Zugriffsrechte (SAP)

Aus MattWiki

Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung

Grundlagen

  • User haben Rollen
  • Rollen sind entweder
    • Sammelrollen --> Enthalten Einzelrollen
    • Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
  • Berechtigungen sind z. B.
    • Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
    • Analyseberechtigungen
  • Berechtigungen können
  • Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten

Vorgehen zur Analyse

  • User in SU01D anschauen
    • Sichtprüfung auf fehlende Rollen
    • Änderungsbelege anschauen (Menü Info)
  • Berechtigungsfehler mit SU53 überprüfen
    • Zeigt nur letzten Vorgang an
    • Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
    • Ggf. eingetragene Berechtigungen im User einsehen SU56
  • Sicht-Prüfung Berechtigungen des Benutzers mit
    • RSECADMIN -> Benutzer -> Einzelzuordnung
    • Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
  • Testbenutzer in BWI erstellen
    • Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen

Rolle suchen

  • Bei fehlenden Transaktionen:
    • PFCG --> Button Transaktionen
  • Fehlende Rollen in SU53 anzeigen (Optional)
  • Tabelle AGR_1251 anzeigen und Spalten filtern:
    • Objekt auf das gesuchte Berechtigungsobjekt
    • Feldname auf das fehlende Berechtigungsfeld
    • Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen

Analyseberechtigungen Grundlagen

  • Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
  • Für Datenzugriff verpflichtende Informationen
    • 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
    • 0TCAIPROV (InfoProvider): z. B. TBW*
    • 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
  • Zuordnungsmöglichkeiten
    • Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS)
    • Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)

Analyseberechtigungen pflegen

Transaktion: RSECADMIN

Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen

Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.

Wichtige Rollen

Rolle Kurzbeschreibung Bemerkung
SAP_BC_DWB_ABAPDEVELOPER ABAP Entwickler Notwendig für ABAP Development Tools / HANA Studio
SAP_BC_FDT_ADMINISTRATOR BRFplus-Administrator

Wichtige Tabellen

Tabelle Beschreibung
AGR_1251 Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen
AGR_USERS Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen
RSECVAL Rollenspezifische Ausprägungen von Analyseberechtigungen
RSECUSERAUTH Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern