Zugriffsrechte (SAP): Unterschied zwischen den Versionen
Aus MattWiki
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
Transaktionen siehe https://otremba.net/wiki/Transaktionen_(SAP)#Zugriffsrechteverwaltung | Transaktionen siehe https://otremba.net/wiki/Transaktionen_(SAP)#Zugriffsrechteverwaltung | ||
== Rollen == | == Grundlagen == | ||
* User haben Rollen | |||
* Rollen sind entweder | |||
** Sammelrollen --> Enthalten Einzelrollen | |||
** Einzelrollen --> Enthalten Berechtigungen, Menüs, etc. | |||
* Berechtigungen sind z. B. | |||
** Diverse Berechtigungsobjekte, z. B. Planungsfunktionen | |||
** Analyseberechtigungen | |||
* Berechtigungen können | |||
* Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten | |||
== Vorgehen zur Analyse == | |||
* User in SU01D anschauen | |||
** Sichtprüfung auf fehlende Rollen | |||
** Änderungsbelege anschauen (Menü Info) | |||
* Berechtigungsfehler mit SU53 überprüfen | |||
** Zeigt nur letzten Vorgang an | |||
** Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden) | |||
** Ggf. eingetragene Berechtigungen im User einsehen SU56 | |||
* Sicht-Prüfung Berechtigungen des Benutzers mit | |||
** RSECADMIN -> Benutzer -> Einzelzuordnung | |||
** Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle | |||
* Testbenutzer in BWI erstellen | |||
** Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen | |||
== Rolle suchen == | |||
* Bei fehlenden Transaktionen: | |||
** PFCG --> Button Transaktionen | |||
* Fehlende Rollen in SU53 anzeigen (Optional) | |||
* Tabelle AGR_1251 anzeigen und Spalten filtern: | |||
** Objekt auf das gesuchte Berechtigungsobjekt | |||
** Feldname auf das fehlende Berechtigungsfeld | |||
** Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen | |||
== Analyseberechtigungen Grundlagen == | |||
* Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider | |||
* Für Datenzugriff verpflichtende Informationen | |||
** 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben | |||
** 0TCAIPROV (InfoProvider): z. B. TBW* | |||
** 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles) | |||
* Zuordnungsmöglichkeiten | |||
** Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS) | |||
** Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH) | |||
== Analyseberechtigungen pflegen == | |||
Transaktion: '''RSECADMIN''' | |||
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen | |||
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an. | |||
== Wichtige Rollen == | |||
{| class="wikitable" | {| class="wikitable" | ||
| Zeile 24: | Zeile 79: | ||
| RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern | | RSECUSERAUTH || Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern | ||
|} | |} | ||
[[Category:SAP]] | [[Category:SAP]] | ||
[[Category:ABAP]] | [[Category:ABAP]] | ||
Version vom 15. Juni 2018, 15:35 Uhr
Transaktionen siehe https://otremba.net/wiki/Transaktionen_(SAP)#Zugriffsrechteverwaltung
Grundlagen
- User haben Rollen
- Rollen sind entweder
- Sammelrollen --> Enthalten Einzelrollen
- Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
- Berechtigungen sind z. B.
- Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
- Analyseberechtigungen
- Berechtigungen können
- Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten
Vorgehen zur Analyse
- User in SU01D anschauen
- Sichtprüfung auf fehlende Rollen
- Änderungsbelege anschauen (Menü Info)
- Berechtigungsfehler mit SU53 überprüfen
- Zeigt nur letzten Vorgang an
- Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
- Ggf. eingetragene Berechtigungen im User einsehen SU56
- Sicht-Prüfung Berechtigungen des Benutzers mit
- RSECADMIN -> Benutzer -> Einzelzuordnung
- Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
- Testbenutzer in BWI erstellen
- Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
Rolle suchen
- Bei fehlenden Transaktionen:
- PFCG --> Button Transaktionen
- Fehlende Rollen in SU53 anzeigen (Optional)
- Tabelle AGR_1251 anzeigen und Spalten filtern:
- Objekt auf das gesuchte Berechtigungsobjekt
- Feldname auf das fehlende Berechtigungsfeld
- Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen
Analyseberechtigungen Grundlagen
- Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
- Für Datenzugriff verpflichtende Informationen
- 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
- 0TCAIPROV (InfoProvider): z. B. TBW*
- 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
- Zuordnungsmöglichkeiten
- Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS)
- Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
Analyseberechtigungen pflegen
Transaktion: RSECADMIN
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.
Wichtige Rollen
| Rolle | Kurzbeschreibung | Bemerkung |
|---|---|---|
| SAP_BC_DWB_ABAPDEVELOPER | ABAP Entwickler | Notwendig für ABAP Development Tools / HANA Studio |
| SAP_BC_FDT_ADMINISTRATOR | BRFplus-Administrator |
Wichtige Tabellen
| Tabelle | Beschreibung |
|---|---|
| AGR_1251 | Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen |
| AGR_USERS | Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen |
| RSECVAL | Rollenspezifische Ausprägungen von Analyseberechtigungen |
| RSECUSERAUTH | Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern |
