Zugriffsrechte (SAP): Unterschied zwischen den Versionen
Aus MattWiki
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 2: | Zeile 2: | ||
== Grundlagen == | == Grundlagen == | ||
* User haben Rollen | * User haben Rollen | ||
* Rollen sind entweder | * Rollen sind entweder | ||
| Zeile 12: | Zeile 13: | ||
* Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten | * Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten | ||
== | == HowTo == | ||
=== Analyse von Zugriffsrechten === | |||
* User in SU01D anschauen | * User in SU01D anschauen | ||
| Zeile 27: | Zeile 30: | ||
** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen | ** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen | ||
== | === Rollen suchen === | ||
* Bei fehlenden Transaktionen: | * Bei fehlenden Transaktionen: | ||
| Zeile 37: | Zeile 40: | ||
** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen | ** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen | ||
== Analyseberechtigungen Grundlagen == | == Analyseberechtigungen == | ||
=== Grundlagen === | |||
* Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider | * Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider | ||
| Zeile 48: | Zeile 53: | ||
** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH) | ** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH) | ||
== Analyseberechtigungen pflegen == | === Analyseberechtigungen pflegen === | ||
Transaktion: '''RSECADMIN''' | Transaktion: '''RSECADMIN''' | ||
| Zeile 55: | Zeile 60: | ||
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an. | Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an. | ||
=== Berechtigungsrelevante InfoObjekte === | |||
Wenn der Haken '''Berechtigungsrelevant''' in einem '''InfoObjekt''' (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann. | |||
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben. | |||
== Wichtige Rollen == | == Wichtige Rollen == | ||
Version vom 15. Juni 2018, 16:13 Uhr
Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung
Grundlagen
- User haben Rollen
- Rollen sind entweder
- Sammelrollen --> Enthalten Einzelrollen
- Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
- Berechtigungen sind z. B.
- Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
- Analyseberechtigungen
- Berechtigungen können
- Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten
HowTo
Analyse von Zugriffsrechten
- User in SU01D anschauen
- Sichtprüfung auf fehlende Rollen
- Änderungsbelege anschauen (Menü Info)
- Berechtigungsfehler mit SU53 überprüfen
- Zeigt nur letzten Vorgang an
- Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
- Ggf. eingetragene Berechtigungen im User einsehen SU56
- Sicht-Prüfung Berechtigungen des Benutzers mit
- RSECADMIN -> Benutzer -> Einzelzuordnung
- Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
- Testbenutzer in BWI erstellen
- Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
Rollen suchen
- Bei fehlenden Transaktionen:
- PFCG --> Button Transaktionen
- Fehlende Rollen in SU53 anzeigen (Optional)
- Tabelle AGR_1251 anzeigen und Spalten filtern:
- Objekt auf das gesuchte Berechtigungsobjekt
- Feldname auf das fehlende Berechtigungsfeld
- Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen
Analyseberechtigungen
Grundlagen
- Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
- Für Datenzugriff verpflichtende Informationen
- 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
- 0TCAIPROV (InfoProvider): z. B. TBW*
- 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
- Zuordnungsmöglichkeiten
- Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS)
- Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
Analyseberechtigungen pflegen
Transaktion: RSECADMIN
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.
Berechtigungsrelevante InfoObjekte
Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
Wichtige Rollen
| Rolle | Kurzbeschreibung | Bemerkung |
|---|---|---|
| SAP_BC_DWB_ABAPDEVELOPER | ABAP Entwickler | Notwendig für ABAP Development Tools / HANA Studio |
| SAP_BC_FDT_ADMINISTRATOR | BRFplus-Administrator |
Wichtige Tabellen
| Tabelle | Beschreibung |
|---|---|
| AGR_1251 | Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen |
| AGR_USERS | Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen |
| RSECVAL | Rollenspezifische Ausprägungen von Analyseberechtigungen |
| RSECUSERAUTH | Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern |
