Allgemeine Berechtigungen
Web-Dynpro-ABAP-Anwendungen starten
Organisationsebenen sorgen für eine effizientere Pflege der Berechtigungsrollen. Sie pflegen sie einmalig in der Transaktion PFCG über den Button Orgebenen. Die Werte für jeden Eintrag dieses Feldes werden in den Berechtigungen der Rolle eingetragen. Dies bedeutet, dass Sie innerhalb einer Rolle immer nur die gleichen Werte für das Organisationsebenenfeld eintragen können. Ändern Sie die Werte der einzelnen Felder in den Berechtigungsobjekten unabhängig von der übergreifenden Pflege, erhalten Sie eine Warnmeldung, dass Sie dieses Feld nun nicht mehr über den Button Orgebenen verändern können und dass bei der Anpassung von abgeleiteten Rollen dieser individuelle Wert überschrieben wird. Daher raten wir Ihnen dringend davon ab, eine individuelle Pflege der Organisationsebenenfelder vorzunehmen. Wenn Sie sich an diesen Ratschlag halten, kann es, wie oben beschrieben, immer nur einen Wertebereich für ein Organisationsebenenfeld geben. So ist z. B. die Kombination aus der Anzeige aller Buchungskreise und der Änderung eines einzelnen Buchungskreises innerhalb einer Rolle nicht umzusetzen. Dies hat natürlich Auswirkungen, wenn Sie ein Feld in die Organisationsebene hochstufen möchten. Ein Feld, das bisher nicht als Organisationsebene fungierte, kann solche Einträge mit unterschiedlichen Werten innerhalb einer Rolle beinhalten. Diese Einträge müssen Sie bereinigen, bevor Sie ein Feld als Organisationsebene deklarieren. Zusätzlich wirkt sich die Definition eines Feldes als Organisationsebene auch auf die Berechtigungsvorschlagswerte des Profilgenerators aus.
Beim Zugriff auf Tabellen oder Views wird mit dem Berechtigungsobjekt S_TABU_DIS die Berechtigung für eine bestimmte Tabellenberechtigungsgruppe in der Berechtigungsprüfung erteilt. Beachten Sie in diesem Zusammenhang auch Tipp 73 »Berechtigungsobjekte für die Tabellenbearbeitung verwenden« und das dort vorgestellte Berechtigungsobjekt S_TABU_NAM. Tabellenberechtigungsgruppen legen Sie mithilfe der Transaktion SE54 oder über den Pflegedialog V_TBRG_54 an. Sie fallen unter das mandantenabhängige Customizing und können bis SAP NetWeaver 7.31 SP 2 lediglich vier Zeichen beinhalten. Zum Anlegen einer Tabellenberechtigungsgruppe rufen Sie die Transaktion SE54 auf und wählen dort im Bereich Bearbeiten Tabelle/View die Option Berechtigungsgruppen aus. Über den Button Anlegen/Ändern gelangen Sie zur Übersicht der bereits vorhandenen Tabellenberechtigungsgruppen. Auf diesem Weg können Sie z. B. auch die Bezeichnung einer Tabellenberechtigungsgruppe ändern. In der Übersicht der Tabellenberechtigungsgruppen klicken Sie auf den Button Neue Einträge, um eine neue Tabellenberechtigungsgruppe anzulegen. Vergeben Sie einen Namen für Ihre Berechtigungsgruppe und eine sprechende Bezeichnung. Nachdem Sie die neuen Einträge gespeichert haben, ist Ihre kundeneigene Tabellenberechtigungsgruppe angelegt.
Passwortparameter und gültige Zeichen für Passwörter einstellen
Wie in anderen Systemen auch, ist die Benutzerpflege und Rollen-/Profilzuordnung auf den Kreis der Benutzeradministratoren einzugrenzen. Im Gegensatz zu den Vorsystemen werden hier jedoch die Rollen und Profile gepflegt, so dass entsprechende Rechte an die Rollen-/Profiladministratoren zu vergeben sind.
Die Grundidee des Ansatzes, den wir Ihnen im Folgenden beschreiben, ist es, für die Definition der erforderlichen Berechtigungen das bisherige Nutzungsverhalten auszuwerten (Reverse Engineering). Im ersten Schritt konfigurieren Sie die Aufbewahrungszeit von Nutzungsdaten, denn jedes SAP-System protokolliert die Aufrufe von startbaren Anwendungen. So wird nicht nur protokolliert, welcher Benutzer zu welchem Zeitpunkt welche Transaktion, sondern auch, welcher Benutzer welchen Funktionsbaustein aufgerufen hat. Diese Daten werden daraufhin in Tages-, Wochen- und Monatsaggregaten verdichtet und für einen bestimmten Zeitraum abgespeichert. Diese statistischen Nutzungsdaten sind ursprünglich für die Performanceanalyse gedacht; Sie können Sie aber auch für die Ermittlung der erforderlichen Berechtigungen verwenden. Die Konfiguration der Vorhaltezeit der statistischen Nutzungsdaten haben wir in Tipp 26, »Nutzungsdaten für die Rollendefinition verwenden«, beschrieben. Beachten Sie auch unsere Erläuterungen zur Einbindung des Mitbestimmungsorgans Ihrer Organisation bei der Speicherung und Verwendung der statistischen Nutzungsdaten. Zusätzlich zu den in Tipp 26 beschriebenen Einstellungen sollten Sie die Vorhaltezeit auch für die Tasktypen RFC-Client-Profil (WO), RFC-Client-Destination-Profil (WP), RFC-Server-Profil (WQ) und RFC-Server-Destination-Profil (WR) mithilfe des Pflege-Views SWNCCOLLPARREO anpassen.
Mit "Shortcut for SAP systems" steht ein Tool zur Verfügung, das die Zuweisung von Berechtigungen auch bei Ausfall des IdM-Systems ermöglicht.
Mit der Implementierung des SAP-Hinweises 1870622 wird eine Funktionserweiterung für die Transaktion SE97 bereitgestellt.
Ein Anwender meldet sich, dass ihm ein Berechtigungsfehler angezeigt wird, obwohl Sie ihm die erforderlichen Berechtigungen erteilt haben.