Tabellenberechtigungsgruppen pflegen
Berechtigungsrollen (Transaktion PFCG)
Nach der Erstellung eines Berechtigungskonzepts beginnt die Umsetzung im System. Auf dem Markt gibt es Lösungen, die auf der Basis von Microsoft Excel PFCG-Rollen im Handumdrehen anlegen. Sie sollten allerdings einiges beachten. Sie haben Ihre Rollen in Form von Rollenmatrizen und Ihre Organisationsebenen (Orgebenen) in Form von Organisationssets (Orgsets) definiert? Das alles haben Sie in Excel-Dokumenten gespeichert und wünschen sich nun eine Möglichkeit, um diese Informationen einfach per Knopfdruck in PFCG-Rollen zu gießen, ohne langwierig Rollenmenüs erstellen oder anschließend große Mengen von Rollen ableiten zu müssen, je nachdem wie viele Organisationssets Sie definiert haben?
Die BAdIs BADI_IDENTITY_CHECK, BADI_IDENTITY_UPDATE und BADI_IDENTITY_SU01_CREATE wurden mit dem Release SAP NetWeaver 7.31 eingeführt. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1796501. Für diese BAdIs gibt es Implementierungsbeispiele, und sie sind Teil des Erweiterungsspots SUID_IDENTITY. Mit dem BAdI BADI_IDENTITY_CHECK können Sie zusätzliche Prüfungen in der Pflege der Benutzerstammdaten einführen, z. B. ob bestimmte Felder in der Transaktion SU01 gepflegt wurden. Mit dem BAdI BADI_IDENTITY_UPDATE können Sie beim Ändern von Benutzerdaten verschiedene Aktionen veranlassen (siehe Tipp 98, »E-Mails verschlüsseln«). Mit dem BAdI BADI_IDENTITY_SU01_CREATE können Sie bei der Anlage von Benutzern einzelne Felder der Transaktion SU01 mit Werten aus einer anderen Datenquelle vorbelegen. Dieses BAdI deckt die von uns beschriebene Anforderung ab; daher erläutern wir im Folgenden die Implementierung dieses BAdIs. Verwenden Sie hierzu die Transaktion SE18, in der Sie auch die Implementierungsbeispielklasse einsehen können. Für das BAdI BADI_IDENTITY_SU01_CREATE müssen Sie zum Interface IF_BADI_SU01_CREATE die Methode CREATE implementieren. Das BAdI wird nur beim Start der Transaktion SU01 aufgerufen.
Über die Wichtigkeit des Berechtigungskonzept bei der Umstellung auf SAP S/4HANA
Sie haben eine Organisationsstruktur, die 4 Hierarchieebenen - Behörde, Abteilung, Referat, Sachgebiet) umfasst. Das Berechtigungskonzept in Ihrer Organisation sieht vor, dass der Zugriff (Bearbeitung) auf die Records Management Objekte für einen Mitarbeiter nur innerhalb seiner eigenen Organisationseinheit erlaubt sein soll. Die Berechtigungsprüfung soll aber nur auf drei Ebenen erfolgen. Wenn also ein Referat in weitere Sachgebiete untergliedert ist, sollen alle Mitarbeiter des Referats und der Sachgebiete dieselben Berechtigungen haben. Da Abteilung 2 und Abteilung 3 sehr eng zusammen arbeiten, sollen die Mitarbeiter von Abteilung 2 alle Akten, Vorgänge und Dokumente der Abteilung 3 lesen können und umgekehrt.
Die erste Zeile definiert, dass der Zugriff auf alle Dateien verboten ist, sofern für sie nicht in den weiteren Zeilen andere Einstellungen vorgenommen worden sind. Der Asterisk (*) steht hier an erster Position und in diesem Fall für alle Dateien und Pfade. Steht der Asterisk an einer anderen Position, wird er als Teil des Dateinamens interpretiert, was z. B. in Microsoft Windows gar nicht erlaubt ist. In unserer Beispieltabelle wird durch das Setzen der Schalter FS_NOREAD = X und FS_NOWRITE = X für alle Pfade das Lesen und Schreiben untersagt. Die Tabelle wird damit zu einer White List. Diese ist aus Sicherheitsgründen einer Black List vorzuziehen. SPTH wird dagegen zur Black List, wenn Sie die erste Zeile mit PATH = * in unserem Beispiel entfernen oder keinen der Schalter FS_NOREAD, FS_NOWRITE oder FS_BRGRU setzen. Die zweite Zeile mit PATH = /tmp erlaubt als Ausnahme von dem in der ersten Zeile für alle Dateien und Pfade definierten Zugriffsverbot den Lese- und Schreibzugriff für alle Dateien, die mit /tmp beginnen, analog zu einem Berechtigungswert /tmp*. Diese Einstellung beschränkt sich nicht auf Unterverzeichnisse, sondern umfasst z. B. auch alle Dateien, deren Name mit /tmp-xy beginnt. Die dritte Zeile mit PATH = /tmp/myfiles definiert mit FS_BRGRU = FILE eine Berechtigungsgruppe und löst damit die anschließende Berechtigungsprüfung auf das Objekt S_PATH aus. Der Schalter SAVEFLAG = X definiert, dass diese Dateien in eine Sicherungsprozedur aufgenommen werden; dies ist allerdings für die Berechtigungsvergabe nicht relevant.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Die Webseite www.sap-corner.de bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Sobald Sie die Anwendung aufrufen und die relevante Stelle im Code erreicht wird, startet der Debugger, und Sie können sich schrittweise durch das Programm bewegen.
Das ABAP Test Cockpit erreichen Sie über das Kontextmenü des zu prüfenden Objekts über Prüfen > ABAP Test Cockpit.