top of page
Suche

Customizing für SAP-Berechtigungen

Überblick


Schalter fürs Berechtigungswesen

Im Bereich der SAP-Berechtigungen wird häufig über Rollen, Profile, Transaktionen und Objekte gesprochen. Weniger beachtet, aber mindestens genauso entscheidend, sind die grundlegenden Customizing-Tabellen, mit denen das Verhalten des gesamten Berechtigungswesens gesteuert wird. Drei davon ragen besonders heraus: PRGN_CUST, USR_CUST und SSM_CUST. Sie bilden gewissermaßen die „versteckten Stellschrauben“ im System, an denen Administratoren das Zusammenspiel von Rollenbau, Benutzerpflege und Benutzeroberfläche feinjustieren können.


Die Tabelle PRGN_CUST ist das Fundament für die Steuerung der PFCG-Logik. Hier wird festgelegt, wie sich Rollen verhalten, etwa ob Benutzerzuordnungen beim Transport berücksichtigt werden, wie Referenzbenutzer geprüft werden oder ob eine CUA-Verbindung temporär abgeschaltet werden kann. Jeder Eintrag ist ein Schalter, der Einfluss auf die Sicherheit, Stabilität und Effizienz des Rollen-Lifecycle hat.


Mit USR_CUST rückt die Benutzerverwaltung in den Fokus. Diese Tabelle definiert systemweite Regeln und Defaults, die für Konsistenz und Governance sorgen. Ob eine Benutzergruppe verpflichtend ist, welche Default-Gruppe zugewiesen wird oder ob bestimmte Prüfungen beim Anlegen oder Ändern von Benutzern greifen – hier wird entschieden, wie viel Struktur und Disziplin in die tägliche Pflege von Benutzerstammdaten einzieht.


Die dritte im Bunde, SSM_CUST, bewegt sich näher am Endanwender. Sie steuert das Verhalten des SAP Easy Access und des Session Managers. Über diese Tabelle lassen sich Menüs global ein- oder ausblenden, Startbilder definieren oder zusätzliche Prüfungen aktivieren. Damit kann ein Systembetreiber sehr direkt beeinflussen, wie Anwender das System erleben, ohne dass dafür tief in den Rollen eingegriffen werden muss.


Gemeinsam bilden diese drei Tabellen ein Set an Stellschrauben, das weit über den klassischen Rollenbau hinausgeht. Sie wirken nicht auf einzelne Objekte oder Transaktionen, sondern verändern die Grundlogik, nach der Berechtigungen gepflegt, geprüft und präsentiert werden. Wer hier die richtigen Einstellungen kennt und bewusst einsetzt, kann das Berechtigungswesen nicht nur stabiler und sicherer gestalten, sondern auch die tägliche Arbeit von Administratoren und Anwendern spürbar erleichtern.


Zum generellen Thema Berechtigungen für SAP-Tabellen, haben wir hier mal einen Artikel geschrieben.


PRGN_CUST – Steuerzentrale des Rollen-Generators


Die Tabelle PRGN_CUST ist eine der zentralen Stellschrauben, wenn es um die Feinsteuerung des Rollen-Generators geht. Jeder Eintrag in dieser Tabelle wirkt wie ein Schalter, der das Verhalten von PFCG und den damit verbundenen Prozessen systemweit beeinflusst. Gepflegt wird sie typischerweise über SM30 (View: V_PRGN_CUST), die Einträge sind transportierbar und wirken mandantenabhängig.


Die Einträge bestehen aus einer ID (Schlüssel) und einem Wert, meist in Form von Kennzeichen („X“, „YES/NO“, numerische Parameter). Änderungen entfalten sofortige Wirkung, weshalb vor Produktivsetzungen immer ein gründlicher Test in Entwicklungs- und Qualitätssystemen erfolgen sollte.


Interessante Schalter


  • USER_REL_IMPORT

    Steuert, ob Benutzerzuordnungen bei Rollentransporten berücksichtigt werden. Ein zentraler Hebel, um Produktivsysteme vor unbeabsichtigten Änderungen aus Entwicklungslandschaften zu schützen.

  • REF_USER_CHECK

    Erzwingt, dass im Feld Referenzbenutzer der SU01 nur tatsächlich als Referenz definierte Benutzer eingetragen werden dürfen. Dies erhöht die Konsistenz und verhindert Missbrauch durch fehlerhafte Pflege.

  • CUA_TEMP_OFF_ENABLED

    Erlaubt das temporäre Deaktivieren der CUA-Anbindung. Nützlich in Szenarien, in denen Massenänderungen durchgeführt werden müssen, ohne dass diese sofort in verbundene Systeme repliziert werden.

  • SET_IMP_LOCK_ROLES 

    Sorgt dafür, dass Rollen beim Import zunächst gesperrt bleiben und erst nach manueller Freigabe aktiv werden. Das gibt Administratoren zusätzliche Kontrolle über kritische Rollenanpassungen.

  • ASSIGN_ROLE_AUTH

    Beeinflusst, ob bestimmte Abgleichs- oder Vergabefunktionen automatisch im Hintergrund laufen oder manuell ausgelöst werden müssen.


Ein Schalter mit besonderer Tragweite


Unter den zahlreichen Steuerungsmöglichkeiten von PRGN_CUST nimmt der Parameter ADD_S_RFCACL eine Sonderrolle ein. Mit ihm wird entschieden, ob das Berechtigungsobjekt S_RFCACL automatisch in das Profil SAP_ALL aufgenommen wird.


S_RFCACL kontrolliert die Nutzung von Trusted-RFC-Beziehungen. Mit passenden Berechtigungen kann ein Benutzer RFC-Aufrufe in andere Systeme starten und dabei auch Wildcards einsetzen – bis hin zu uneingeschränkten Zugriffen über Systemgrenzen hinweg. Genau deshalb gilt dieses Objekt seit jeher als besonders sensibel.


Standardmäßig ist ADD_S_RFCACL auf NO gesetzt. Damit bleibt das Objekt bewusst außen vor und SAP_ALL verliert ein Stück seiner früheren „Allmacht“. Setzt man den Wert hingegen auf YES, erhält jeder SAP_ALL-Benutzer automatisch uneingeschränkte Trusted-RFC-Berechtigungen. Damit verwandelt sich das ohnehin schon kritische Profil in ein Einfallstor für Lateral Movement über verbundene Systeme hinweg – ein Risiko, das von Prüfern und Sicherheitsteams regelmäßig als nicht akzeptabel eingestuft wird.


Aus diesem Grund empfiehlt SAP ausdrücklich, den Schalter nicht zu aktivieren. Wer Trusted-RFCs benötigt, sollte dafür gezielte Rollen mit präzisen Feldwerten (RFC-SysID, Client, User) einsetzen. Der Schalter selbst sollte, wenn überhaupt, nur in eng abgeschotteten Testsystemen auf YES stehen – niemals in Produktivumgebungen.


Bemerkenswert ist, dass SAP den Parameter beibehalten hat, obwohl das Standardverhalten längst geändert wurde. Er fungiert als „Notausgang“ für Spezialfälle, wird aber in der Praxis fast ausschließlich zur Dokumentation herangezogen: Unternehmen können damit zeigen, dass bewusst entschieden wurde, S_RFCACL aus SAP_ALL herauszuhalten.


Damit ist ADD_S_RFCACL ein Beispiel für jene Schalter, die auf den ersten Blick unscheinbar wirken, in Wirklichkeit aber über die Sicherheit ganzer Systemverbünde entscheiden können.


USR_CUST – Leitplanken für die Benutzerpflege


Mit USR_CUST lassen sich grundlegende Regeln und Standards in der Benutzerverwaltung festlegen. Diese Einstellungen wirken sich direkt darauf aus, wie Benutzer angelegt, geändert und geprüft werden, und sorgen für Konsistenz in Umgebungen, in denen mehrere Administratoren parallel arbeiten.


Interessante Schalter


  • USER_GRP_REQUIRED

    Erzwingt die Eingabe einer Benutzergruppe und ermöglicht zugleich die Definition einer Standardgruppe. Das verhindert, dass neue Benutzer „gruppenlos“ im System existieren, und erleichtert die Segmentierung für Reporting und Rollenvergabe.

  • PRGN_PROF_PREFIX

    Bestimmt ein globales Namenspräfix für Profile, die durch PFCG generiert werden. Dadurch lassen sich technische Profile leichter identifizieren und voneinander abgrenzen, gerade in heterogenen Landschaften.

  • CHECK_NONPW_LGNDATA

    Aktiviert Prüfungen für Änderungen an logonrelevanten Daten, die nicht das Passwort betreffen, etwa Benutzer-ID oder Gültigkeitsdaten. Damit lassen sich Manipulationen oder fehlerhafte Pflege besser kontrollieren.


Praktischer Nutzen


USR_CUST wirkt wie ein technischer Rahmen für die Benutzeradministration: Es zwingt die Pflege in geordnete Bahnen, reduziert Wildwuchs und sorgt für reproduzierbare Stammdatenqualität. Besonders wertvoll ist diese Steuerung in Systemen mit dezentraler Administration oder in Konzernen, die konsistente Vorgaben für Audit und Revision einhalten müssen.


SSM_CUST – Steuerung von Easy Access und Session Manager


Die Tabelle SSM_CUST regelt, wie sich das SAP Easy Access-Menü und der Session Manager systemweit verhalten. Sie ist damit weniger ein sicherheitskritisches, sondern vielmehr ein komfort- und governanceorientiertes Werkzeug, das festlegt, was Anwender beim Einstieg ins System sehen und welche Optionen sie zur Verfügung haben.


Interessante Schalter


  • ALL_USER_MENUS_OFF

    Blendet das rollenbasierte Benutzermenü für alle Anwender aus. Nützlich in Szenarien, in denen ausschließlich über das SAP-Menü oder über Fiori gearbeitet wird. Dieser Schalter wirkt jedoch nicht in allen GUI-Versionen konsistent und erfordert deshalb ein sorgfältiges Testen in der eigenen Systemlandschaft.

  • SAP_MENU_OFF

    Entfernt den Zugriff auf das klassische SAP-Menü. Diese Einstellung wird oft genutzt, um den Fokus konsequent auf rollenbasierte oder Fiori-gestützte Navigation zu lenken.

  • START_IMAGE / HIDE_START_IMAGE / RESIZE_IMAGE

    Steuerung des Startbildes im Easy Access. Unternehmen nutzen diese Option, um ein einheitliches Corporate Design durchzusetzen oder das Bild komplett zu deaktivieren, wenn eine neutrale Oberfläche bevorzugt wird.

  • ALLOW_TCODE_START

    Definiert, ob Transaktionen direkt über die Befehlszeile gestartet werden dürfen. Diese Einstellung beeinflusst stark, wie flexibel oder restriktiv sich Endanwender im System bewegen können.

  • ADD_MENU_DETAILS

    Ergänzt erweiterte Informationen im Benutzermenü, etwa technische Bezeichnungen. Für Power-User hilfreich, für Gelegenheitsnutzer eher verwirrend.


Praktischer Nutzen


Mit SSM_CUST lässt sich die Benutzererfahrung am Einstiegspunkt ins System gezielt gestalten. Für Administratoren eröffnet das zwei Strategien:


  • Restriktive Steuerung, bei der Menüs stark reduziert werden, um Verwirrung zu vermeiden und Anwender auf definierte Workflows zu lenken.

  • Erweiterte Transparenz, bei der zusätzliche Informationen oder Startoptionen eingeblendet werden, um erfahrenen Usern mehr Kontrolle zu geben.


In beiden Fällen wirkt SSM_CUST als Ergänzung zum eigentlichen Rollen- und Berechtigungskonzept: Es ändert nicht, was ein Benutzer darf, sondern lediglich, wie er die erlaubten Funktionen präsentiert bekommt.


Bedienung und Governance des Customizings


Die Pflege erfolgt direkt über SM30. Bei jeder Änderung sollte ein Customizing-Transportauftrag erzeugt werden, damit das Verhalten in der gesamten Systemlandschaft konsistent bleibt. Besonders wichtig: Die Werte sind nicht selbsterklärend – ohne Dokumentation und Change-Management besteht die Gefahr, dass die Wirkung falsch eingeschätzt wird.


Viele Unternehmen pflegen daher eine interne Übersicht aller aktiv gesetzten Schalter, ergänzt um eine kurze Begründung („Warum ist dieser Wert gesetzt?“) sowie eine Bewertung der Nebenwirkungen. Für Audits oder externe Revisionen ist dies oft der entscheidende Nachweis, dass Änderungen am Rollen-Generator bewusst und nachvollziehbar gesteuert werden. Ein schriftliches Berechtigungskonzept ist der ideale Ort um entsprechende Begründungen zu dokumentieren.


Bei Anmerkungen, Ergänzungen, Hinweise auf Fehler, gerne eine kurze Mail an blog@wtrknt.com


MfG DMa


Kommentare

bottom of page