Zugriffsrechte (SAP): Unterschied zwischen den Versionen

Aus MattWiki
Keine Bearbeitungszusammenfassung
Zeile 50: Zeile 50:
** 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
** 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
* Zuordnungsmöglichkeiten
* Zuordnungsmöglichkeiten
** Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS)
** Per Einzelrolle
*** --> In der Einzelrolle im Register "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
*** Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)



Version vom 17. Juli 2018, 14:42 Uhr

Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung

Grundlagen

  • User haben Rollen
  • Rollen sind entweder
    • Sammelrollen --> Enthalten Einzelrollen
    • Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
  • Berechtigungen sind z. B.
    • Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
    • Analyseberechtigungen
  • Berechtigungen können
  • Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten

HowTo

Analyse von Zugriffsrechten

  • User in SU01D anschauen
    • Sichtprüfung auf fehlende Rollen
    • Änderungsbelege anschauen (Menü Info)
  • Berechtigungsfehler mit SU53 überprüfen
    • Zeigt nur letzten Vorgang an
    • Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
    • Ggf. eingetragene Berechtigungen im User einsehen SU56
  • Sicht-Prüfung Berechtigungen des Benutzers mit
    • RSECADMIN -> Benutzer -> Einzelzuordnung
    • Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
  • Testbenutzer in BWI erstellen
    • Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen

Rollen suchen

  • Bei fehlenden Transaktionen:
    • PFCG --> Button Transaktionen
  • Fehlende Rollen in SU53 anzeigen (Optional)
  • Tabelle AGR_1251 anzeigen und Spalten filtern:
    • Objekt auf das gesuchte Berechtigungsobjekt
    • Feldname auf das fehlende Berechtigungsfeld
    • Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen

Analyseberechtigungen

Grundlagen

  • Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
  • Für Datenzugriff verpflichtende Informationen
    • 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
    • 0TCAIPROV (InfoProvider): z. B. TBW*
    • 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
  • Zuordnungsmöglichkeiten
    • Per Einzelrolle
      • --> In der Einzelrolle im Register "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
      • Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
    • Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)

Analyseberechtigungen pflegen

Transaktion: RSECADMIN

Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen

Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.

Berechtigungsrelevante InfoObjekte

Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.

Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.

Wichtige Rollen

Rolle Kurzbeschreibung Bemerkung
SAP_BC_DWB_ABAPDEVELOPER ABAP Entwickler Notwendig für ABAP Development Tools / HANA Studio
SAP_BC_FDT_ADMINISTRATOR BRFplus-Administrator

Wichtige Tabellen

Tabelle Beschreibung
AGR_1251 Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen
AGR_USERS Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen
RSECVAL Rollenspezifische Ausprägungen von Analyseberechtigungen
RSECUSERAUTH Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern