>
#S/4HANA #SAP Transaktionen

Organisationsebenen anders pflegen

29. August 2021
Hermann Pees

Für die Vergabe von Berechtigungen für Endbenutzer verwendet die letzte SAP S/4HANA Version mehr als 40 Organisationsebenen (OrgEbene). Im Kopf einer Rolle werden diese OrgEbenen gepflegt. Sie füllen dann alle Organisationfelder (OrgFelder), die über Berechtigungsobjekte in der Rolle vorhanden sind.

Allgemeines

Mit SAP NetWeaver 7.50 Support Package 9 stellt SAP eine neue Funktionalität zur Verfügung, um Berechtigungsfelder in kundenspezifische Organisationsebenen zu überführen. Weitere Informationen finden Sie im SAP-Hinweis 727536 (FAQ | Verwendung kundenspezifischer Organisationsebenen in PFCG), 2535602 – SUPO | Dokumentation und Transportanschluss für OrgEbenenpflege und 2625102 – Report PFCG_ORGFIELD* is obsolete

Grundsätzlich können alle Berechtigungsfelder als OrgEbene definiert werden, die nicht im Kontext zur Prüfung der Startbarkeit einer Applikation stehen. Dieser Ausschluss betrifft die Felder der Berechtigungsobjekte S_START, S_USER_STA, S_SERVICE, S_RFC, S_PROGRAM, S_USER_VAL, sowie die Berechtigungsfelder TCD und ACTVT.

Die bisher bekannten Reports wie PFCG_ORGFIELD_CREATE, PFCG_ORGFIELD_DELETE, PFCG_ORGFIELD_UPGRADE obsolet sind. Entweder Sie nutzen die Transaktion SUPO oder den Report PFCG_ORGFIELD.

Weitere Informationen zum Transaktionscode SUPO finden Sie im SAP-Hinweis 2535602 (SUPO | Dokumentation und Transportanschluß für die Organisationsebenenpflege). Bitte beachten Sie, dass der SAP-Transaktionscode SUPO_PREPARE nicht mehr benötigt wird und gesperrt wurde.

Gründe für kundeneigene Organisationsebenen

Wie Sie alle wissen gibt es in der SAP-Welt eine Unmenge von Berechtigungsfeldern, die nicht als Organisationsebene (OrgEbene) definiert, sondern mit speziellen Werten gefüllt sind. Kunden äußern teilweise den Wunsch Berechtigungsfelder zu OrgEbenen anzuheben. Einer der Hauptgründe für eine Umwandlung ist das Ziel den Pflegeaufwand von Rollen zu verringern. Zum Glück bieten die SAP Systeme die Möglichkeit Nicht-Org-Felder auf  Organisationsebene (Orgebene) anzuheben.

Wie verwendet man die Transaktion SUPO?

SUPO Einstiegsbild

Nach dem Starten der Transaktion erhalten Sie eine Übersicht aller verfügbaren Organisationsebenen (Standard sowie auch kundeneigene Felder).

Organisationswerte für den Profilgenerator
Organisationswerte für den Profilgenerator

In dieser Übersicht finden Sie die SAP Bereiche in denen die OrgEbene verwendet wird.

  • Standardanwendungen über die SU22-Daten
  • Alle Anwendungen über SU24-Daten (inklusive der kundeneigener Anwendungen)
  • Organisationsebenen in vorhandenen Rollen
  • Berechtigungsobjekte, die die OrgEbenen verwenden

Durch einen Doppelklick auf eine der vier Möglichkeiten können Sie sich weitere Details zur OrgEbene anzeigen lassen. Ausgewiesen werden bei SU22 + SU24 zum Beispiel Transaktionen, TADIR-Objekte, Funktionsbausteine, usw.). Die SU22 Sicht zeigt nur SAP Standardanwendungen. In der SU24 Sicht werden beide Anwendungsbereiche angezeigt, SAP und Kundenanwendungen.

Organisationsebene $VKORG in den Vorschlagswerten der SU22
OrgEbene $VKORG in den Vorschlagswerten der SU22
Organisationsebene $VKORG in den Vorschlagswerten der SU24
OrgEbene $VKORG in den Vorschlagswerten der SU24

Um alle Rollen zu einer OrgEbene zu sehen machen Sie einen Doppelklick auf diese Spalte (OrgEbene in Rolle).

OrgEbene $VKORG in PFCG Rollen
OrgEbene $VKORG in PFCG Rollen

Um alle Berechtigungsobjekte zu sehen, die die OrgEbene als eines ihrer Felder verwenden, klicken Sie auf die Spalte „Objekte“.

Wie werden kundeneigene Organisationsebenen angelegt?

Um nun eine neue OrgEbene anzulegen müssen sie sich im Änderungsmodus befinden. Danach können Sie entweder die OK-Befehle oder die Schaltflächen im Navigationsbereich nutzen.

Änderungsmodi SUPO für die Anlage einer OrgEbene
Änderungsmodi SUPO für die Anlage einer OrgEbene

OK-Befehle:

– =CREA_OLVL -> zum Anlegen einer Organisationsebene

– =DELE_OLVL -> zum Löschen einer Organisationsebene

ACHTUNG: Sobald Sie eine neue OrgEbene angelegt haben, können Sie dies nicht so einfach wieder rückgängig machen. Also ist besondere Vorsicht geboten.

Sobald Sie den Befehl OK eingeben oder auf das Symbol klicken, wird eine neue Zeile angezeigt. Sie können das gewünschte Berechtigungsfeld eingeben und dann auf Speichern klicken. Das System verlangt einen Workbench Transportauftrag, a) um die Anpassung zu transportieren und b) weil es ich um eine mandantenunabhängige Änderung handelt.

In meinem Beispiel würde das Feld CREQ_TYPE zu einer Orgebene.

Definition Organisationsebene
Definition einer neuen OrgEbene

Die Transaktion SUPO muss neu gestartet werden, damit die angezeigten Spalten mit den neuen Daten aktualisiert werden.

Damit aber noch nicht genug. Ein paar Tätigkeiten liegen nun doch noch vor Ihnen. Die Daten Ihrer Rollen und auch die SU24 Daten müssen angepasst werden. Das alte Feld in der Rolle enthält nach wie vor noch die vorhandenen Feldwerte, jedoch in den Organisationswerten ist der neue Eintrag leer. Das Rollenprofil wurde durch diese Änderung nicht beeinträchtigt. Dies bedeutet dass die Rolle weiterhin funktioniert. Für alle Korrekturen an der Rolle verwenden Sie die Transaktion PFCG.

Pflegen Sie nun den Feldwert in den Orgebenen, so bleibt der der alte Wert im Feld als „manueller“ Eintrag erhalten. Das Profil muss nun mit der Merge Funktion der PFCG aktualisiert werden (altes lesen, Neues zusammenfügen). Bitte achten Sie darauf das diese Vorgehensweise nur bei korrekt gepflegten Rolle funktioniert. Ist dies nicht so verursachen Sie unter Umständen ein riesen Chaos.

Alternativ können Sie auch der SAP Empfehlung folgen und den Report AGR_REST_ORG_LEVELS verwenden. Doch Vorsicht!! Der Report löscht alle Feldwerte der Organisationsfelder die nicht auf Kopfebene der OrgEbene gepflegt sind. Je nach Umfang der zu korrigierenden Rollen erzeugen Sie einen größeren Arbeitsaufwand.

Durch diesen Vorgang werden werden alle Tabelle der OrgEbenen automatsich aktualisiert (USORG, USVAR, USVART).

Entfernen eine kundeneigenen OrgEbene

Das Entfernen einer erhobenen kundeneigenen OrgEbene kann sich als äußert schwierig oder gar unmöglich erweisen. Einfach so löschen geht nicht mehr wenn die OrgEbenen in einer Rolle gepflegt und das Profil generiert wurde. Diese Einträge finden Sie dann in der Tabelle AGR_1252. Löschen funktioniert nur wenn die OrgEbene in keiner Rolle verwendet wird. Dies läßt sich über die AGR_1252 prüfen. Das betreffenden Berechtigungsobjekt entfernen Sie aus allen Rollen, anschließend die kundeneigene OrgEbene löschen und das Objekt wieder in der Rollen einbauen.

FAZIT

Um die Berechtigungsverwaltung zu vereinfachen kann die Transaktion SUPO unterstützen, um Berechtigungsfelder zu organisatorischen Feldern zu machen. Über Risiken und Auswirkungen sollten Sie sich aber immer im Klaren sein.

Weitere Beiträge zum Thema PFCG

Rollenverteilung mit Transaktion PFCGROLEDIST

Massenpflege von Feldwerten mit der PFCG

Massenpflege von Feldwerten, OrgEbenen und mehr – Rollenübergreifend

PFCG im neuen Design – ALV Baum

Flatrate für SAP E-BOOKS
e-book PFCG
PFCG Rollenpflege
GT-Translate »