In SAP ERP gibt es unterschiedliche Möglichkeiten, einem Benutzer Berechtigungen zuzuordnen. Die Methode der Wahl für die Zuweisung von Berechtigungen an Endbenutzer ist ein rollenbasiertes Konzept unter Nutzung des Profilgenerators.
Technisch gesehen eine reine Abstraktion. Sie dient der vereinfachten Erstellung, Ausprägung und Vergabe von Berechtigungen. Ein rollenbasierendes Konzept sieht zunächst die folgenden Typen vor:
Sammelrollen:
Die Sammelrolle beinhalten selbst keinerlei Berechtigungen. Sie stellen einen Container für unterschiedliche funktionale Einzelrollen dar.
Im Bereich „Access Control“ GRC wird noch ein weitere Begriff verwendet. Hier spricht man von einer Enterpriserolle. Diese kann sowohl Einzel- als auch Sammelrollen beinhalten und ggf. systemübergreifend eingesetzt werden.
generische Einzelrollen:
Referenzrolle, Vorlagerolle oder logische Referenzrolle sind noch andere Bezeichnungen für diesen Rollentyp. Generische Einzelrollen beinhalten alle Berechtigungen, die in unterschiedlichen Fachbereichen und Organisationsbereichen gleich sind und benötigt werden. Prozesse und Organisationsebenen können so viel besser differenziert werden. Diese beinhalten keine realen Organisationswerte. Erst in der abgeleiteten Rolle findet diese Differenzierung statt. Durch die Nutzung von generischen Einzelrollen wird die Grundpflege von abgeleiteten Einzelrollen erleichtert.
funktionale Einzelrollen:
Dieser Rollentyp ist Bestandteil der Sammelrolle. Mit Hilfe der Transaktion PFCG kann diese als eigenständige Rolle aber auch als abgeleitete Rolle erstellt werden. Diese Rolle beinhaltet die tatsächlichen Berechtigungen ( Organisationswerte ) die ein Fach- oder Organisationsbereich benötigt. Transaktionen und einfache Felder mit entsprechender Ausprägung werden bei einer abgeleiteten Rolle aus der generischen übertragen.
Organisationswerte = OrgLevel (z. Bsp.: $WERKS, $EKORG, $BUKRS ) Werte der Tabelle USORG