Zugriffsrechte (SAP): Unterschied zwischen den Versionen
Matt (Diskussion | Beiträge) |
Matt (Diskussion | Beiträge) |
||
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
== Grundlagen == | == Grundlagen == | ||
* User haben Rollen | * User haben Rollen → T-Codes <code>SU01</code>, <code>SU01D</code> | ||
* Rollen | * Rollen können sein: | ||
** Sammelrollen - | ** Sammelrollen → Enthalten Einzelrollen → T-Code <code>PFCG</code> | ||
** Einzelrollen | ** Einzelrollen → Enthalten Berechtigungen | ||
* Berechtigungen | *** Berechtigungen werden auch als Berechtigungsprofile bezeichnet und enthalten Berechtigungsobjekte (siehe oben) | ||
** | * Berechtigungen können enthalten: | ||
** Analyseberechtigungen | ** Berechtigungsobjekte, z. B. zum Zugriff auf Tabellen, T-Codes, Planungsfunktionen | ||
** BW Analyseberechtigungen → T-Codes <code>RSECADMIN</code>, <code>RSECAUTH</code>, <code>RSU01</code> | |||
Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten für das BW, die statt auf Datenbankobjekte auf Daten im BW berechtigen, indem Merkmale zugeordnet werden und Selektionen auf diese Merkmale hinterlegt werden. Beispiel: Kostenstellenberechtigungen | |||
== HowTo == | == HowTo == | ||
Zeile 30: | Zeile 32: | ||
** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen | ** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen | ||
=== Rollen suchen === | === Rollen oder Berechtigungsprofile suchen === | ||
* Bei fehlenden Transaktionen: | * Über SAP GUI über folgende Programme: | ||
** PFCG | ** SAP Easy Access → Werkzeuge → Administration → Benutzerpflege → Infosystem | ||
*** Benutzer nach komplexen Selektionskriterien | |||
**** S_BCE_68001399 Nach Rollen | |||
**** S_BCE_68001396 Nach Berechtigungen | |||
**** S_BCE_68001397 Nach Berechtigungswerten | |||
* Bei fehlenden Transaktionen / Berechtigungen auf Programme: | |||
** PFCG → Button Transaktionen | |||
* Fehlende Rollen in SU53 anzeigen (Optional) | * Fehlende Rollen in SU53 anzeigen (Optional) | ||
* Tabelle AGR_1251 anzeigen und Spalten filtern: | * Tabelle AGR_1251 anzeigen und Spalten filtern: | ||
** Objekt auf das gesuchte Berechtigungsobjekt | ** Objekt auf das gesuchte Berechtigungsobjekt | ||
** Feldname auf das fehlende Berechtigungsfeld | ** Feldname auf das fehlende Berechtigungsfeld | ||
** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind | ** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind evtl. nur Wildcards eingetragen oder Intervalle. Bei Intervallen muss man Filter LE auf From-Spalte und GE auf To-Spalte anwenden. | ||
=== Transaktion zu Rolle hinzufügen === | |||
* Rolle mit PFCG öffnen | |||
* Reiter Menü öffnen | |||
* Button Transaktion -> Transaktion hinzufügen | |||
Dies führt dazu, dass Berechtigungsprofile angelegt werden, die alle notwendigen Berechtigungen enthalten. | |||
Die neu angelegten Berechtigungsprofile erhalten eine gelbe Statusampel. Die Berechtigungsprofile mit gelbem Status kann man dann zur Prüfung durchgehen und diese entweder freigeben, oder überprüfen, ob sie sich mit den bereits bestehenden Berechtigungsprofilen mit grünem Status überlappen. Bei vollständiger Überlappung kann man die Berechtigungsprofile mit gelbem Status löschen. Bei unvollständiger Überlappung kann man sie auch manuell zusammenfassen. | |||
==> Vorher überprüfen, ob alle Berechtigunkgsprofile eine grüne Statusampel haben (oder ob es welche mit gelbem Status gibt). | |||
== Analyseberechtigungen == | == Analyseberechtigungen == | ||
Zeile 131: | Zeile 150: | ||
| AGR_USERS || Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen | | AGR_USERS || Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen | ||
|- | |- | ||
| RSECVAL || Rollenspezifische Ausprägungen von Analyseberechtigungen | | RSECVAL || Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40) | ||
|- | |||
| RSECVAL_STRING || Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40) | |||
|- | |||
| RSECHIE || Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40) | |||
|- | |||
| RSECHIE_STRING || Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40) | |||
|- | |- | ||
| RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern | | RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern | ||
|- | |||
| RSECBIAU || Kopftabelle für TLOGO BI-Berechtigung BIAU | |||
|} | |} | ||
[[Category:SAP]] | [[Category:SAP]] | ||
[[Category:ABAP]] | [[Category:ABAP]] |
Aktuelle Version vom 25. Februar 2022, 15:14 Uhr
Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung
Grundlagen
- User haben Rollen → T-Codes
SU01
,SU01D
- Rollen können sein:
- Sammelrollen → Enthalten Einzelrollen → T-Code
PFCG
- Einzelrollen → Enthalten Berechtigungen
- Berechtigungen werden auch als Berechtigungsprofile bezeichnet und enthalten Berechtigungsobjekte (siehe oben)
- Sammelrollen → Enthalten Einzelrollen → T-Code
- Berechtigungen können enthalten:
- Berechtigungsobjekte, z. B. zum Zugriff auf Tabellen, T-Codes, Planungsfunktionen
- BW Analyseberechtigungen → T-Codes
RSECADMIN
,RSECAUTH
,RSU01
Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten für das BW, die statt auf Datenbankobjekte auf Daten im BW berechtigen, indem Merkmale zugeordnet werden und Selektionen auf diese Merkmale hinterlegt werden. Beispiel: Kostenstellenberechtigungen
HowTo
Analyse von Zugriffsrechten
- User in SU01D anschauen
- Sichtprüfung auf fehlende Rollen
- Änderungsbelege anschauen (Menü Info)
- Berechtigungsfehler mit SU53 überprüfen
- Zeigt nur letzten Vorgang an
- Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
- Ggf. eingetragene Berechtigungen im User einsehen SU56
- Sicht-Prüfung Berechtigungen des Benutzers mit
- RSECADMIN -> Benutzer -> Einzelzuordnung
- Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
- Testbenutzer in BWI erstellen
- Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
Rollen oder Berechtigungsprofile suchen
- Über SAP GUI über folgende Programme:
- SAP Easy Access → Werkzeuge → Administration → Benutzerpflege → Infosystem
- Benutzer nach komplexen Selektionskriterien
- S_BCE_68001399 Nach Rollen
- S_BCE_68001396 Nach Berechtigungen
- S_BCE_68001397 Nach Berechtigungswerten
- Benutzer nach komplexen Selektionskriterien
- SAP Easy Access → Werkzeuge → Administration → Benutzerpflege → Infosystem
- Bei fehlenden Transaktionen / Berechtigungen auf Programme:
- PFCG → Button Transaktionen
- Fehlende Rollen in SU53 anzeigen (Optional)
- Tabelle AGR_1251 anzeigen und Spalten filtern:
- Objekt auf das gesuchte Berechtigungsobjekt
- Feldname auf das fehlende Berechtigungsfeld
- Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind evtl. nur Wildcards eingetragen oder Intervalle. Bei Intervallen muss man Filter LE auf From-Spalte und GE auf To-Spalte anwenden.
Transaktion zu Rolle hinzufügen
- Rolle mit PFCG öffnen
- Reiter Menü öffnen
- Button Transaktion -> Transaktion hinzufügen
Dies führt dazu, dass Berechtigungsprofile angelegt werden, die alle notwendigen Berechtigungen enthalten.
Die neu angelegten Berechtigungsprofile erhalten eine gelbe Statusampel. Die Berechtigungsprofile mit gelbem Status kann man dann zur Prüfung durchgehen und diese entweder freigeben, oder überprüfen, ob sie sich mit den bereits bestehenden Berechtigungsprofilen mit grünem Status überlappen. Bei vollständiger Überlappung kann man die Berechtigungsprofile mit gelbem Status löschen. Bei unvollständiger Überlappung kann man sie auch manuell zusammenfassen.
==> Vorher überprüfen, ob alle Berechtigunkgsprofile eine grüne Statusampel haben (oder ob es welche mit gelbem Status gibt).
Analyseberechtigungen
Grundlagen
- Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
- Für Datenzugriff verpflichtende Informationen
- 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
- 0TCAIPROV (InfoProvider): z. B. TBW*
- 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
- Zuordnungsmöglichkeiten
- Manuell
- Transaktion
RSECADMIN
- Reiter Benutzer → Button Einzelzuordnung
- Reiter Manuell → Name im Feld Name eingeben → Button Einfügen klicken
- Transaktion
- Per Einzelrolle
- Transaktion
PFCG
- Anzeige in der Einzelrolle im Reiter "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
- Zu Bereich Business Warehouse (Technischer Name "RS") navigieren. Zwei Möglichkeiten
- BI Analyseberechtigungen in Rolle (Technischer Name "S_RS_AUTH")
- Analyseberechtigungen eingeben → Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
- Werden gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
- Bereich Business Explorer - Komponenten (Technische Namen "S_RS_COMP" und "S_RS_COMP1")
- Analyseberechtigungen auf InfoProvider-Ebene eingeben → Erscheinen in der Einzelzuordnung in RSECADMIN im Reiter Rollenbasiert
- Analyseberechtigungen 0BI_ALL hinzufügen
- BI Analyseberechtigungen in Rolle (Technischer Name "S_RS_AUTH")
- Transaktion
- Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
- Manuell
Analyseberechtigungen pflegen
Transaktion: RSECADMIN
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.
Berechtigungsrelevante InfoObjekte
Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
Analyse von Berechtigungsfehlern
- Transaktion
RSECADMIN
- Register Analyse
- Ausführen als...
- Benutzernamen eingeben
- Protokoll anhaken
- Query ausführen
- Fehlerprotokoll anschauen
- Berechtigungsfehler sollten im Bereich "InfoProvider-Prüfung" erscheinen
Alternativ:
- Transaktion
ST01
--> Systemtrace- Haken bei Berechtigungsprüfung setzen
- Button Trace an (Ausschalten nicht vergessen)
- Optional: Erweiterung STAUTHTRACE --> Bessere Auswertungsmöglichkeiten
Transport von Rollen
Rollen werden per Customizing-Auftrag transportiert.
Aufnehmen von Rollen in Customizing-Transportaufträge:
- Transaktion
PFCG
öffnen - Zu transportierende Rolle im Feld Rolle eingeben (Rolle nicht anzeigen oder bearbeiten)
- Button "Rolle transportieren" klicken
- Customizing-Auftrag auswählen. Optionen:
- "Generierte Profile der Einzelrollen" aktivieren
- Personalisierungsdaten und "Direkte Benutzerzuordnungen" nicht aktivieren.
Wichtige Rollen
Rolle | Kurzbeschreibung | Bemerkung |
---|---|---|
SAP_BC_DWB_ABAPDEVELOPER | ABAP Entwickler | Notwendig für ABAP Development Tools / HANA Studio |
SAP_BC_FDT_ADMINISTRATOR | BRFplus-Administrator |
Wichtige Tabellen
Tabelle | Beschreibung |
---|---|
AGR_1251 | Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen |
AGR_USERS | Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen |
RSECVAL | Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40) |
RSECVAL_STRING | Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40) |
RSECHIE | Rollenspezifische Ausprägungen von Analyseberechtigungen (nur bis Version < 7.40) |
RSECHIE_STRING | Rollenspezifische Ausprägungen von Analyseberechtigungen (Ab Version 7.40) |
RSECUSERAUTH | Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern |
RSECBIAU | Kopftabelle für TLOGO BI-Berechtigung BIAU |