Eine Grundrolle fast alle Berechtigungen zusammen, die alle User brauchen. Sie kann automatisch bei Anlage eines neuen Users im System vergeben, direkt zugewiesen oder in Sammel- oder Businessrollen aufgenommen werden und erleichtert so die schnelle Vergabe grundlegender SAP-Berechtigungen.
Ein gutes Berechtigungskonzept differenziert sehr stark im Rollenaufbau. Jede Rolle enthält dann nur das Set an Berechtigungen, das wirklich notwendig ist. So wird gewährleistet, dass User nur die Berechtigungen bekommen, die sie brauchen, um ihre Aufgaben zu erfüllen. Doch es gibt Transaktionen, die alle User brauchen.
Diese in jede einzelne Rolle zu verbauen, wäre aufwendig und fehleranfällig. Sie müssten bei Änderungen dieser grundlegenden Berechtigungen jede einzelne Rolle anfassen und anpassen. Gleichzeitig müssen Sie bei jedem Rollenneubau daran denken, die vollständigen Grundberechtigungen mit aufzunehmen. Das ist in der Praxis schwierig umsetzbar. Deshalb empfiehlt es sich, eine Grundrolle aufzubauen, die alle User erhalten und in der alle grundlegenden Berechtigungen zusammengefasst sind.
Welche Berechtigungen gehören in die Grundrolle?
In der Grund- oder Basisrolle werden alle Berechtigungen zusammengefasst, die jeder User benötigt. Das können zum einen Systemberechtigungen wie die für die Transaktion SP02 (eigene Druckaufträge ansehen) sein, aber auch Berechtigungen für Transaktionen, die zur Fehleranalyse dienen wie die SU53.
Wichtig: Die Grundrolle enthält niemals kritische Berechtigungen. Berechtigungsobjekte wie S_DEVELOP oder S_BTCH_XXX dürfen in einer Grundrolle nicht verbaut werden bzw. müssen sie zumindest auf reine Display-Berechtigungen eingeschränkt werden! Sie würden sonst den Eingriff ins System selbst erlauben. Aber auch Berechtigungsobjekte und Transaktionen, die unter Umständen Zugriff auf sensible Daten zulassen, haben in der Grundrolle nichts zu suchen.
Die Grundrolle allein ist also nicht ausreichend, um einen User „arbeitsfähig“ zu machen. Sie enthält wirklich ausschließlich Berechtigungen, die JEDER User braucht, der sich im SAP-System bewegt. Welche das konkret sind, definiert jede Organisation in ihrem Berechtigungskonzept individuell.
Wie wird die Grundrolle an User vergeben?
Natürlich können Sie die Grundrolle als Einzelrolle anlegen und sie ganz traditionell über die PFCG oder die SU01 händisch jedem einzelnen User zuweisen. Dass diese Methode fehleranfällig und extrem aufwendig ist, erklärt sich von selbst. Sie ist deshalb allenfalls für sehr kleine Systeme mit sehr wenig Usern und sehr wenig Fluktuation zu empfehlen.
Es wäre in großen Systemen recht mühselig, jedem neuen User händisch die Grundrolle zuzuweisen. Und es würde zu Verzögerungen führen, denn häufig bekommen Sie als Berechtiger oder Berechtigerin gar nicht direkt mit, wenn neue User aufs System kommen. Deshalb brauchen Sie eine Möglichkeit, die Grundrolle automatisch zu vergeben.
Vergabe über GRC oder IDM
Ist ein GRC oder IDM im Einsatz, können Sie die Grundrolle automatisch vergeben lassen, wann immer ein neuer User im System angelegt wird. Achten Sie darauf, dass die Rolle vom Freigabe-Prozess ausgenommen ist, damit sie direkt zugewiesen wird und nicht erst nach Freigabe durch den Role Owner und/oder Fachvorgesetzten.
Arbeiten Sie mit dem Org-Management, können Sie die Vergabe der Grundrolle theoretisch auch an Positionen koppeln. Das ist allerdings nicht sehr sinnvoll, denn wenn ALLE User diese Rolle bekommen sollen, ist es einfacher, sie an die User direkt zu koppeln statt an deren Positionen. Das bietet sich nur für Rollen an, die nur an bestimmte Positionsinhaber vergeben werden sollen – etwa Rollen, die nur Einkäufer haben sollen.
Vergabe über Sammel- oder Businessrollen
Statt die Rolle direkt als Einzelrolle zu vergeben, können Sie sie auch in Sammel- oder Businessrollen aufnehmen. Hier empfiehlt es sich, die Grundrolle in jede Sammel- oder Businessrolle aufzunehmen, die Sie im Einsatz haben. Auf diese Weise können Sie sicher sein, dass sie in jedem Fall mit vergeben und nicht versehentlich vergessen wird.
Allerdings hat diese Methode einen deutlichen Nachteil: Wenn Sie die Grundrolle in alle Sammel- oder Businessrollen aufnehmen und User mehrere Sammel- oder Businessrollen bekommen, entstehen überflüssige Mehrfachzuweisungen. Das richtet zwar erstmal keinen Schaden an, ist aber im Sinne der Datensparsamkeit nicht optimal. Außerdem müssen Sie jedes Mal, wenn Sie eine neue Sammel- oder Businessrolle bauen, daran denken, die Grundrolle aufzunehmen.
Für welche Methode Sie sich entscheiden, ist letztlich abhängig von folgenden Faktoren:
- Wie sieht das Berechtigungskonzept die Rollenvergabe vor?
- Ist ein GRC/IDM im Einsatz und kann es für die automatisierte Zuweisung genutzt werden?
- Sieht das Berechtigungskonzept Business- oder Sammelrollen vor oder wird mit Einzelrollen gearbeitet?
- Wie streng ist das Berechtigungskonzept hinsichtlich der Anzahl der Rollen auf dem System/Datensparsamkeit?