Zugriffsrechte (SAP)
Aus MattWiki
Transaktionen siehe Transaktionen_(SAP)#Zugriffsrechteverwaltung
Grundlagen
- User haben Rollen
- Rollen sind entweder
- Sammelrollen --> Enthalten Einzelrollen
- Einzelrollen --> Enthalten Berechtigungen, Menüs, etc.
- Berechtigungen sind z. B.
- Diverse Berechtigungsobjekte, z. B. Planungsfunktionen
- Analyseberechtigungen
- Berechtigungen können
- Analyseberechtigungen sind eine Sonderform von Berechtigungsobjekten
HowTo
Analyse von Zugriffsrechten
- User in SU01D anschauen
- Sichtprüfung auf fehlende Rollen
- Änderungsbelege anschauen (Menü Info)
- Berechtigungsfehler mit SU53 überprüfen
- Zeigt nur letzten Vorgang an
- Ggf. Berechtigungstrace mit Transaktion ST01 durchführen (Falls Zugriffsrechte vorhanden)
- Ggf. eingetragene Berechtigungen im User einsehen SU56
- Sicht-Prüfung Berechtigungen des Benutzers mit
- RSECADMIN -> Benutzer -> Einzelzuordnung
- Evtl. Protokollierung aktivieren -> Protokolle -> Berechtigungsprotokolle
- Testbenutzer in BWI erstellen
- Benutzer mit SU01 erstellen mit identischen Rollen und manuell zugeordneten Berechtigungen
Rollen suchen
- Bei fehlenden Transaktionen:
- PFCG --> Button Transaktionen
- Fehlende Rollen in SU53 anzeigen (Optional)
- Tabelle AGR_1251 anzeigen und Spalten filtern:
- Objekt auf das gesuchte Berechtigungsobjekt
- Feldname auf das fehlende Berechtigungsfeld
- Berechtigungswert auf den fehlenden Berechtigungswert. Wichtig: Hier sind ggf. nur Wildcards eingetragen
Analyseberechtigungen
Grundlagen
- Analyseberechtigungen geben Datenzugriff --> Einschränkungen auf Daten in InfoProvider
- Für Datenzugriff verpflichtende Informationen
- 0TCAACTVT (Aktivität): Z. B. 03 für Lesen, 02 für Schreiben
- 0TCAIPROV (InfoProvider): z. B. TBW*
- 0TCAVALID (Gültigkeit), i.d.R.: CP* (alles)
- Zuordnungsmöglichkeiten
- Per Rolle (Gespeichert in Tabelle AGR_1251 mit OBJECT=S_RS_AUTH sowie AGR_USERS)
- Manuelle oder Generierte Zuweisung (Gespeichert in Tabelle RSECUSERAUTH)
Analyseberechtigungen pflegen
Transaktion: RSECADMIN
Reiter Benutzer → Einzelzuordnung → Benutzer eingeben → Anzeigen → Register "Manuell oder Generiert" oder "Rollenbasiert" prüfen
Die Tabellen in den Registern zeigen die zugeordneten Berechtigungen an.
Berechtigungsrelevante InfoObjekte
Wenn der Haken Berechtigungsrelevant in einem InfoObjekt (Reiter Business Explorer) aktiviert ist, müssen Berechtigungsobjekte / Analyseberechtigungen definiert werden, damit im Reporting Werte dieses InfoObjekts zugegriffen werden kann.
Es ist also möglich, die Ausführung von Queries nur für bestimmte Wertebereiche dieses Merkmals zu erlauben.
Wichtige Rollen
| Rolle | Kurzbeschreibung | Bemerkung |
|---|---|---|
| SAP_BC_DWB_ABAPDEVELOPER | ABAP Entwickler | Notwendig für ABAP Development Tools / HANA Studio |
| SAP_BC_FDT_ADMINISTRATOR | BRFplus-Administrator |
Wichtige Tabellen
| Tabelle | Beschreibung |
|---|---|
| AGR_1251 | Zuordnung Berechtigungsobjekte zu Rollen: Entspricht SU01D -> Register Rollen -> Doppelklick auf Rolle -> Register Berechtigungen -> Berechtigungsdaten anzeigen |
| AGR_USERS | Zuordnung Rollen zu Usern: Entspricht SU01D -> Register Rollen |
| RSECVAL | Rollenspezifische Ausprägungen von Analyseberechtigungen |
| RSECUSERAUTH | Manuelle oder Generierte Analyseberechtigungszuordnungen zu Usern |
