Löschen von Änderungsbelegen
Fazit und Ausblick
Mit der ABAP-Anweisung AUTHORITY-CHECK im Quelltext des Programms prüfen Anwendungen, ob der Benutzer über die entsprechenden Berechtigungen verfügt und ob diese Berechtigungen angemessen definiert sind, d.h. ob der Benutzeradministrator die vom Programmierer für die Felder erforderlichen Werte vergeben hat. Auf diese Weise können Sie auch Transaktionen schützen, die indirekt von anderen Programmen aufgerufen werden. AUTHORITY-CHECK sucht in den im Benutzerstammsatz angegebenen Profilen nach Berechtigungen für das in der Anweisung AUTHORITY-CHECK angegebene Berechtigungsobjekt. Stimmt eine der ermittelten Berechtigungen mit einem der angegebenen Werte überein, war die Prüfung erfolgreich.
Die Einstellung der Filter in Transaktion SM19 bestimmt, welche Ereignisse protokolliert werden sollen. Zusätzlich müssen Sie das Security Audit Log über die Profilparameter in der Transaktion RZ11 aktivieren und technische Einstellungen vornehmen. Eine Übersicht der Profilparameter für das Security Audit Log finden Sie in der folgenden Tabelle. Bei den in der Tabelle angegebenen Werten handelt es sich um einen Vorschlag, nicht aber um die Default-Werte. Das Security Audit Log ist erst dann vollständig konfiguriert, wenn sowohl die Profilparameter als auch ein aktives Filterprofil gepflegt worden sind. Beachten Sie, dass das Security Audit Log zwei Konfigurationsmöglichkeiten bietet: die statische und die dynamische Konfiguration. Bei der statischen Konfiguration werden die Einstellungen der Filter persistent in der Datenbank gespeichert; sie werden nur bei einem Systemstart übernommen. Dafür werden die Filtereinstellungen auch bei jedem nachfolgenden Systemstart als aktuelle Konfiguration herangezogen und sollten daher immer gepflegt werden. Bei der dynamischen Konfiguration können die Einstellungen im laufenden Betrieb geändert werden. Die dynamische Konfiguration wird verwendet, wenn Einstellungen temporär angepasst werden müssen. Hierbei können Sie alle Filtereinstellungen verändern, nicht aber die Anzahl der vorhandenen Filter. Die dynamische Konfiguration bleibt bis zum nächsten Systemstart aktiv.
Den Berechtigungstrace für die Ermittlung von Vorschlagswerten für kundeneigene Entwicklungen verwenden
In den folgenden Ausführungen werden zunächst die einzelnen Komponenten des Berechtigungskonzepts beschrieben und eingeordnet. Anschließend wird erläutert, welche Aufgaben mit dem Profilgenerator automatisiert werden können.
Customizing-Rollen sind aufgrund des Projektcharakters zeitlich befristet. Pflegen Sie daher bei der Benutzerzuordnung das Enddatum. Transaktionen können Sie nicht zusätzlich manuell zuordnen, wenn Sie eine Rolle direkt aus einem Projekt oder einer Projektsicht heraus erstellt haben. Umgekehrt können Sie keine bestehende Rolle mit Transaktionen im Menü als Customizing-Rolle verwenden. Die über eine Customizing-Rolle zugeordneten Transaktionen werden nicht im Session Manager oder im SAP-Easy-Access-Menü dargestellt, sondern Sie können sie nur über die Sicht im Customizing einsehen.
Die Zuweisung einer Rolle für einen befristeten Zeitraum ist mit "Shortcut for SAP systems" in Sekundenschnelle getan und erlaubt Ihnen die schnelle Fortsetzung Ihres Go-Live.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Berechtigungen.
Prüfen Sie nun die Systemvariable SY-SUBRC.
Der SAP OSS Hinweis 101146 gibt hier einen guten Überblick.