Der User verfügt über die richtigen Rollen, die Berechtigungsobjekte sind korrekt ausgeprägt, die Profile generiert und trotzdem kann er nicht tun, was er tun soll? Dann lohnt sich ein genauerer Blick in den Benutzerpuffer.
Es passiert immer mal wieder: Nach dem Transport einer Rolle ins Produktivsystem oder zum Beispiel nachdem ein Nutzer der Rolle über die PFCG zugewiesen wurde, kann er nicht arbeiten. Die Berechtigungen sind korrekt, die Rolle ist da und zugewiesen und sowohl im Reiter Berechtigungen als auch im Reiter Benutzer stehen die Ampelfelder auf grün. Und trotzdem: Die SU53 des Users gibt Berechtigungsfehler aus.
Mit ein bisschen Glück reicht jetzt schon der Userabgleich in der SU01 oder in der PFCG. Funktioniert das nicht, nutzen Sie die Transaktion SU56. Sie gelangen zunächst in den Benutzerpuffer Ihres eigenen Users. Über das Feld „Berechtigungswerte“ in der Menüleiste können Sie aber – die notwendigen Berechtigungen vorausgesetzt – auch den Benutzerpuffer anderer User einsehen.
Der Benutzerpuffer ist unique und wird für jeden User erstellt, wenn er sich in einem SAP-System anmeldet. Sie sehen hier alle Berechtigungsobjekte mit den zugehörigen Feldwerten, die dem User zugewiesen sind – sortiert in Berechtigungsklassen.
Wichtig: Der Benutzerpuffer bildet zwar die Berechtigungen ab, die ein User aus seinen Rollen erhält. Er zieht diese Werte aber aus den Profilen, nicht aus den Rollen selbst. Und genau hier liegt oft der Fehler: Wenn die Profile nicht richtig generiert sind oder nicht korrekt mitgezogen wurden, läuft die Berechtigungsprüfung auf Fehler, obwohl Rollen und Ausprägungen stimmen.
Suchen Sie also im Benutzerpuffer nach dem Objekt, bei dem die Berechtigungsprüfung (laut SU53 oder Trace) negativ ausfällt. Ist dieses Objekt nicht zu finden, obwohl Sie es in der Rolle sehen und die Rolle dem User auch zugewiesen ist, liegt der Fehler höchstwahrscheinlich im Benutzerpuffer beziehungsweise fehlerhaft zugewiesenen Profilen.
Lösung: Benutzerpuffer und Benutzerabgleich
Im Menüband der SU56 finden Sie unter „Berechtigungswerte“ auch den Button, um den Benutzerpuffer zurückzusetzen. Sie können das manuell erledigen und für Ihren konkreten Fall sollte das Problem gelöst sein.
Wichtig: Im Anschluss müssen Sie das Profil der betroffenen Rolle neu generieren beziehungsweise die Rolle mit aktuellem Profil neu ins Zielsystem transportieren, damit die Änderung zum Erfolg führt.
Allerdings funktioniert das nicht immer. Im HR-System zum Beispiel greifen strukturelle Berechtigungen nicht auf die Profile aus den Rollen zu und auch im BW-System funktionieren etwa die Analyseberechtigungen anders. Hier kommen Sie über den Benutzerpuffer nicht weiter.
Was aber fast immer funktioniert (nicht nur in den genannten Ausnahmefällen) ist der Benutzerabgleich über die Transaktion PFUD.
Hier können Sie spezifizieren, was abgeglichen werden soll. Sie selektieren dafür eine oder mehrere Rollen, auf die Sie den Benutzerabgleich anwenden wollen und können dann wählen zwischen:
- Profilabgleich
- Abgleich indirekter Zuordnung aus Sammelrollen
- Abgleich HR-Organisationsmanagement
Außerdem können sie über „Bereinigen“ Datenreste entfernen, die möglicherweise nach dem Löschen von Rollen entstanden sind und jetzt Probleme verursachen. Diese Funktion bezieht sich nicht auf einzelne Rollen.
Benutzerabgleich als Hintergrundjob
Um sich selbst Arbeit zu ersparen (vor allem bei vielen Usern und/oder vielen Rollen), sollten Sie (zusätzlich) dafür sorgen, dass ein Benutzerabgleich regelmäßig als Hintergrundjob eingeplant wird. Passiert das nicht, müssen Sie die oben genannten Probleme für jeden User beziehungsweise jede Rolle einzeln anstoßen oder die User müssen sich jedes Mal neu am System anmelden, um den Benutzerpuffer zurückzusetzen.
Über die Transaktion SE38 können Sie den Report PFCG_TIME_DEPENDENCY als Job einplanen. Er kann beispielsweise jede Nacht laufen. Zusätzlich könnten Sie damit regelmäßig die Option „Bereinigen“ automatisch durchlaufen lassen und so Probleme durch Datenartefakte vermeiden.
Gut zu wissen: Die Fehlermeldung „Berechtigung XY in den Stammdaten, aber nicht im Benutzerpuffer vorhanden“ kann irreführend sein. Hier liegt das Problem in der Regel nicht im Benutzerpuffer, sondern in der Rolle, in der das Profil nicht (richtig) generiert ist.