Benutzerstammdaten
Konzept für Eigenentwicklungen
Beim Starten eines Reports mit der ABAP-Anweisung SUBMIT REPORT prüft das System das Berechtigungsobjekt S_PROGRAM, vorausgesetzt das Programm wurde einer Programmberechtigungsgruppe in Transaktion SE38 zugeordnet. Ist diese Zuordnung für Ihre Systemumgebung nicht ausreichend, können Sie mit dem Report RSCSAUTH Ihre eigene Gruppenzuordnung definieren. Sie müssen diese Zuordnung nach der Installation von Support Packages oder Upgrades prüfen und bei Bedarf eine Neuzuordnung der Reports vornehmen.
Dank der neuen Funktion, die mit dem Support Package, das im SAP-Hinweis 1847663 genannt ist, ausgeliefert wird, ist es möglich, Tracedaten aus dem Berechtigungstrace bei der Vorschlagswertpflege in der Transaktion SU24 zu verwenden. Der Systemtrace, den Sie über die Transaktion ST01 oder die Transaktion STAUTHTRACE aufrufen können (lesen Sie hierzu auch Tipp 31, »Traceauswertung optimieren«), ist ein mandantenabhängiger Kurzzeittrace, den Sie auf Benutzer oder Anwendungen einschränken können.
Berechtigungen in SAP-Systemen: worauf Admins achten sollten
Solange die entsprechenden Tests sowohl im Entwicklungs- als auch im Qualitätssicherungssystem nicht abgeschlossen sind, wird den Testern zusätzlich zu ihren bisherigen Rollen das Profil SAP_NEW zugewiesen. Auf diese Weise wird gewährleistet, dass die Geschäftsvorfälle ohne Berechtigungsfehler durchlaufen werden können. Mit parallel aktivierten Berechtigungstraces (Transaktionen ST01 oder STAUTHTRACE) können die benötigten Berechtigungen ermittelt und dem Benutzer über die entsprechenden Rollen zugewiesen werden.
Öffnen Sie hierzu in der Transaktion SU24 die Anwendung, die Sie anpassen möchten. Um die fehlenden Vorschlagswerte zu pflegen, können Sie hier nun den Trace starten, indem Sie auf den Button Trace klicken. Sie können selbstverständlich auch den Systemtrace für Berechtigungen über die Transaktionen ST01 oder STAUTHRACE verwenden. Es öffnet sich ein neues Fenster. Klicken Sie hier auf den Button Trace auswerten, und wählen Sie Systemtrace (ST01) > Lokal. Im sich daraufhin öffnenden Fenster haben Sie nun die Gelegenheit, den Trace auf einen bestimmten Benutzer einzuschränken oder ihn auch direkt zu starten. Tragen Sie dafür einen Benutzer ein, der die Anwendung, die Sie aufzeichnen möchten, aufruft, und klicken Sie anschließend auf Trace einschalten. Nun können Sie in einem separaten Modus die Anwendung aufrufen und ausführen, die Sie anpassen möchten. Sobald Sie die Aktivitäten, deren Berechtigungsprüfungen Sie benötigen, ausgeführt haben, d. h. mit dem Trace fertig sind, kehren Sie zu Ihrer Anwendung in der Transaktion SU24 zurück und stoppen den Trace über den Button Trace ausschalten. Um die Auswertung vorzunehmen, klicken Sie nun auf Auswerten. Um die Tracedaten der jeweiligen Berechtigungsobjekte zu erhalten, wählen Sie im linken oberen Bereich in der Auswahlliste Berechtigungsobjekt das Berechtigungsobjekt aus, das Sie anpassen möchten.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Wenn Sie mehr zum Thema SAP Berechtigungen wissen möchten, besuchen Sie die Webseite www.sap-corner.de.
Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, deren Benutzerstammsatz das Profil enthält, sobald sie sich das nächste Mal am System anmelden.
Für Anwendungen, die ohne Pfadangabe auf Dateien zugreifen, gilt diese Zugriffsbeschränkung hingegen nicht; Dateien im Verzeichnis DIR_HOME sind also möglicherweise ausgenommen.