Zugriffsrechte (SAP): Unterschied zwischen den Versionen

Aus MattWiki
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
== Grundlagen ==
== Grundlagen ==


* User haben Rollen
* User haben Rollen &rarr; T-Codes <code>SU01</code>, <code>SU01D</code>
* Rollen sind entweder
* Rollen können sein:
** Sammelrollen --> Enthalten Einzelrollen
** Sammelrollen &rarr; Enthalten Einzelrollen &rarr; T-Code <code>PFCG</code>
** Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
** Einzelrollen &rarr; Enthalten Berechtigungen  
* Berechtigungen sind z. B.
*** Berechtigungen werden auch als Berechtigungsprofile bezeichnet und enthalten Berechtigungsobjekte (siehe oben)
** Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
* Berechtigungen können enthalten:
** Analyseberechtigungen
** Berechtigungsobjekte, z. B. zum Zugriff auf Tabellen, T-Codes, Planungsfunktionen
* Berechtigungen können
** BW Analyseberechtigungen &rarr; T-Codes <code>RSECADMIN</code>, <code>RSECAUTH</code>, <code>RSU01</code>
* Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten
 
 
Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten für das BW, die statt auf Datenbankobjekte auf Daten im BW berechtigen, indem Merkmale zugeordnet werden und Selektionen auf diese Merkmale hinterlegt werden. Beispiel: Kostenstellenberechtigungen


== HowTo ==
== HowTo ==
Zeile 30: Zeile 32:
** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen


=== Rollen suchen ===
=== Rollen oder Berechtigungsprofile suchen ===


* Bei fehlenden Transaktionen:
* Über SAP GUI über folgende Programme:
** PFCG --> Button Transaktionen
** SAP Easy Access &rarr; Werkzeuge &rarr; Administration &rarr; Benutzerpflege &rarr; Infosystem
*** Benutzer nach komplexen Selektionskriterien
**** S_BCE_68001399 Nach Rollen
**** S_BCE_68001396 Nach Berechtigungen
**** S_BCE_68001397 Nach Berechtigungswerten
* Bei fehlenden Transaktionen / Berechtigungen auf Programme:
** PFCG &rarr; Button Transaktionen
* Fehlende Rollen in SU53 anzeigen (Optional)  
* Fehlende Rollen in SU53 anzeigen (Optional)  
* Tabelle AGR_1251 anzeigen und Spalten filtern:
* Tabelle AGR_1251 anzeigen und Spalten filtern:
** Objekt auf das gesuchte Berechtigungsobjekt
** Objekt auf das gesuchte Berechtigungsobjekt
** Feldname auf das fehlende Berechtigungsfeld
** Feldname auf das fehlende Berechtigungsfeld
** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen
** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind evtl. nur Wildcards eingetragen oder Intervalle. Bei Intervallen muss man Filter LE auf From-Spalte und GE auf To-Spalte anwenden.
 
=== Transaktion zu Rolle hinzufügen ===
* Rolle mit PFCG öffnen
* Reiter Menü öffnen
* Button Transaktion -> Transaktion hinzufügen
 
Dies führt dazu, dass Berechtigungsprofile angelegt werden, die alle notwendigen Berechtigungen enthalten.
 
Die neu angelegten Berechtigungsprofile erhalten eine gelbe Statusampel. Die Berechtigungsprofile mit gelbem Status kann man dann zur Prüfung durchgehen und diese entweder freigeben, oder überprüfen, ob sie sich mit den bereits bestehenden Berechtigungsprofilen mit grünem Status überlappen. Bei vollständiger Überlappung kann man die Berechtigungsprofile mit gelbem Status löschen. Bei unvollständiger Überlappung kann man sie auch manuell zusammenfassen.
 
==> Vorher überprüfen, ob alle Berechtigunkgsprofile eine grüne Statusampel haben (oder ob es welche mit gelbem Status gibt).


== Analyseberechtigungen ==
== Analyseberechtigungen ==
Zeile 49: Zeile 68:
** 0TCAIPROV (InfoProvider): z. B. TBW*
** 0TCAIPROV (InfoProvider): z. B. TBW*
** 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
** 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
* Zuordnungsmöglichkeiten
* Zuordnungsmöglichkeiten
** Manuell
*** '''Transaktion''' <code>RSECADMIN</code>
**** Reiter Benutzer &rarr; Button Einzelzuordnung
**** Reiter Manuell &rarr; Name im Feld Name eingeben &rarr; Button Einfügen klicken
** Per Einzelrolle  
** Per Einzelrolle  
*** --> In der Einzelrolle im Register "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
*** '''Transaktion''' <code>PFCG</code>
*** Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
**** Anzeige in der Einzelrolle im Reiter "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
**** Zu Bereich Business Warehouse (Technischer Name "RS") navigieren. Zwei Möglichkeiten
***** '''BI Analyseberechtigungen in Rolle''' (Technischer Name "S_RS_AUTH")
****** Analyseberechtigungen eingeben &rarr; Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
****** Werden gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
***** '''Bereich Business Explorer - Komponenten''' (Technische Namen "S_RS_COMP" und "S_RS_COMP1")
****** Analyseberechtigungen auf InfoProvider-Ebene eingeben &rarr; Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
****** Analyseberechtigungen '''0BI_ALL''' hinzufügen
** Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)


=== Analyseberechtigungen pflegen ===
=== Analyseberechtigungen pflegen ===
Zeile 68: Zeile 100:


Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
=== Analyse von Berechtigungsfehlern ===
# '''Transaktion''' <code>RSECADMIN</code>
## Register Analyse
## Ausführen als...
## Benutzernamen eingeben
## Protokoll anhaken
## Query ausführen
# Fehlerprotokoll anschauen
## Berechtigungsfehler sollten im Bereich "InfoProvider-Prüfung" erscheinen
Alternativ:
# '''Transaktion''' <code>ST01</code> --> Systemtrace
## Haken bei Berechtigungsprüfung setzen
## Button Trace an (Ausschalten nicht vergessen)
## Optional: Erweiterung STAUTHTRACE --> Bessere Auswertungsmöglichkeiten
== Transport von Rollen ==
Rollen werden per Customizing-Auftrag transportiert.
'''Aufnehmen von Rollen in Customizing-Transportaufträge:'''
# Transaktion <code>PFCG</code> öffnen
# Zu transportierende Rolle im Feld Rolle eingeben (Rolle nicht anzeigen oder bearbeiten)
# Button "Rolle transportieren" klicken
# Customizing-Auftrag auswählen. '''Optionen:'''
## "Generierte Profile der Einzelrollen" aktivieren
## Personalisierungsdaten und "Direkte Benutzerzuordnungen" nicht aktivieren.


== Wichtige Rollen ==
== Wichtige Rollen ==
Zeile 88: Zeile 150:
| AGR_USERS || Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen
| AGR_USERS || Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen
|-
|-
| RSECVAL || Rollenspezifische Ausprägungen von Analyseberechtigungen
| RSECVAL || Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40)
|-
| RSECVAL_STRING || Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40)
|-
| RSECHIE || Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40)
|-
| RSECHIE_STRING || Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40)
|-
|-
| RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern
| RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern
|-
| RSECBIAU || Kopftabelle für TLOGO BI-Berechtigung BIAU
|}
|}


[[Category:SAP]]
[[Category:SAP]]
[[Category:ABAP]]
[[Category:ABAP]]

Aktuelle Version vom 25. Februar 2022, 15:14 Uhr

Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung

Grundlagen

  • User haben Rollen → T-Codes SU01, SU01D
  • Rollen können sein:
    • Sammelrollen → Enthalten Einzelrollen → T-Code PFCG
    • Einzelrollen → Enthalten Berechtigungen
      • Berechtigungen werden auch als Berechtigungsprofile bezeichnet und enthalten Berechtigungsobjekte (siehe oben)
  • Berechtigungen können enthalten:
    • Berechtigungsobjekte, z. B. zum Zugriff auf Tabellen, T-Codes, Planungsfunktionen
    • BW Analyseberechtigungen → T-Codes RSECADMIN, RSECAUTH, RSU01


Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten für das BW, die statt auf Datenbankobjekte auf Daten im BW berechtigen, indem Merkmale zugeordnet werden und Selektionen auf diese Merkmale hinterlegt werden. Beispiel: Kostenstellenberechtigungen

HowTo

Analyse von Zugriffsrechten

  • User in SU01D anschauen
    • Sichtprüfung auf fehlende Rollen
    • Änderungsbelege anschauen (Menü Info)
  • Berechtigungsfehler mit SU53 überprüfen
    • Zeigt nur letzten Vorgang an
    • Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
    • Ggf. eingetragene Berechtigungen im User einsehen SU56
  • Sicht-Prüfung Berechtigungen des Benutzers mit
    • RSECADMIN -> Benutzer -> Einzelzuordnung
    • Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
  • Testbenutzer in BWI erstellen
    • Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen

Rollen oder Berechtigungsprofile suchen

  • Über SAP GUI über folgende Programme:
    • SAP Easy Access → Werkzeuge → Administration → Benutzerpflege → Infosystem
      • Benutzer nach komplexen Selektionskriterien
        • S_BCE_68001399 Nach Rollen
        • S_BCE_68001396 Nach Berechtigungen
        • S_BCE_68001397 Nach Berechtigungswerten
  • Bei fehlenden Transaktionen / Berechtigungen auf Programme:
    • PFCG → Button Transaktionen
  • Fehlende Rollen in SU53 anzeigen (Optional)
  • Tabelle AGR_1251 anzeigen und Spalten filtern:
    • Objekt auf das gesuchte Berechtigungsobjekt
    • Feldname auf das fehlende Berechtigungsfeld
    • Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind evtl. nur Wildcards eingetragen oder Intervalle. Bei Intervallen muss man Filter LE auf From-Spalte und GE auf To-Spalte anwenden.

Transaktion zu Rolle hinzufügen

  • Rolle mit PFCG öffnen
  • Reiter Menü öffnen
  • Button Transaktion -> Transaktion hinzufügen

Dies führt dazu, dass Berechtigungsprofile angelegt werden, die alle notwendigen Berechtigungen enthalten.

Die neu angelegten Berechtigungsprofile erhalten eine gelbe Statusampel. Die Berechtigungsprofile mit gelbem Status kann man dann zur Prüfung durchgehen und diese entweder freigeben, oder überprüfen, ob sie sich mit den bereits bestehenden Berechtigungsprofilen mit grünem Status überlappen. Bei vollständiger Überlappung kann man die Berechtigungsprofile mit gelbem Status löschen. Bei unvollständiger Überlappung kann man sie auch manuell zusammenfassen.

==> Vorher überprüfen, ob alle Berechtigunkgsprofile eine grüne Statusampel haben (oder ob es welche mit gelbem Status gibt).

Analyseberechtigungen

Grundlagen

  • Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
  • Für Datenzugriff verpflichtende Informationen
    • 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
    • 0TCAIPROV (InfoProvider): z. B. TBW*
    • 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)


  • Zuordnungsmöglichkeiten
    • Manuell
      • Transaktion RSECADMIN
        • Reiter Benutzer → Button Einzelzuordnung
        • Reiter Manuell → Name im Feld Name eingeben → Button Einfügen klicken
    • Per Einzelrolle
      • Transaktion PFCG
        • Anzeige in der Einzelrolle im Reiter "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
        • Zu Bereich Business Warehouse (Technischer Name "RS") navigieren. Zwei Möglichkeiten
          • BI Analyseberechtigungen in Rolle (Technischer Name "S_RS_AUTH")
            • Analyseberechtigungen eingeben → Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
            • Werden gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
          • Bereich Business Explorer - Komponenten (Technische Namen "S_RS_COMP" und "S_RS_COMP1")
            • Analyseberechtigungen auf InfoProvider-Ebene eingeben → Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
            • Analyseberechtigungen 0BI_ALL hinzufügen
    • Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)

Analyseberechtigungen pflegen

Transaktion: RSECADMIN

Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen

Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.

Berechtigungsrelevante InfoObjekte

Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.

Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.

Analyse von Berechtigungsfehlern

  1. Transaktion RSECADMIN
    1. Register Analyse
    2. Ausführen als...
    3. Benutzernamen eingeben
    4. Protokoll anhaken
    5. Query ausführen
  2. Fehlerprotokoll anschauen
    1. Berechtigungsfehler sollten im Bereich "InfoProvider-Prüfung" erscheinen

Alternativ:

  1. Transaktion ST01 --> Systemtrace
    1. Haken bei Berechtigungsprüfung setzen
    2. Button Trace an (Ausschalten nicht vergessen)
    3. Optional: Erweiterung STAUTHTRACE --> Bessere Auswertungsmöglichkeiten

Transport von Rollen

Rollen werden per Customizing-Auftrag transportiert.

Aufnehmen von Rollen in Customizing-Transportaufträge:

  1. Transaktion PFCG öffnen
  2. Zu transportierende Rolle im Feld Rolle eingeben (Rolle nicht anzeigen oder bearbeiten)
  3. Button "Rolle transportieren" klicken
  4. Customizing-Auftrag auswählen. Optionen:
    1. "Generierte Profile der Einzelrollen" aktivieren
    2. Personalisierungsdaten und "Direkte Benutzerzuordnungen" nicht aktivieren.

Wichtige Rollen

Rolle Kurzbeschreibung Bemerkung
SAP_BC_DWB_ABAPDEVELOPER ABAP Entwickler Notwendig für ABAP Development Tools / HANA Studio
SAP_BC_FDT_ADMINISTRATOR BRFplus-Administrator

Wichtige Tabellen

Tabelle Beschreibung
AGR_1251 Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen
AGR_USERS Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen
RSECVAL Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40)
RSECVAL_STRING Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40)
RSECHIE Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40)
RSECHIE_STRING Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40)
RSECUSERAUTH Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern
RSECBIAU Kopftabelle für TLOGO BI-Berechtigung BIAU