Vergabe von Rollen
RFC-Schnittstellen
Wie ist es möglich, von einer Transaktion in eine andere zu springen, ohne dass die Berechtigung für die Zieltransaktion geprüft wird? Mit der Anweisung CALL TRANSACTION! In diesem Tipp erläutern wir Ihnen, wie Sie Berechtigungen für Absprünge von einer Transaktion in eine andere über den ABAP-Befehl CALL TRANSACTION vergeben bzw. aktiv bestimmen können, welche Prüfungen durchgeführt werden sollen. Bei der Anweisung CALL TRANSACTION wird die Berechtigung des Benutzers zur Ausführung der aufgerufenen Transaktion nicht automatisch überprüft. Falls keine Überprüfung im aufgerufenen Programm stattfindet, muss diese im aufrufenden Programm durch zusätzliche Funktionsbausteine für die Berechtigungsprüfung eingebaut werden.
Wenn ein Benutzer keine Druckberechtigung für ein Ausgabegerät hat (Berechtigungsobjekt S_SPO_DEV), wird ein eventuell gesetztes Kennzeichen für den Sofortdruck wieder zurückgenommen, d. h., zur Laufzeit des Job- Steps würde ein dabei erstellter Spoolauftrag nicht sofort gedruckt. Werden beim Einplanen eines Steps Archivparameter übergeben, wird eine Prüfung auf das Objekt S_WFAR_PRI ausgeführt. Hat der Step-Benutzer keine passende Berechtigung, wird eine Fehlermeldung ausgegeben.
Objekt S_BTCH_NAM und S_BTCH_NA1 (Nutzung fremder Benutzer in Steps)
Aufgrund der Komplexität eines SAP®-Berechtigungskonzepts ist es notwendig, dass alle wesentlichen Aspekte in einem schriftlich dokumentierten Berechtigungskonzept niedergeschrieben sind. Darin sollten die wesentlichen Prozesse beschrieben sein, aber auch der Umgang mit der Zuweisung von Berechtigungen über Rollen. Insbesondere die Nomenklatur eigens erstellter Rollen ist hierbei sauber zu definieren. Es sollte daher überprüft werden, ob sämtliche Änderungen seit der letzten Prüfung im schriftlichen Berechtigungskonzept dokumentiert wurden. Immerhin dient dieses Dokument dem Prüfer als Vorlage für den sogenannten Soll-Ist-Vergleich. Das bedeutet, dass der Prüfer einen Abgleich bei den wesentlichen prüfungsrelevanten Themen zwischen dem Dokument und dem Ist-Stand im SAP®-System vornimmt. Jede Abweichung kann zu einer Feststellung führen, die es zu vermeiden gilt.
Zum Lesen oder Ändern von Daten muss ein Benutzer sowohl das Privileg haben, eine bestimmte Aktion ausführen zu dürfen, als auch das Privileg, auf das Objekt zugreifen zu können. In SAP HANA werden die folgenden Privilegien unterschieden.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Dabei kann man durchaus auch Excel-basierte Daten verwenden – so wie beim skizzierten Anwendungsfall mit eCATT – da es sich für die betrachteten Rollen um eine einmalige Aktion handelt und im Hintergrund SAP-Standardprogramme verwendet werden.
Zu diesem Zeitpunkt spezifizieren Sie allerdings noch nicht, welche Referenzrollen für diese Organisationswerte abgeleitet werden sollen.