Das SAP-Berechtigungskonzept
SU2X_CHECK_CONSISTENCY & SU24_AUTO_REPAIR
Prüfen Sie nun die Systemvariable SY-SUBRC. Beträgt der Wert 0, war die Berechtigungsprüfung erfolgreich. Beträgt der Wert 4, war die Prüfung nicht erfolgreich. Bei einem Wert von 8 besteht eine Inkonsistenz in der Definition des Berechtigungsobjekts und der Prüfung im Code – dies sollte nicht passieren! Beträgt der Wert 12, ist die Berechtigung nicht Teil Ihres Berechtigungspuffers.
In der einzigen Methode des BAdIs, CHANGE_ITEMS, programmieren Sie die erforderlichen Prüfungen, z. B. auf bestimmte Datenkonstellationen oder Berechtigungen. Diese können sich auf alle Felder in der Struktur FAGLPOSX beziehen. Dabei legen Sie fest, dass während der Ausführung der Methode alle Positionen gelöscht werden, für die die Prüfung nicht erfolgreich war. Diese Implementierung des BAdIs ist eine Ergänzung zu dem im zweiten Beispiel beschriebenen Business Transaction Event 1650. Analog zur Implementierung der Filterung der Postenjournalanzeige können Sie bei der Anzeige von Belegen in der Transaktion FB03 vorgehen. Implementieren Sie in diesem Fall die erforderlichen Prüfungen im BAdI FI_AUTHORITY_ITEM.
Berechtigungsprüfungen in SAP HANA verstehen
Achten Sie darauf, bei der Programmierung Ihrer Berechtigungsprüfung immer den Returncode SY-SUBRC abzuprüfen und zu definieren, was im Falle einer nicht erfolgreichen Berechtigungsprüfung passieren soll, d. h. wenn SY-SUBRC ungleich 0 ist. In den meisten Fällen kommt es zu einer Fehlermeldung, und das Programm wird abgebrochen.
Abhängig von Ihrem SAP-NetWeaver-Releasestand müssen Sie den SAP-Hinweis 1731549 oder ein entsprechendes Support Package einspielen. Danach ist es nicht mehr möglich, neue Benutzer anzulegen, deren Namen nur aus Varianten von Leerzeichen oder nicht sichtbaren Sonderzeichen bestehen. Änderungen an bestehenden Benutzern sind aber weiterhin möglich. Über den ebenfalls in SAP-Hinweis 1731549 enthaltenen Customizing-Schalter BNAME_RESTRICT können Sie selbst steuern, ob Sie alternative Leerzeichen an bestimmten Stellen der Benutzer-ID erlauben möchten.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Berechtigungen für das Datenbanksystem (System Privileges): System Privileges sind SQL-Berechtigungen, die administrative Aktionen auf der gesamten Datenbank steuern.
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben.