Berechtigungsobjekt in SAP einfach erklärt

Ein Berechtigungsobjekt ist eines der zentralsten Objekte in der SAP-Sicherheit und im gesamten SAP-System. In einem Berechtigungsobjekt wird die gewünschte Berechtigung ausgeprägt, die man einer Rolle zuordnet. Zur Laufzeit, wenn ABAP-Code ausgeführt wird, wird geprüft, ob die Ausprägung ausreicht, um den ABAP-Code auszuführen.

Diese Prüfungen werden im SAP-System sehr häufig durchgeführt. Dadurch wird die Datensicherheit und der Datenschutz gewährleistet. Nur autorisierte SAP-Benutzer können Daten im SAP-System anlegen, ändern, einsehen oder löschen.

In diesem Artikel wird genauer erläutert, was ein Berechtigungsobjekt in SAP ERP bzw. SAP S/4HANA ist. In der Kategorie „SAP Security“ erfährst Du weitere wichtige Artikel rund um die SAP-Sicherheit. Besonders hervorzuheben sind die Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ und „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“.

Was ist ein Berechtigungsobjekt?

Ein Berechtigungsobjekt ist Prüfobjekt des ABAP-Befehls AUTHORITY-CHECK und damit zentraler Bestandteil des SAP-Berechtigungskonzepts. Es enthält bis zu zehn Berechtigungsfelder, die die zu prüfenden Eigenschaften definieren, um Datenzugriffe in ABAP-Anwendungen zu schützen. Der Name des Berechtigungsobjekts kann bis zu zehn Zeichen lang sein und sollte immer so gewählt werden, dass sowohl der Anwendungsbereich als auch die funktionale Bedeutung des Objekts erkennbar sind.

Berechtigungsobjekte werden im SAP-System mit der Transaktion SU21 definiert und in der Tabelle TOBJ gespeichert.

Transaktion SU21 - Pflege Berechtigungsobjekte

Führt man in der Transaktion SU21 die Selektion mit einem bestimmten Berechtigungsobjekt aus, erhält man anschließend die Detailinformationen dieses Berechtigungsobjektes. Im folgenden Beispiel werden die Detailinformationen des Berechtigungsobjektes S_TCODE angezeigt.

Berechtigungsobjekt S_TCODE in der Transaktion SU21

In der Transaktion PFCG werden die Berechtigungsobjekte einzelnen Rollen und Werten in den Berechtigungsfeldern zugeordnet. Nur wenn im ausführenden ABAP-Code mit der ABAP-Anweisung AUTHORITY-CHECK ein Berechtigungsobjekt mit einem Wert geprüft wird, wird auch die Berechtigung geprüft.

Eine Liste der Aktivitäten kannst Du in der Tabelle TACTT erhalten.

Berechtigungsobjekt in SAP erstellen

In der Transaktion SU21 wird ein Berechtigungsobjekt in SAP erstellt. Nachdem Du die Transaktion aufgerufen hast, klickst Du in der Toolbar auf den Button „Berechtigungsobjekt anlegen“ oder nutzt die Tastenkombination „Strg + F2“.

Daraufhin gibst Du die Kopfdaten des Berechtigungsobjektes an. Darunter fallen folgende Informationen:

  • Name des Berechtigungsobjektes
  • Berechtigungsobjekttext
  • Berechtigungsobjektklasse
  • Berechtigungsobjektklassentext
  • Paket
Berechtigungsobjekt anlegen

Benötigst Du eine eigene Berechtigungsobjektklasse, kannst Du diese in der Transaktion SU21 mit dem Button „Berechtigungsobjektklasse anlegen“ anlegen.

Nachdem die Daten eingegeben wurden, kannst Du mit dem Speichern-Button oder der Tastenkombination „Strg + S“ die Daten und somit das Berechtigungsobjekt speichern. Das Berechtigungsobjekt wurde somit angelegt.

Es gilt jedoch noch die Objektattribute und Berechtigungsfelder anzugeben. Mit dem Speichern-Button speicherst Du Deine Änderungen. Du kannst jederzeit in der Transaktion SU21 die Daten verändern.

Berechtigungsobjekt ändern

Benötigst Du ein eigenes Berechtigungsfeld, kannst Du dieses in der Transaktion SU20 anlegen.

Berechtigungsobjekt löschen

Ein Berechtigungsobjekt kannst Du in der Transaktion SU21 löschen. Nachdem Du die Transaktion aufgerufen hast, gibst Du im Eingabefeld „Berechtigungsobjekt“ das Berechtigungsobjekt ein oder suchst es über die F4-Hilfe und führst die Selektion über den Ausführen-Button aus. Daraufhin landest Du im Anzeigemodus.

Das Berechtigungsobjekt kannst Du nun über den Button „Berechtigungsobjekt löschen“ oder der Tastenkombination „Umschalt + F2“ löschen.

Berechtigungsobjekt löschen

Nachdem Du den Button geklickt hast, erscheint ein Abfrage, die Du mit dem Button „Ja“ bestätigen musst. Daraufhin erhältst Du in der Statusleiste eine Erfolgsmeldung und das Berechtigungsobjekt wurde gelöscht.

Die wichtigsten Berechtigungsobjekte im Überblick

BerechtigungsobjektBeschreibung
T_TCODETransaktionscode-Prüfung bei Transaktionsstart
S_TABU_DISTabellenpflege (über Standardtools wie z. B. SM30)
S_TABU_CLITabellenpflege mandantenunabhängiger Tabellen
S_TABU_NAMTabellenzugriff über generische Standardtools
S_PROGRAMABAP: Programmablaufprüfungen
S_BTCH_JOBHintergrundverarbeitung: Operationen auf Hintergrundjobs
S_BTCH_ADMBatch-Verarbeitung: Batch-Administrator
S_BTCH_NAMHintergrundverarbeitung: Hintergrundbenutzername
S_USER_AGRBerechtigungswesen: Prüfung für Rollen
S_USER_AUTBenutzerstammpflege: Berechtigungen
S_USER_GRPBenutzerstammpflege: Benutzergruppen
S_USER_OBJBerechtigungswesen: Berechtigungsobjekte global ausschalten
S_USER_PROBenutzerstammpflege: Berechtigungsprofil
S_USER_SASBenutzerstammpflege: Systemspezifische Zuordnungen
S_DEVELOPABAP Workbench
S_RFCBerechtigungsprüfung für RFC-Zugriff
S_ADMI_FCDSystemberechtigungen

Im Artikel „Übersicht aller SAP-Berechtigungsobjekte – SAP Security“ findest Du eine Übersicht über alle Berechtigungsobjekte. Im Artikel „Überblick über kritische Berechtigungen in SAP ERP“ findest Du eine Übersicht über kritische Berechtigungsobjekte im SAP-System.

Die wichtigsten Transaktionen für Berechtigungsobjekte

TransaktionBeschreibung
SU21Berechtigungsobjektpflege
SU20Pflege der Berechtigungsfelder
SU24Pflege von Berechtigungsvorschlagswerten
PFCGPflege von Rollen
PFCGMASSVALMassenpflege von Berechtigungswerten
SUIMBenutzerinformationssystem
SU53Auswertung der Berechtigungspüfung

Im Artikel „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“ findest Du eine Übersicht über die wichtigsten Transaktionen in SAP Security.

Die wichtigsten Tabellen für Berechtigungsobjekte

TabelleBeschreibung
TOBJBerechtigungsobjekte
TOBJTKurztexte zu Berechtigungsobjekten
TSTAVTView über Berechtigung, Transaktion und Text – Infosystem
TBRGBerechtigungsgruppen
TACTZGültige Aktivitäten je Berechtigungsobjekt
USOBTRelation Transaktion –> Berechtigungsobjekt
USOBT_CRelation Transaktion –> Berechtigungsobjekt (Kunde)
USOBXChecktabelle zu Tabelle USOBT
AUTHXBerechtigungsfelder (Pflege mit SU20)

Im Artikel „Die wichtigsten SAP-Tabellen für Berechtigungen“ findest Du eine Übersicht über die wichtigsten Tabellen in SAP Security.

Über den Autor

Andreas Geiger

Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.

Mehr zu ERP UP

ERP UP unterstützen

Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.

Schreibe einen Kommentar