In diesem Artikel werden die wichtigsten SAP-Reports für Berechtigungen im SAP-System aufgelistet. Berechtigungen sind ein zentrales Konzept in SAP ERP bzw. SAP S/4HANA. Durch Berechtigungen wird sichergestellt, dass SAP-Benutzer nur das sehen und bearbeiten können, was durch die Unternehmensrichtlinien und die Position des Mitarbeiters vorgesehen ist. Im SAP-System werden sensible und wichtige Daten gespeichert. Sowohl der Datenschutz als auch der technische Schutz der Daten muss gewährleistet sein.
Deshalb liste ich in diesem Artikel die wichtigsten SAP-Reports für Berechtigungen auf. Dabei erläutere ich jeweils den Nutzen und den Funktionsumfang des Reports.
In der Regel wird ein SAP-Report über die Programmausführung (Transaktion SA38) oder den ABAP-Editor (Transaktion SE38) aufgerufen. Dazu gibt man den Namen des Reports in das Eingabefeld ein und drückt die F8-Taste oder den Ausführen-Button.
Im Artikel „Die wichtigsten Transaktionen für Berechtigungen in SAP ERP“ findest Du die wichtigsten Transaktionen für Berechtigungen im Überblick.
Benutzerinformationssystem
Report: RSUSRSUIM
Der Report RSUSRSUIM bzw. die Transaktion SUIM ruft das Benutzerinformationssystem auf. Dies ist einer der wichtigsten und zentralsten Reports für die Analyse und den Vergleich von SAP-Benutzern und Berechtigungen im SAP-System. In einer Baumstruktur können verschiedene Reports für Berechtigungen aufgerufen werden. Es handelt sich also um eine Auflistung verschiedener Werkzeuge für Berechtigungen. Anhand verschiedener Kriterien können einzelne Knoten aufgerufen werden, um folgende Punkte detailliert zu analysieren:
- SAP-Benutzer
- Rollen
- Profile
- Berechtigungen
- Berechtigungsobjekte
- Transaktionen
Mit der Transaktion SUIM können insbesondere SAP-Benutzer mit kritischen Berechtigungen identifiziert werden. Viele der nachfolgend aufgelisteten und näher erläuterten Reports sind ebenfalls in der Transaktion SUIM vorhanden und aufrufbar.
Suche nach Einzelrollen mit Berechtigungsdaten
Report: RSUSRAUTH
Mit dem Report RSUSRAUTH kannst Du nach Einzelrollen mit Berechtigungsdaten im SAP-System suchen. Dabei kannst Du Dir Rollen- und Berechtigungsdaten anzeigen lassen.
Der Report RSUSRAUTH analysiert alle Rollendaten, die in der Tabelle AGR_1251 gespeichert sind. Dadurch ist es möglich, nicht nur durch die Auswahl des Pflegestatus der Berechtigungen, sondern vor allem auch durch die Hinterlegung bestimmter Berechtigungsobjekte und deren Aussteuerung, fehlerhafte und sicherheitskritische Ausprägungen schnell zu finden und zu bereinigen. Die Profildaten, die in der Tabelle UST12 gespeichert sind, werden dabei nicht analysiert. Du kannst den Report RSUSR070 verwenden, um die Profildaten der Rollen zu untersuchen.
Der SAP-Hinweis 2069683 erweitert den Funktionsumfang des Reports RSUSRAUTH. Es wird empfohlen, diesen SAP-Hinweis im SAP-System einzuspielen.
Massenpflege von Berechtigungswerten
Berechtigungstrace
Transaktion: STAUTHTRACE
Mit der Transaktion STAUTHTRACE (Report SAPLSUAUTHTRACE) rufst Du den Systemtrace für Berechtigungsprüfungen auf. Dabei handelt es sich um die neue SAP-Transaktion zur Verfolgung von Berechtigungsproblemen auf der Grundlage der Berechtigungsprotokolle.
Gerade im Vergleich zur Transaktion ST01 bietet die Transaktion STAUTHTRACE zahlreiche Vorteile. Die Option „Systemweiter Trace“ kann aktiviert werden, um den Trace für alle Anwendungsserver gleichzeitig zu erhalten, und Du kannst alle Server-Traces von einem einzigen Punkt aus aufrufen und deaktivieren.
Die Transaktion STAUTHTRACE funktioniert wie der Systemtrace (Transaktion ST01). Es werden jedoch nur Berechtigungsprüfungen ausgewertet.
Rollen vergleichen
Report: RSUSR050
Mit dem Report RSUSR050 kannst Du systemübergreifend SAP-Benutzer, Rollen, Profile und Berechtigungen vergleichen
Dieser Report eignet sich besonders gut, um die Berechtigungen von zwei SAP-Benutzern zu vergleichen. Oft bekommt man die Aussage, dass ein Benutzer eine Aktivität im SAP-System ausführen darf und der andere nicht. Mit diesem Report kann man die beiden Benutzer sehr schnell vergleichen.
Benutzer bzw. Rollen mit kritischen Berechtigungen
Report: RSUSR008_009_NEW
Mit dem Report RSUSR008_009_NEW kannst Du SAP-Benutzer bzw. Rollen mit Kombinationen kritischer Berechtigungen prüfen.
Im Standard sind jedoch keine Regelwerke vorhanden. Um die SAP-Benutzer bzw. Rollen auswerten und prüfen zu können, muss zunächst eine Variante angelegt werden. Eine Variante kann entweder über die Transaktion SU_VCUSRVARCOM_CHAN oder über den Report RSUSR008_009_NEW selbst angelegt werden. In der Variante werden die Sicherheitsrichtlinien festgelegt.
Massenpflege von Berechtigungswerten
Report: PFCG_MASS_VAL
Mit dem Report PFCG_MASS_VAL bzw. der Transaktion PFCGMASSVAL kannst Du massenhaft Berechtigungen pflegen.
Mit dem Report PFCG_MASS_VAL hast Du unter anderem folgende Möglichkeiten:
- Organisationsebenen zu ändern
- Feldwerte von Berechtigungen zu einem Objekt ändern
- Feldwerte von Berechtigungen zu einem Feld ändern (Objektübergreifend)
- Hinzufügen einer manuellen Berechtigung zu einem Objekt
- Löschen einer manuellen Berechtigung zu einem Objekt
- Hinzufügen von F4 als Vorschlagswert ohne Wechsel zum Status ‚Verändert‘
Mehr zur Massenpflege von Berechtigungen findest Du im SAP-Hinweis 2177996.
Massenlöschen von Rollen
Report: PFCG_MASS_DELETE
Mit dem Report PFCG_MASS_DELETE bzw. der Transaktion PFCGMASSDELETE kannst Du massenhaft Rollen löschen.
Für die in der Standardselektion ausgewählten Sammelrollen bietet der Report PFCG_MASS_DELETE drei Bearbeitungsmodi an:
- Simulation
- Ausführung mit vorhergehender Simulation
- Direkt Ausführung
Mit der Option „Simulation“ werden die durchzuführenden Änderungen simuliert und in einer Ergebnisliste angezeigt. Während der Simulation werden alle notwendigen Berechtigungsprüfungen durchgeführt.
Bei der Option „Ausführung mit vorhergehender Simulation“ werden zunächst die Rollen gesperrt und die Simulation durchgeführt. Anschließend erscheint in der Menüleiste der Ergebnisliste die Drucktaste ‚Ausführen‘. Auf diese Weise kannst Du die Änderungen zunächst überprüfen und anschließend speichern, ohne dass die Rollen zwischenzeitlich versehentlich geändert wurden. Wenn Du nur einen Teil der angezeigten Rollen ändern möchtest, kannst Du mit der Funktion „Rolle ausschließen“ oberhalb der Ergebnisliste die zuvor markierten Rollen löschen.
Die Option „Direkt Ausführung“ bedeutet, dass die Änderungen sofort ausgeführt und in der Ergebnisliste angezeigt werden.
Mit diesem Programm kannst Du mehrere Rollen auf einmal löschen. Nicht gelöscht werden:
- Vererbte Rollen
- Einzelrollen als Bestandteil von Sammelrollen
- Rollen mit Benutzerzuordnungen
Im Abschnitt „Rollentransport“ siehst Du, ob und wenn ja, welche Einstellung zum Transport mandantenabhängiger Customizing-Objekte in Transaktion SCC4 aktiv ist. Näheres zum Rollentransport findest Du im SAP-Hinweis 1723881.
Die Ausgabe des Programms PFCG_MASS_DELETE zeigt das Ergebnis der Simulation bzw. der Ausführung. Fehler werden im Fehlerprotokoll am Ende der Liste angezeigt.
Massen-Download von Rollen
Report: PFCG_MASS_DOWNLOAD
Mit dem Report PFCG_MASS_DOWNLOAD kannst Du massenhaft Rollen herunterladen.
Beim Rollen-Download werden alle Daten der Rolle einschließlich der Berechtigungsdaten in eine Datei geladen. Die Benutzerzuordnung der Rolle wird nicht in die Datei geladen, ebenso wenig wie die generierten Profile der Rolle. Um Inkonsistenzen zu vermeiden, werden alle Rollen, von denen diese Rolle abgeleitet ist, ebenfalls in die Datei geladen. Beim Download von Sammelrollen werden ebenfalls alle enthaltenen Rollen in die Datei geladen.
Berechtigungen in ABAP-Programmen
Report: RS_ABAP_SOURCE_SCAN
Mit dem Report RS_ABAP_SOURCE_SCAN kannst Du vorhandenen ABAP-Code nach bestimmten Suchbegriffen untersuchen. Eine Alternative stellt die ABAP Suche (Report AFX_CODE_SCANNER bzw. Transaktion CODE_SCANNER) dar.
Insbesondere bei Eigenentwicklungen empfiehlt es sich, den ABAP-Code auf Berechtigungsprüfungen hin zu untersuchen. Berechtigungsrelevante Prüfmuster bei einem solchen Scan sind z.B. “AUTHORITY-CHECK“ oder SQL-Anweisungen wie SELECT, UPDATE oder DELETE. Generell sollte nicht direkt auf Datenbanktabellen zugegriffen werden, sondern etablierte BAPIs verwendet werden.
Dieser Report dient der Analyse und Identifikation von Sicherheitslücken direkt im ABAP-Quellcode. Dabei ist es wichtig, die ABAP-Entwickler entsprechend zu schulen und für die Bedeutung der IT-Sicherheit zu sensibilisieren.
Komprimierung von Benutzerzuordnung zu Rollen
Report: PRGN_COMPRESS_TIMES
Mit dem Report PRGN_COMPRESS_TIMES kannst Du obsolete Rollen löschen. Insbesondere in komplexen und mehrstufigen Systemlandschaften kann es vorkommen, dass einem SAP-Benutzer Rollen doppelt zugeordnet sind. Oder Rollen können auch aufgrund eines Gültigkeitszeitraums abgelaufen sein.
Kennwörter der Standardbenutzer prüfen
Report: RSUSR003
Mit dem Report RSUSRS003 kannst Du die Kennwörter der SAP-Standardbenutzer prüfen.
Bei der Auslieferung des SAP-Systems sind automatisch SAP-Standardbenutzer vorhanden. Diese haben oft weitreichende Berechtigungen und verfügen über bekannte Standardpasswörter. Die SAP-Standardbenutzer sind für den Betrieb des SAP-Systems unerlässlich und dürfen nicht gelöscht werden. Es wird empfohlen, die Standardpasswörter sofort nach der Installation zu ändern und die Standardbenutzer inaktiv zu setzen.
Mit dem Report RSUSRS003 können die Standardkennwörter im Detail überprüft werden.
Automatische Reparatur fehlerhafter Berechtigungsvorschläge
Report: SU24_AUTO_REPAIR
Mit dem Report SU24_AUTO_REPAIR kannst Du automatisch fehlerhafte Berechtigungsvorschläge aus der Transaktion SU24 reparieren. Bevor Du den Report SU24_AUTO_REPAIR ausführst, solltest Du unbedingt vorab den SAP-Hinweis 1539556 lesen.
Detaillierte Informationen zum Report SU24_AUTO_REPAIR findest Du im SAP-Hinweis 1539556. Die SAP-Berechtigungsvorschlagswerte bilden die Grundlage beim Anlegen von Rollen und dienen auch als Grundlage für das Berechtigungswesen im SAP-System. Dazu müssen die SAP Berechtigungsvorschlagswerte in der Transaktion SU22 über die Transaktion SU25 in die kundeneigenen Tabellen der Transaktion SU24 transportiert werden. Mit Hilfe des Reports SU2X_CHECK_CONSISTENCY können die Berechtigungsvorschläge auf Konsistenz geprüft werden.
Es empfiehlt sich außerdem, bevor man den Report SU24_AUTO_REPAIR produktiv ausführt, den Testmodus zu starten. Hierfür kann man die Checkbox „Testmodus, kein Update“ auswählen und dann den Report mit den gewünschten Selektionskriterien starten.
Insgesamt stehen folgende Funktionen im Report SU24_AUTO_REPAIR zur Verfügung:
- Lösche SU24-Vorschlagswerte ohne Prüfkennzeichenbezug
- Repariere defekte Feldliste in SU24-Vorschlagswerten
- Lösche ungültige SU24-Prüfkennzeichen
- Ergänze fehlende Modifikationsflags in SU24-Daten
- Lösche ungültige Vorschlagswerte
- Entferne falsch definierte SAP-Orgebene ($CLASS)
- Ergänze fehlende Transaktionsstartberechtigungen
- Prüfe Vorschlagswerte mit OrgEbenenbezug
Systemweite Benutzersitzungen
Report: RSUSR000
Der Report RSUSR000 zeigt Dir eine Liste aller angemeldenten Anwender im SAP-System. Dabei erhältst Du eine übersichtliche Liste der aktiven Anwender und welche SAP-Transaktion verwendet wird.
Im Artikel „Anzeige aller angemeldeten Benutzer in SAP ERP“ wird im Detail erläutert, welche Möglichkeiten es in SAP ERP bzw. SAP S/4HANA gibt, einfach und schnell die angemeldeten Benutzer im SAP-System zu analysieren.
Weitere wichtige SAP-Reports für Berechtigungen
Wie bereits erwähnt liefert Dir die Transaktion SUIM (Benutzerinformationssystem) wertvolle Repors für Berechtigungen im SAP-System.
Generell kannst Du wichtige Reports für Berechtigungen im ABAP Editor (Transaktion SE38) finden, indem Du nach „PSUSR*“ suchst. Die Namen der meisten Reports für Berechtigungen beginnen damit.
Im Folgenden werden weitere wichtige Reports für Berechtigungen aufgeführt.
| Report | Beschreibung |
|---|---|
| RSUSR002 | Benutzer nach komplexen Selektionskriterien |
| RSUSR002_ADDRESS | Benutzer nach Adressdaten |
| RSUSR004 | Benutzerwerte einschränken auf folgende Einzelprofile und Berechtigungsobjekte |
| RSUSR006 | Gesperrte Benutzer und Benutzer mit Falschanmeldungen |
| RSUSR007 | Benutzer mit unvollständigen Adressdaten anzeigen |
| RSUSR010 | Ausführbare Transaktionen (alle Selektionsmöglichkeiten) |
| RSUSR011 | Listen von Transaktionen nach Selektion mit Benutzer, Profil oder Objekte |
| RSUSR012 | Suche Berechtigungen, Profile und Benutzer mit bestimmten Objektwerten |
| RSUSR020 | Profile nach komplexen Selektionskriterien |
| RSUSR030 | Berechtigungen nach komplexen Selektionskriterien |
| RSUSR040 | Berechtigungsobjekte nach komplexen Selektionskriterien |
| RSUSR060OBJ | Verwendungsnachweis Berechtigungsobjekt in Programmen und Transaktionen |
| RSUSR070 | Rollen nach komplexen Selektionskriterien |
| RSUSR080 | Benutzer nach Lizenzdaten |
| RSUSR101 | Änderungsbelege für Profile |
| RSUSR102 | Änderungsbelege für Berechtigungen |
| RSUSR200 | Liste der Benutzer nach Anmeldedatum und Kennwortänderung |
| RSUSR300 | Allen Benutzern den externen Security-Namen setzen |
| RSUSR400 | Testumgebung Berechtigungsprüfungen (Nur in SAP-Systemen) |
| RSUSR401 | Report, um allen Benutzern SAPCPIC das Profil S_A.CPIC zu verpassen |
| RSUSR405 | In allen Mandanten alle Benutzerpuffer zurücksetzen (Unkritisch) |
| RSUSR406 | Automatisch das Profil SAP_ALL erstellen |
| RSUSR408 | XPRA: Umsetzung USOBX-OKFLAG, USOBX-MODIFIED für Upgradetool SU26 |
| RSUSR421 | Bereinigungsreport: TSTC-CINFO wenn keine Prüfung in TSTCA |
| RSUSR500 | Benutzermanagement: Abgleich der Benutzer im Zentralsystem |
| RSUSR500D | GUM offene Änderungen anzeigen |
| RSUSREXT | Externe Identifikation in Tabellenview VUSREXTID eintragen (ab 4.5) |
| RSUSREXTID | Externe Identifikation in Tabellenview VUSREXTID eintragen (ab 4.5) |
| RSUSRLOG | Protokollanzeige Zentrale Benutzerpflege |
| RSUSRSCUC | ZBV: Synchronisation der Firmenadressen |
| RSUSR_S_USER_SAS | Aktivierung des Berechtigungsobjekts S_USER_SAS |
Über den Autor
Mein Name ist Andreas Geiger und ich bin ein erfahrener Senior SAP Berater. Mit mehr als 10 Jahren Berufserfahrung habe ich mehrere SAP-Projekte erfolgreich abgeschlossen und umfangreiche Kenntnisse in verschiedenen Bereichen wie SAP FI, SAP MM und ABAP erworben. Nun möchte ich mein Wissen mit Dir teilen, um Dir einen Mehrwert zu bieten und Dich bei Deiner täglichen Arbeit mit dem SAP-System zu unterstützen.
ERP UP unterstützen
Wenn Du mit ERP UP zufrieden bist, kannst Du mich gerne unterstützen. Dabei gibt es unzählige Möglichkeiten, wie Du mich einfach und schnell unterstützen kannst. Wie Du genau ERP UP unterstützen kannst, erfährst Du hier. Vielen Dank.
Guten Morgen Andreas,
vielen Dank für die Zusammenstellung der einzelnen Transaktionen und Reports. Gerade im Tagesgeschäft hat mir die Transaktion SUIM immer wieder Reports gezeigt, die mich dann doch überrascht haben und auf STAUTHTRACE oder SU24 mag ich ebenfalls bei der Analyse von Berechtigungen nicht mehr verzichten.
Wenn es um die Anpassung eines bestehenden Berechtigungskonzeptes geht würde ich, wie auch auf Linkedin erwähnt, noch die beiden Transaktionen PFCGMASSVAL und den Report PFCG_MASS_DOWNLOAD als hilfreich ansehen :-).
Viele Grüße und noch eine schöne Woche
Andreas Unkelbach
Guten Morgen Andreas,
vielen Dank für Deinen wertvollen Hinweis. Ich habe die SAP-Programme PFCG_MASS_VAL (Transaktion PFCGMASSVAL), PFCG_MASS_DELETE (Transaktion PFCGMASSDELETE) und PFCG_MASS_DOWNLOAD im Artikel ergänzt. Du hast aboslut recht, dass diese Reports nicht fehlen dürfen bei den „wichtigsten SAP-Reports für Berechtigungen“ 🙂
Ich wünsche Dir ebenfalls eine schöne Woche
Viele Grüße
Andreas Geiger