Berechtigungen mit dem Status Gepflegt
Massenpflege von abgeleiteten Rollen vornehmen
Wenn Sie nun die Zeile mit der von Ihnen erstellten Parametertransaktion markieren und auf den Button Vorschlagswerte klicken, wird automatisch das Berechtigungsobjekt S_TABU_NAM mit den korrekten Vorschlagswerten, also dem Tabellennamen in der Transaktion SU24 angelegt. Prüfen Sie diese Vorschlagswerte, indem Sie auf Ja in der Spalte S_TABU_NAM klicken. Sie landen nun in einem View aus der Transaktion SU24 und können in den Tabellen Berechtigungsobjekte und Berechtigungsvorschlagswerte (für alle Berechtigungsobjekte) prüfen, welche Änderungen am Objekt S_TABU_NAM automatisch vorgenommen worden sind. Nutzen Sie den SAP-Hinweis 1500054 für weitere Informationen und eine Implementierungsanleitung. Der SAP-Hinweis liefert darüber hinaus den Analysereport SUSR_TABLES_WITH_AUTH, der Tabellenberechtigungen für Anwender oder Einzelrollen angibt. Dieser Report prüft auf Benutzer- oder Einzelrollenebene, für welche Tabellen aufgrund der Berechtigungsobjekte S_TABU_DIS oder S_TABU_NAM Berechtigungen vorhanden sind. Der Report prüft nicht, ob der Anwender über die ebenfalls notwendigen Transaktionsstartberechtigungen, wie z. B. S_TCODE, verfügt. Prüfen Sie z. B., welche Tabellenberechtigungen ein bestimmter Benutzer aufgrund des Berechtigungsobjekts S_TABU_DIS hat, erhalten Sie die Informationen zu den Tabellennamen, zur dazugehörigen Tabellenberechtigungsgruppe und zu den berechtigten Aktivitäten. Die Berechtigungen zum Zugriff auf Tabellen direkt zu vergeben, ist flexibel und sinnvoll, ist nur dann nicht empfehlenswert, wenn der Mechanismus ausgehebelt wird, indem der Anwender über generische Pflegetools generellen Tabellenzugriff erhält.
Mit der ABAP-Anweisung AUTHORITY-CHECK im Quelltext des Programms prüfen Anwendungen, ob der Benutzer über die entsprechenden Berechtigungen verfügt und ob diese Berechtigungen angemessen definiert sind, d.h. ob der Benutzeradministrator die vom Programmierer für die Felder erforderlichen Werte vergeben hat. Auf diese Weise können Sie auch Transaktionen schützen, die indirekt von anderen Programmen aufgerufen werden. AUTHORITY-CHECK sucht in den im Benutzerstammsatz angegebenen Profilen nach Berechtigungen für das in der Anweisung AUTHORITY-CHECK angegebene Berechtigungsobjekt. Stimmt eine der ermittelten Berechtigungen mit einem der angegebenen Werte überein, war die Prüfung erfolgreich.
User- & Berechtigungs-Management mit SIVIS as a Service
SAP liefert für das Records- und Case-Management Berechtigungsobjekte aus, über die Sie u.a. im Zusammenspiel mit entsprechenden Customizing-Einstellungen den Zugriff auf Akten, Vorgänge, Dokumente und Posteingangsstücke für einzelne Organisationseinheiten Ihrer Aufbauorganisation steuern können. SAP liefert vorgefertigte Rollen aus, die eindeutig umgrenzte Berechtigungen zu den jeweiligen Aufgabenbereichen der Mitarbeiter enthalten. Diese Rollen enthalten u. a. auch die Berechtigungsobjekte für das Records Management und das Case Management. Sie können die Rollen als Vorlage für Ihre eigenen Rollen verwenden und an Ihre Anforderungen anpassen.
Der nächste Schritt ist nun die Pflege der Berechtigungswerte. Auch hier können Sie sich die Werte des Berechtigungstrace zunutze machen. Wenn Sie aus dem Rollenmenü auf die Registerkarte Berechtigungen wechseln, werden Startberechtigungen für alle im Rollenmenü enthaltenen Anwendungen generiert und Standardberechtigungen aus den Berechtigungsvorschlägen angezeigt. Sie können diese Vorschlagswerte nun mit den Tracedaten ergänzen, indem Sie in der Button-Leiste auf den Button Trace klicken. Suchen Sie sich zuerst das Berechtigungsobjekt aus, das Sie pflegen möchten. Für jedes Berechtigungsobjekt kann es mehrere Berechtigungen geben. Anschließend laden Sie die Tracedaten, indem Sie auf Trace auswerten klicken. Es öffnet sich wieder ein neues Fenster, in dem Sie die Auswertungskriterien für den Trace festlegen und den Filter für Anwendungen entweder nur auf Anwendungen im Menü oder auf alle Anwendungen beschränken können. Ist der Trace einmal ausgewertet, werden Ihnen alle geprüften Berechtigungswerte für das ausgewählte Berechtigungsobjekt angezeigt. Mit dem Button Übernehmen können Sie hier nun die Werte zeilenweise, spaltenweise oder feldweise übernehmen.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Um die Abbildung von Berechtigungen für die Controllingberichte zu erleichtern, können Sie Berechtigungen für Knoten dieser Hierarchien erteilen.
Eine weitere Besonderheit im Rollenmenü ist die Pflege der objektbasierten Navigation.