Zugriffsrechte (SAP)

Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung

Grundlagen

• User haben Rollen
• Rollen sind entweder
  • Sammelrollen --> Enthalten Einzelrollen
  • Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
• Berechtigungen sind z. B.
  • Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
  • Analyseberechtigungen
• Berechtigungen können
• Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten

HowTo

Analyse von Zugriffsrechten

• User in SU01D anschauen
  • Sichtprüfung auf fehlende Rollen
  • Änderungsbelege anschauen (Menü Info)
• Berechtigungsfehler mit SU53 überprüfen
  • Zeigt nur letzten Vorgang an
  • Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
  • Ggf. eingetragene Berechtigungen im User einsehen SU56
• Sicht-Prüfung Berechtigungen des Benutzers mit
  • RSECADMIN -> Benutzer -> Einzelzuordnung
  • Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
• Testbenutzer in BWI erstellen
  • Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen

Rollen suchen

• Bei fehlenden Transaktionen:
  • PFCG --> Button Transaktionen
• Fehlende Rollen in SU53 anzeigen (Optional)
• Tabelle AGR_1251 anzeigen und Spalten filtern:
  • Objekt auf das gesuchte Berechtigungsobjekt
  • Feldname auf das fehlende Berechtigungsfeld
  • Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen

Analyseberechtigungen

Grundlagen

• Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
• Für Datenzugriff verpflichtende Informationen
  • 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
  • 0TCAIPROV (InfoProvider): z. B. TBW*
  • 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
• Zuordnungsmöglichkeiten
  • Per Einzelrolle
    • --> In der Einzelrolle im Register "Berechtigungen" auf Button "Berechtigungsdaten anzeigen" klicken
    • Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS
  • Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)

Analyseberechtigungen pflegen

Transaktion: RSECADMIN

Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen

Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.

Berechtigungsrelevante InfoObjekte

Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.

Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.

Analyse von Berechtigungsfehlern

1. Transaktion RSECADMIN
   1. Register Analyse
   2. Ausführen als...
   3. Benutzernamen eingeben
   4. Protokoll anhaken
   5. Query ausführen
2. Fehlerprotokoll anschauen
   1. Berechtigungsfehler sollten im Bereich "InfoProvider-Prüfung" erscheinen

Alternativ:

1. Transaktion ST01 --> Systemtrace
   1. Haken bei Berechtigungsprüfung setzen
   2. Button Trace an (Ausschalten nicht vergessen)
   3. Optional: Erweiterung STAUTHTRACE --> Bessere Auswertungsmöglichkeiten

Transport von Rollen

Rollen werden per Customizing-Auftrag transportiert.

Aufnehmen von Rollen in Customizing-Transportaufträge:

1. Transaktion PFCG öffnen
2. Zu transportierende Rolle im Feld Rolle eingeben (Rolle nicht anzeigen oder bearbeiten)
3. Button "Rolle transportieren" klicken
4. Customizing-Auftrag auswählen. Optionen:
   1. "Generierte Profile der Einzelrollen" aktivieren
   2. Personalisierungsdaten und "Direkte Benutzerzuordnungen" nicht aktivieren.

Wichtige Rollen

Wichtige Tabellen