SAP Business One Fachartikel - Berechtigungen verwalten Titelbild

SAP Business One – Berechtigungen verwalten

SAP Business One - Berechtigungen verwalten

Allgemeine Berechtigungen I Benutzergruppen I Erweiterte benutzerdefinierte Berechtigungen

Benutzerberechtigungen sind in jedem SAP Business One-Projekt ein wichtiger Bestandteil. Sie können sich sehr schnell zu einem komplexen Teil der Implementierung ausweiten, aus diesem Grund ist es wichtig, die Möglichkeiten, die SAP Business One bietet, zu kennen. In diesem Fachbeitrag geht es also um die Verwaltung der Benutzerberechtigungen in SAP Business One.

Allgemeine Berechtigungen

Seit jeher gibt es die allgemeinen Berechtigungen in SAP Business One, um die Berechtigungen benutzerbezogen zu setzen. Von hier aus lassen sich nicht nur die Berechtigungen der einzelnen Benutzer verwalten, sie können auch auf andere Benutzer übertragen (kopiert) werden. Die Festlegung der Benutzerberechtigungen erfolgt zumeist auf Basis der SAP Business One-Menüeinträge und es gibt, je nach Berechtigung, bis zu drei verschiedene Berechtigungsstufen:

  • volle Berechtigung
  • Anzeigeberechtigung
  • keine Berechtigung

Dabei verfügen neu angelegte Benutzer zunächst über keine Berechtigung in allen Bereichen. Das ist ein sinnvoller Sicherheitsmechanismus, damit nach Anlage eines Benutzers nicht automatisch die volle Berechtigung eingeräumt ist. Die allgemeinen Berechtigungen können dann für den neu angelegten Benutzer verwendet werden, um seine Benutzerberechtigungen zu setzen.

Zu beachten ist, dass die Superuser in SAP Business One von der Berechtigungsvergabe ausgenommen sind. Aus diesem Grund werden die Berechtigungen in den allgemeinen Berechtigungen von SAP Business One für Superuser mit VOLLE BERECHTIGUNG angegeben und sind schreibgeschützt. Der Grund dafür ist, dass Superuser ohnehin per Definition über sämtliche Berechtigungen (inklusive der Vergabe von Berechtigungen) verfügen und es damit sinnlos wäre, ihnen Benutzerberechtigungen zuzuweisen.

Hinweis

Die Vergabe von Berechtigungen ist alternativlos, auch wenn die SAP Business One-Lizensierung mit den sogenannten Limited Lizenzen hier schon Einschränkungen auf Basis der Lizenz vorgibt. Natürlich haben diese Einschränkungen Bestand, auch wenn die Berechtigungen Zugriff auf die nicht lizensierten Bestandteile erteilen. Allerdings können sich zum einen die Einschränkungen auf Basis der Limited Lizenz ändern, zum anderen ist natürlich nicht sicher, dass die so eingeschränkten Benutzer nicht doch irgendwann einmal über ein Lizenzupgrade an eine SAP Business One Professionell-Lizenz kommen.

SAP Business One Berechtigungen verwalten
Abbildung 1: Formulareinstellungen für die Sichtbarkeit der UI-Elemente

Die Vergabe der Benutzerberechtigungen kann auch rekursiv, also für einen kompletten Strukturbaum erfolgen. So ist es möglich, einem Benutzer auf Basis des Modulnamens (zum Beispiel EINKAUF) die Berechtigung zu setzen. Alle untergeordneten Berechtigungen (Funktionen des Einkaufs) erhalten damit die eingestellte Berechtigung vererbt. Davon ausgehend können dann optional spezielle Funktionen unterhalb des Strukturbaums mit unterschiedlichen Berechtigungen versehen werden. Das spart Zeit, wenn beispielsweise innerhalb eines Moduls nahezu alle Funktionen berechtigt werden sollen und nur einzelne, spezielle Funktionen ohne Zugriff konfiguriert werden sollen. Wenn dieser Fall eintritt, erhält man optisch eine vierte Berechtigungsstufe, VERSCHIEDENE BERECHTIGUNGEN. Diese Stufe signalisiert genau den beschriebenen Fall, kann aber nicht explizit gesetzt werden. Eine einzelne Berechtigung kann auch innerhalb der Baumstruktur gesucht werden. Dazu nutzen Sie die SUCHEN Textbox oberhalb der Berechtigung-Struktur der allgemeinen Berechtigungen. Allerdings müssen Sie dafür genau wissen, wie die jeweilige Berechtigung heißt. Die Suche mit Wildcards ist hier nicht zulässig.

Verfügt ein Benutzer bereits über korrekt eingestellte Berechtigungen, können diese auch für andere Benutzer, die beispielsweise das gleiche Aufgabengebiet haben, kopiert werden. Dazu steht unterhalb der Benutzertabelle eine entsprechende Schaltfläche zur Verfügung. Hier können Sie die Berechtigungen des zuvor markierten Benutzers auf verschiedene andere Benutzer kopieren. 

Alternativ geht das auch per Drag&Drop aus der Benutzertabelle der allgemeinen Berechtigungen heraus.

SAP Business One Berechtigungen kopieren
Abbildung 2: Berechtigungen kopieren per gleichnamiger Schaltfläche
SAP Business One Berechtigungen Sicherheitsabfrage
Abbildung 3: Sicherheitsabfrage beim Kopieren der Berechtigungen mit Drag&Drop
BerechtigungZweck

Max. Rabatt – Verkauf

Definiert den maximalen Rabatt, den der entsprechende Benutzer für die Verkaufsbelege geben kann. Geben Sie einen Wert zwischen 0 (keinen Rabatt) und 100 an.

Max. Rabatt – Einkauf

Definiert den maximalen Rabatt, den der entsprechende Benutzer für die Einkaufsbelege geben kann. Geben Sie einen Wert zwischen 0 (keinen Rabatt) und 100 an.

Max. Rabatt – Allgemein

Definiert den maximalen Rabatt, den der entsprechende Benutzer geben kann. Geben Sie einen Wert zwischen 0 (keinen Rabatt) und 100 an. Der hier eingegebene Wert hat Auswirkungen auf folgende Bereiche:

  • Geschäftspartner Stammdaten (Gesamtrabatt-Feld in Registerkarte Zahlungsbedingungen)
  • Gesamtrabatt-Feld in den Definitionen der Zahlungsbedingungen
  • Rabatte in den Lagerbestandsbuchungen (Wareneingang, Warenausgang und Bestandsumlagerung)
  • Rabatte in den Definitionen der Sonderpreise

Neben den allgemeinen Berechtigungen, die in der Berechtigungstabelle in einer Baumstruktur einzustellen sind, gibt es unterhalb der Tabelle noch drei interessante Berechtigungen pro Benutzer zu verwalten. Diese sind in der folgenden tabellarischen Ansicht beschrieben. Sämtliche Änderungen an den allgemeinen Berechtigungen werden überwacht und können jederzeit über das Änderungsprotokoll von SAP Business One (EXTRAS > ÄNDERUNGSPROTOKOLL) aufgerufen werden.

Benutzergruppen

SAP Business One Berechtigungen verwalten - Benutzergruppen
Abbildung 4: Definition einer Benutzergruppe

In der Version SAP Business One 9.1 wurden die Berechtigungsgruppen eingeführt. Diese haben den Zweck, Benutzer, die sich inhaltlich ähnlich sind, über einen gemeinsamen Nenner Berechtigungen zuzuweisen. Davon ausgehend können danach noch Berechtigungen für jeden einzelnen Benutzer abweichend definiert werden. Da die Berechtigungsgruppen in der SAP Business One Version 9.3 auch noch für andere Funktionen verwendet werden (zum Beispiel für UI-Konfigurationsvorlagen, Alarmmeldungen oder Formulareinstellungen), wurden sie in Benutzergruppen umbenannt. Die Funktionsweise im Hinblick auf die Berechtigungsvergabe ist jedoch gleich geblieben. Die Benutzergruppen werden unter ADMINISTRATION > DEFINITION > ALLGEMEIN angelegt. Hier muss darauf geachtet werden, dass der Gruppentyp der jeweiligen Benutzergruppe entweder als BERECHTIGUNG oder als ALLE ARTEN definiert wird. Ansonsten steht die jeweilige Benutzergruppe später in den allgemeinen Berechtigungen nicht zur Verfügung. Die Vergabe der Berechtigungen für eine Benutzergruppe erfolgt ebenfalls in den allgemeinen Berechtigungen. Allerdings ist dabei darauf zu achten, dass die Registerkarte GRUPPEN ausgewählt wird. Die von den Benutzerberechtigungen bekannte Baumstruktur der einzelnen Berechtigungen ist auch für die Gruppen vorhanden. Es können außerdem die Berechtigungen einer Gruppe auf beliebig viele weitere Gruppen über die Schaltfläche BERECHTIGUNGEN KOPIEREN übertragen werden. Auch ein Kopieren der Berechtigungen einer Gruppe per Drag&Drop ist wie in den Benutzerberechtigungen möglich.

Richtig interessant wird es, wenn Berechtigungen für einen Benutzer betrachtet werden, der Mitglied einer (oder mehrerer) Gruppen ist und zusätzlich noch eigene Benutzerberechtigungen erhalten hat. In diesem Fall ist die Spalte EFFEKTIVE BERECHTIGUNG der allgemeinen Berechtigungen auf der Registerkarte BENUTZER von Interesse. Diese Spalte zeigt die für den Benutzer nun relevante Berechtigung an. Die Spalte BERECHTIGUNG hingegen zeigt lediglich die Berechtigung an, die für den Benutzer selbst vergeben wurde. Diese kann durch Zugehörigkeit einer Benutzergruppe abweichend sein und aus diesem Grund ist die effektive Berechtigung auch durch einen Klick auf die entsprechende Verlinkung noch detaillierter abrufbar.

SAP Business One - Berechtigungsvergabe Gruppen
Abbildung 5: Berechtigungsvergabe für eine Gruppe
SAP Business One Berechtigungsvergabe Nutzer
Abbildung 6: Effektive Berechtigung eines Benutzers mit Gruppenzugehörigkeiten

Hinweis

In SAP Business One gibt es keine explizite Berechtigungsstufe VERWEIGERN. Aus diesem Grund werden in SAP Business One alle Berechtigungen zusammengezogen. Das heißt, die für den Benutzer definierten Berechtigungen auf Benutzer- und Gruppenebene sind alle gleich relevant und die dort höchste Berechtigung gilt dann für den entsprechenden Benutzer. Das ist bei der Vergabe der Berechtigungen, die auch auf Gruppen basieren soll, unbedingt zu beachten.

Erweiterte Benutzerdefinierte Berechtigungen

Da SAP Business One auch funktional erweiterbar ist (zum Beispiel durch AddOns), bietet das Berechtigungsmodell auch Möglichkeiten, diese Erweiterungen zu berechtigen. Dafür bietet SAP Business One die zusätzlichen Berechtigungen unter ADMINISTRATION > SYSTEMINITIALISIERUNG > BERECHTIGUNGEN an. Mit Hilfe dieser Berechtigungswerte ist es später möglich, in den allgemeinen Berechtigungen für Benutzer und Benutzergruppen, wie in diesem Artikel beschrieben, zu vergeben, obwohl die eigentliche Grundlage der Berechtigung (die Erweiterungen) gar nicht zum SAP Business One-Standard gehört.

Die zusätzlichen Berechtigungen können dabei ebenfalls baumstrukturartig aufgebaut werden. Über die entsprechenden Schaltflächen (GLEICHRANGIGES ELEMENT HINZUFÜGEN und UNTERGEORDNETES ELEMENT HINZUFÜGEN) können Berechtigungsstrukturen aufgebaut werden, die der jeweiligen Erweiterung entsprechen.

Dabei arbeiten die zusätzlichen Berechtigungen immer über die Definition der eindeutigen Formular-ID. Diese muss bei der Erstellung der Berechtigung immer mit angegeben werden. Wichtig ist neben der ganzen Strukturdefinition die Checkbox ELEMENT. Diese regelt, ob es sich bei dem jeweiligen Eintrag um eine Berechtigung auf ein komplettes Fenster oder um ein Berechtigungsobjekt innerhalb eines SAP Business One-Fensters (zum Beispiel: Textbox oder Schaltfläche) handelt. Das Berechtigungsobjekt kann dann an eine (oder mehrere) Formular-ID gebunden werden.

SAP Business One Zusätzliche Berechtigungen
Abbildung 7: Zusätzliche Berechtigung für Erweiterungen definieren
SAP Business One Berechtigungen verwalten - Zusätzliche Berechtigungen
Abbildung 8: allgemeine Berechtigungen für zusätzliche Berechtigungen

Die Vergabe der zusätzlichen Berechtigungen für die Benutzer oder Gruppen erfolgt dann in den allgemeinen Berechtigungen. Hier gibt es am Ende der Berechtigungsliste die Struktur der Benutzerberechtigung. Hier finden sich die in den zusätzlichen Berechtigungen definierten Berechtigungsobjekte wieder.

Hinweis

Die Anlage der zusätzlichen Berechtigungen ist ebenfalls durch das SAP Business One SDK (Software Development Kit) möglich. Damit ist es für AddOn-Hersteller möglich, neben der von ihnen ausgelieferten Funktionalität, auch eine Möglichkeit der Vergabe von Berechtigungen für die von ihnen bereitgestellten Funktionen zu liefern.

Versino Ost SAP Business One Trainer Sebastian Gerber

Fazit
Berechtigungen verwalten

SAP Business One stellt mit den allgemeinen Berechtigungen ein Werkzeug zur Verfügung, um die Berechtigungen zu verwalten. Diese Berechtigungen sind benutzerbezogen zu definieren, können jedoch durch Kopierfunktionen und Verwendung von Benutzergruppen vereinfacht werden. Durch die Anzeige der effektiven Berechtigungen erhalten Systemadministratoren einen guten Überblick, welche Auswirkungen die einzelnen vergebenen Berechtigungen auf das Benutzerrecht haben. Durch die Möglichkeit, zusätzliche Berechtigungen zu erstellen, werden auch die Erweiterungsmöglichkeiten von SAP Business One in das Berechtigungskonzept von SAP Business One mit einbezogen.