Ein Berechtigungsobjekt ist eines der zentralsten Objekte in der SAP-Sicherheit und im gesamten SAP-System. In einem Berechtigungsobjekt wird die gewünschte Berechtigung ausgeprägt, die man einer Rolle zuordnet. Zur Laufzeit, wenn ABAP-Code ausgeführt wird, wird geprüft, ob die Ausprägung ausreicht, um den ABAP-Code auszuführen.
Diese Prüfungen werden im SAP-System sehr häufig durchgeführt. Dadurch wird die Datensicherheit und der Datenschutz gewährleistet. Nur autorisierte SAP-Benutzer können Daten im SAP-System anlegen, ändern, einsehen oder löschen.
In diesem Artikel wird genauer erläutert, was ein Berechtigungsobjekt in SAP ERP bzw. SAP S/4HANA ist. In der Kategorie „SAP Security“ erfährst Du weitere wichtige Artikel rund um die SAP-Sicherheit. Besonders hervorzuheben sind die Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ und „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“.
Was ist ein Berechtigungsobjekt?
Ein Berechtigungsobjekt ist Prüfobjekt des ABAP-Befehls AUTHORITY-CHECK und damit zentraler Bestandteil des SAP-Berechtigungskonzepts. Es enthält bis zu zehn Berechtigungsfelder, die die zu prüfenden Eigenschaften definieren, um Datenzugriffe in ABAP-Anwendungen zu schützen. Der Name des Berechtigungsobjekts kann bis zu zehn Zeichen lang sein und sollte immer so gewählt werden, dass sowohl der Anwendungsbereich als auch die funktionale Bedeutung des Objekts erkennbar sind.
Berechtigungsobjekte werden im SAP-System mit der Transaktion SU21 definiert und in der Tabelle TOBJ gespeichert.
Führt man in der Transaktion SU21 die Selektion mit einem bestimmten Berechtigungsobjekt aus, erhält man anschließend die Detailinformationen dieses Berechtigungsobjektes. Im folgenden Beispiel werden die Detailinformationen des Berechtigungsobjektes S_TCODE angezeigt.
In der Transaktion PFCG werden die Berechtigungsobjekte einzelnen Rollen und Werten in den Berechtigungsfeldern zugeordnet. Nur wenn im ausführenden ABAP-Code mit der ABAP-Anweisung AUTHORITY-CHECK ein Berechtigungsobjekt mit einem Wert geprüft wird, wird auch die Berechtigung geprüft.
Eine Liste der Aktivitäten kannst Du in der Tabelle TACTT erhalten.
Berechtigungsobjekt in SAP erstellen
In der Transaktion SU21 wird ein Berechtigungsobjekt in SAP erstellt. Nachdem Du die Transaktion aufgerufen hast, klickst Du in der Toolbar auf den Button „Berechtigungsobjekt anlegen“ oder nutzt die Tastenkombination „Strg + F2“.
Daraufhin gibst Du die Kopfdaten des Berechtigungsobjektes an. Darunter fallen folgende Informationen:
- Name des Berechtigungsobjektes
- Berechtigungsobjekttext
- Berechtigungsobjektklasse
- Berechtigungsobjektklassentext
- Paket
Benötigst Du eine eigene Berechtigungsobjektklasse, kannst Du diese in der Transaktion SU21 mit dem Button „Berechtigungsobjektklasse anlegen“ anlegen.
Nachdem die Daten eingegeben wurden, kannst Du mit dem Speichern-Button oder der Tastenkombination „Strg + S“ die Daten und somit das Berechtigungsobjekt speichern. Das Berechtigungsobjekt wurde somit angelegt.
Es gilt jedoch noch die Objektattribute und Berechtigungsfelder anzugeben. Mit dem Speichern-Button speicherst Du Deine Änderungen. Du kannst jederzeit in der Transaktion SU21 die Daten verändern.
Benötigst Du ein eigenes Berechtigungsfeld, kannst Du dieses in der Transaktion SU20 anlegen.
Berechtigungsobjekt löschen
Ein Berechtigungsobjekt kannst Du in der Transaktion SU21 löschen. Nachdem Du die Transaktion aufgerufen hast, gibst Du im Eingabefeld „Berechtigungsobjekt“ das Berechtigungsobjekt ein oder suchst es über die F4-Hilfe und führst die Selektion über den Ausführen-Button aus. Daraufhin landest Du im Anzeigemodus.
Das Berechtigungsobjekt kannst Du nun über den Button „Berechtigungsobjekt löschen“ oder der Tastenkombination „Umschalt + F2“ löschen.
Nachdem Du den Button geklickt hast, erscheint ein Abfrage, die Du mit dem Button „Ja“ bestätigen musst. Daraufhin erhältst Du in der Statusleiste eine Erfolgsmeldung und das Berechtigungsobjekt wurde gelöscht.
Die wichtigsten Berechtigungsobjekte im Überblick
Berechtigungsobjekt | Beschreibung |
---|---|
T_TCODE | Transaktionscode-Prüfung bei Transaktionsstart |
S_TABU_DIS | Tabellenpflege (über Standardtools wie z. B. SM30) |
S_TABU_CLI | Tabellenpflege mandantenunabhängiger Tabellen |
S_TABU_NAM | Tabellenzugriff über generische Standardtools |
S_PROGRAM | ABAP: Programmablaufprüfungen |
S_BTCH_JOB | Hintergrundverarbeitung: Operationen auf Hintergrundjobs |
S_BTCH_ADM | Batch-Verarbeitung: Batch-Administrator |
S_BTCH_NAM | Hintergrundverarbeitung: Hintergrundbenutzername |
S_USER_AGR | Berechtigungswesen: Prüfung für Rollen |
S_USER_AUT | Benutzerstammpflege: Berechtigungen |
S_USER_GRP | Benutzerstammpflege: Benutzergruppen |
S_USER_OBJ | Berechtigungswesen: Berechtigungsobjekte global ausschalten |
S_USER_PRO | Benutzerstammpflege: Berechtigungsprofil |
S_USER_SAS | Benutzerstammpflege: Systemspezifische Zuordnungen |
S_DEVELOP | ABAP Workbench |
S_RFC | Berechtigungsprüfung für RFC-Zugriff |
S_ADMI_FCD | Systemberechtigungen |
Im Artikel „Übersicht aller SAP-Berechtigungsobjekte – SAP Security“ findest Du eine Übersicht über alle Berechtigungsobjekte. Im Artikel „Überblick über kritische Berechtigungen in SAP ERP“ findest Du eine Übersicht über kritische Berechtigungsobjekte im SAP-System.
Die wichtigsten Transaktionen für Berechtigungsobjekte
Transaktion | Beschreibung |
---|---|
SU21 | Berechtigungsobjektpflege |
SU20 | Pflege der Berechtigungsfelder |
SU24 | Pflege von Berechtigungsvorschlagswerten |
PFCG | Pflege von Rollen |
PFCGMASSVAL | Massenpflege von Berechtigungswerten |
SUIM | Benutzerinformationssystem |
SU53 | Auswertung der Berechtigungspüfung |
Im Artikel „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“ findest Du eine Übersicht über die wichtigsten Transaktionen in SAP Security.
Die wichtigsten Tabellen für Berechtigungsobjekte
Tabelle | Beschreibung |
---|---|
TOBJ | Berechtigungsobjekte |
TOBJT | Kurztexte zu Berechtigungsobjekten |
TSTAVT | View über Berechtigung, Transaktion und Text – Infosystem |
TBRG | Berechtigungsgruppen |
TACTZ | Gültige Aktivitäten je Berechtigungsobjekt |
USOBT | Relation Transaktion –> Berechtigungsobjekt |
USOBT_C | Relation Transaktion –> Berechtigungsobjekt (Kunde) |
USOBX | Checktabelle zu Tabelle USOBT |
AUTHX | Berechtigungsfelder (Pflege mit SU20) |
Im Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ findest Du eine Übersicht über die wichtigsten Tabellen in SAP Security.
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.