Kann mir bitte jemand verständlich erklären was ich unter einer Rolle und einem Profil im Rahmen der Benutzerberechtigungen verstehe, wo die Unterschiede liegen und wozu ich beides benötige!?

Mein persönliches Verständnis sagt mir, dass eine Rolle eine Auswahl von Berechtigungen und ein Profil eine Auswahl von Rollen darstellt. Ich kann also einem Benutzer einzelne Rollen und somit eine Auswahl an Berechtigungen zuweisen oder ganze Profile und somit eine Auswahl an Rollen. Lieg ich da richtig oder falsch?

Bsp.

• Profil1

• Rolle1

• Berechtigung1

• Rolle2

• Berechtigung2

• Berechtigung3

Ich steh völlig auf dem Schlauch. Vielen Dank!

In meinen Verständnis würde ich dieses wie folgt beschreiben.

Aus Rollen (ehemals Aktivitätsgruppen) werden Berechtigungsprofile generiert.

Berechtigungsrollen enthalten die einzelnen Berechtigungsobjekte nebst Berechtigungsfelder. Ferner ist hier das Benutzermenü gepflegt.

Berechtigungsprofile enthalten dann die ausgeprägte Berechtigungen.

Von daher:

Rolle->enthält Berechtigungsobjekte mit Felder

Profil-> wird aus der Rolle abgeleitet.

Zitat (help.sap.com)

Eine Rolle dient dazu, ein Menü auszuwählen und dazu passend ein Berechtigungsprofil zu erzeugen. Anschließend kann die Rolle Benutzern zugeordnet werden.

Ein Berechtigungsprofil gewährt den Benutzern Zugriff auf das System. Bei einer Berechtigungsprüfung prüft das System alle Profile in einem Benutzerstammsatz auf die entsprechende Berechtigung.

Die Rollenpflege erfolgt über die Transaktion PFCG. Sollte der Profilgenerator (PFCG) nicht eingesetzt werden, können auch weiterhin Profile direkt mit SU02 bearbeitet werden.

Hoffentlich hat dieses etwas weiter geholfen.

Mit freundlichen Grüßen

Andreas

Meine obige Aufstellung scheint ja schon mal falsch zu sein, da Rollen in Sammelrollen zusammengefasst werden und nicht in Profilen. Ich verstehe allerdings immer noch nicht warum ich aus Rollen Profile generieren muss!?

Wenn ich jedem Benutzer seine entsprechende Rolle und somit seine Berechtigungen im System zuweisen kann, wozu brauche ich dann noch Profile? Mir verschließt sich immer noch der Sinn und der Mehrwert von Profilen... Kann man das vielleicht an konkreten Bsp klarmachen?

Stark vereinfacht:

Profile sind die technische Ausprägung von Aktivitätsgruppen (Rollen). In diesen werden dann die Berechtigungen der Rollen zusammengesetzt.

Sammelrollen umfassen dahingehend mehrere Rollen. Ein Benutzer der eine Sammelrolle zugewiesen bekommt erhält damit automatisch die in dieser Sammelrolle enthaltenen Einzelrollen und damit auch die zugehörigen Berechtigungsprofile.

Versuchen wir es vielleicht mit einem Beispiel.

1. Benutzer1 darf allgemein Verträge anlegen. (Funktioniert das mit einer Rolle "Vertragsanleger", die die Berechtigung hat Verträge anzulegen?)
2. Benutzer2 darf nur Verträge für den Buchungskreis 1000 anlegen. (Benötige ich hiefür ein Profil mit der Rolle "Vertragsanleger" und der Spezifikation "Buchungskreis 1000"?)

nein. Aus meiner Sicht kannst Du Profile mehr oder weniger vernachlässigen. Du pflegst Rollen mit der Transaktion PFCG. Am Schluss kannst Du dann daraus Profile generieren. Im Benutzerstamm selber ordnest Du wiederrum Deine (Sammel-)Rollen zu, dann werden automatisch die Profile dem Benutzer zugeordnet. Also so wie ich das verstehe: ursprünglich gab  es nur Profile, irgendwann hat SAP dann nach einem benutzerfreundlicheren Tool gesucht und deshalb Rollen erfunden. Im Hintergrund arbeitet das System immer noch mit Profilen, Du musst Dich aber darum mehr oder weniger nicht mehr drum kümmern, halt nur noch aus Deiner Rolle heraus generieren.

 

Gruss

Stefan

Hallo,

eine Rolle enthält Transaktionen, Berechtigungen, ein Menü (dieses kann mit dem Report PRGN_PRINT_AGR_MENU ausgedruckt werden) und zugeordnete Benutzer. Die Berechtigungen werden zu einem Profil zusammengefasst.

Es kann aber auch Rollen ohne Profil geben (z.B. eine Rolle, die nur Links enthält). Mehrere Profile zu einer Rolle sind möglich (Profil und Folgeprofile).

Ein Profil kann aber nur zu einer Rolle gehören.

SAP_ALL und SAP_NEW sind übrigens Profile, insofern logisch, da Profile eine Sammlung von Berechtigungen sind.

Grüße aus HH.

 

 

nein. Aus meiner Sicht kannst Du Profile mehr oder weniger vernachlässigen. Du pflegst Rollen mit der Transaktion PFCG. Am Schluss kannst Du dann daraus Profile generieren. Im Benutzerstamm selber ordnest Du wiederrum Deine (Sammel-)Rollen zu, dann werden automatisch die Profile dem Benutzer zugeordnet. Also so wie ich das verstehe: ursprünglich gab  es nur Profile, irgendwann hat SAP dann nach einem benutzerfreundlicheren Tool gesucht und deshalb Rollen erfunden. Im Hintergrund arbeitet das System immer noch mit Profilen, Du musst Dich aber darum mehr oder weniger nicht mehr drum kümmern, halt nur noch aus Deiner Rolle heraus generieren.

 

Gruss

Stefan

Was passiert dann in dem Fall wenn ich kein Profil generiere, nachdem ich eine Rolle erstellt oder geändert habe? Werden die Änderungen dann vom System nicht berücksichtigt, weil es mit den  zuletzt generierten Profilen arbeitet?

Hallo,

genau das ist der Punkt. Die neuen Funktionen greifen nicht, da die Berechtigungen sprich Profil fehlen. Ich bin Tester, ein User mit einer Rolle konnte nicht das, was er sollte.

Eine Nachfrage ergab: Es wurde vergessen, das Profil zu generieren.

Gruß