Transaktion | Beschreibung |
|---|---|
| SU21 | Berechtigungsobjektpflege |
| SU20 | Pflege der Berechtigungsfelder |
| SU24 | Pflege von Berechtigungsvorschlagswerten |
| PFCG | Pflege von Rollen |
| PFCGMASSVAL | Massenpflege von Berechtigungswerten |
| SUIM | Benutzerinformationssystem |
| SU53 | Auswertung der Berechtigungspüfung |
Im Artikel „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“ findest Du eine Übersicht über die wichtigsten Transaktionen in SAP Security.
Die wichtigsten Tabellen für Berechtigungsobjekte
| Tabelle | Beschreibung |
|---|---|
| TOBJ | Berechtigungsobjekte |
| TOBJT | Kurztexte zu Berechtigungsobjekten |
| TSTAVT | View über Berechtigung, Transaktion und Text – Infosystem |
| TBRG | Berechtigungsgruppen |
| TACTZ | Gültige Aktivitäten je Berechtigungsobjekt |
| USOBT | Relation Transaktion –> Berechtigungsobjekt |
| USOBT_C | Relation Transaktion –> Berechtigungsobjekt (Kunde) |
| USOBX | Checktabelle zu Tabelle USOBT |
| AUTHX | Berechtigungsfelder (Pflege mit SU20) |
Im Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ findest Du eine Übersicht über die wichtigsten Tabellen in SAP Security.
Berechtigungsobjekte in SAP: Dein Schlüssel zur Sicherheit
Du hast nun einen umfassenden Überblick darüber, was ein Berechtigungsobjekt in SAP ist und wie es die Grundlage für die SAP-Sicherheit bildet. Im Kern dienen Berechtigungsobjekte dazu, Zugriffsrechte für Benutzer präzise zu steuern. Sie bilden die Schnittstelle zwischen den Rollen, die Du in der Transaktion PFCG pflegst, und den eigentlichen Berechtigungen, die während der Programmausführung geprüft werden. Die zentrale ABAP-Anweisung AUTHORITY-CHECK stellt sicher, dass ein Benutzer nur die Daten oder Funktionen ausführen kann, für die er autorisiert ist. Damit werden nicht nur Datenschutz und Datensicherheit gewährleistet, sondern auch die Einhaltung unternehmensinterner Richtlinien und Compliance-Anforderungen.
Besonders wichtig für Dich ist, dass ein Berechtigungsobjekt bis zu zehn Berechtigungsfelder enthalten kann. Diese Felder definieren genau, welche Aktionen ein Benutzer durchführen darf, z. B. Lesen, Ändern, Löschen oder Ausführen. Über die Transaktion SU21 kannst Du Berechtigungsobjekte anlegen, ändern oder löschen, während Du mit SU20 neue Berechtigungsfelder hinzufügen kannst. Die Speicherung in der Tabelle TOBJ sorgt dafür, dass alle Berechtigungsobjekte systemweit nachvollziehbar sind. Wenn Du die Zuordnung dieser Objekte zu Rollen und Benutzern in PFCG verstehst, bist Du in der Lage, die SAP-Sicherheit gezielt zu gestalten und Fehlberechtigungen zu vermeiden.
Darüber hinaus solltest Du die wichtigsten Berechtigungsobjekte kennen, wie etwa T_TCODE für Transaktionscodes, S_TABU_DIS für Tabellenpflege oder S_RFC für RFC-Zugriffe. Diese Objekte bilden die Basis, um kritische Funktionen abzusichern und potenzielle Sicherheitslücken frühzeitig zu schließen. Durch die Nutzung von SUIM und SU53 kannst Du zudem Berechtigungen analysieren und nachvollziehen, warum ein Zugriff gewährt oder verweigert wurde. Für Dich bedeutet das konkret: Mit einem soliden Verständnis der Berechtigungsobjekte bist Du nicht nur Anwender, sondern kannst aktiv zur Absicherung der Geschäftsprozesse im SAP-System beitragen.
Ausblick: Berechtigungsobjekte strategisch nutzen und erweitern
Nachdem Du nun die Grundlagen und die praktische Handhabung der Berechtigungsobjekte kennst, stellt sich die Frage, wie Du dieses Wissen langfristig strategisch einsetzen kannst. Ein entscheidender Punkt ist, dass Berechtigungsobjekte nicht isoliert betrachtet werden sollten. Sie wirken immer im Zusammenspiel mit Rollen, Benutzern und Transaktionen. Wenn Du dieses Zusammenspiel verstehst, kannst Du Rollen effizienter gestalten, Doppelrollen vermeiden und Berechtigungen so konfigurieren, dass sie den tatsächlichen Geschäftsprozessen entsprechen, ohne unnötige Rechte zu vergeben. Das spart nicht nur Zeit in der Administration, sondern erhöht auch die Compliance-Sicherheit in Deinem Unternehmen.
Ein weiterer Ausblick betrifft die Weiterentwicklung der SAP-Sicherheit. SAP führt kontinuierlich neue Berechtigungsobjekte ein, insbesondere in den Bereichen S/4HANA, Fiori und SAP Cloud-Lösungen. Für Dich bedeutet das, dass Du die bisherigen Kenntnisse auf neue Technologien übertragen kannst: Die Prinzipien der Objekterstellung, Felddefinition und Rollenpflege bleiben gleich, auch wenn sich die Oberflächen oder Backend-Systeme ändern. Außerdem eröffnen Tools wie SAP GRC Access Control oder automatisierte Berechtigungsprüfungen neue Möglichkeiten, Berechtigungsobjekte nicht nur manuell zu pflegen, sondern regelbasiert, revisionssicher und auditfähig zu verwalten.
Abschließend ist zu betonen, dass das kontinuierliche Lernen im SAP-Sicherheitsbereich essenziell ist. Du solltest regelmäßig die Tabellen TOBJ, TOBJT, TSTAVT oder USOBT prüfen, um zu verstehen, wie Berechtigungen im System hinterlegt sind, und die Transaktionen SU21, SU20, PFCG, SUIM und SU53 routiniert nutzen. So stellst Du sicher, dass Dein SAP-System sicher, effizient und flexibel bleibt. Mit diesem Wissen bist Du in der Lage, Berechtigungsobjekte nicht nur zu verstehen, sondern aktiv als Werkzeug zur Optimierung der SAP-Sicherheitsarchitektur einzusetzen.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.
