Zugriffsrechte (SAP)
Aus MattWiki
Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung
Grundlagen
- User haben Rollen
- Rollen sind entweder
- Sammelrollen --> Enthalten Einzelrollen
- Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
- Berechtigungen sind z. B.
- Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
- Analyseberechtigungen
- Berechtigungen können
- Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten
HowTo
Analyse von Zugriffsrechten
- User in SU01D anschauen
- Sichtprüfung auf fehlende Rollen
- Änderungsbelege anschauen (Menü Info)
- Berechtigungsfehler mit SU53 überprüfen
- Zeigt nur letzten Vorgang an
- Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
- Ggf. eingetragene Berechtigungen im User einsehen SU56
- Sicht-Prüfung Berechtigungen des Benutzers mit
- RSECADMIN -> Benutzer -> Einzelzuordnung
- Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
- Testbenutzer in BWI erstellen
- Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
Rollen suchen
- Bei fehlenden Transaktionen:
- PFCG --> Button Transaktionen
- Fehlende Rollen in SU53 anzeigen (Optional)
- Tabelle AGR_1251 anzeigen und Spalten filtern:
- Objekt auf das gesuchte Berechtigungsobjekt
- Feldname auf das fehlende Berechtigungsfeld
- Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen
Analyseberechtigungen
Grundlagen
- Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
- Für Datenzugriff verpflichtende Informationen
- 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
- 0TCAIPROV (InfoProvider): z. B. TBW*
- 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
- Zuordnungsmöglichkeiten
- Per Einzelrolle
- --> In der Einzelrolle im Register "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
- Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
- Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
- Per Einzelrolle
Analyseberechtigungen pflegen
Transaktion: RSECADMIN
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.
Berechtigungsrelevante InfoObjekte
Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
Transport von Rollen
Rollen werden per Customizing-Auftrag transportiert.
Aufnehmen von Rollen in Customizing-Transportaufträge:
- Transaktion
PFCGöffnen - Zu transportierende Rolle im Feld Rolle eingeben (Rolle nicht anzeigen oder bearbeiten)
- Button "Rolle transportieren" klicken
- Customizing-Auftrag auswählen. Optionen: "Generierte Profile der Einzelrollen" aktivieren, Personalisierungsdaten und "Direkte Benutzerzuordnungen" nicht aktivieren.
Wichtige Rollen
| Rolle | Kurzbeschreibung | Bemerkung |
|---|---|---|
| SAP_BC_DWB_ABAPDEVELOPER | ABAP Entwickler | Notwendig für ABAP Development Tools / HANA Studio |
| SAP_BC_FDT_ADMINISTRATOR | BRFplus-Administrator |
Wichtige Tabellen
| Tabelle | Beschreibung |
|---|---|
| AGR_1251 | Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen |
| AGR_USERS | Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen |
| RSECVAL | Rollenspezifische Ausprägungen von Analyseberechtigungen |
| RSECUSERAUTH | Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern |
