Kontextabhängige Berechtigungen
Kritische Basisberechtigungen, die nicht in Anwendungsrollen enthalten sein sollten, erkennen
Benötigen Sie alte Auditergebnisse nicht mehr, können Sie diese mit der Transaktion SAIS über den Button (Administration der Auditumgebung) archivieren oder löschen. Die Selektion der Auditergebnisse erfolgt anhand der Auditstrukturen, der Prüfnummern oder des Eintragsdatums (siehe Abbildung nächste Seite).
Hilfe, ich habe keine Berechtigungen (SU53)! Du möchtest eine Transaktion starten, hast aber keine Berechtigungen? Oder der komplexere Fall: Du öffnest die ME23N (Bestellung anzeigen), siehst aber keine Einkaufspreise? Starte direkt danach die Transaktion SU53, um eine Berechtigungsprüfung durchzuführen. Dir werden die fehlenden Berechtigungsobjekte “rot” angezeigt. Du kannst die SU53 auch für anderen Benutzer ausführen, indem du im Menü auf Berechtigungswerte > Andere Benutzer klickst und den entsprechenden SAP-Benutzernamen eingibst.
ABAP-Quelltexte über RFC installieren und ausführen
Die soeben angelegten Customizing-Objekte binden Sie nun in die eigene IMG-Struktur ein. Dazu öffnen Sie wieder die Transaktion SIMGH, rufen Ihre Struktur im Änderungsmodus auf und fügen sie unter dem zuvor angelegten Ordner ein, indem Sie Aktivität > eine Ebene tiefer einfügen wählen. Sie sollten schon mit der Anlage der Customizing-Objekte eine gleichnamige Dokumentation anlegen. Dazu wählen Sie auf der Registerkarte Dokument den Button Anlegen aus und verfassen einen entsprechenden Text, den Sie speichern und anschließend aktivieren.
Die erste Zeile definiert, dass der Zugriff auf alle Dateien verboten ist, sofern für sie nicht in den weiteren Zeilen andere Einstellungen vorgenommen worden sind. Der Asterisk (*) steht hier an erster Position und in diesem Fall für alle Dateien und Pfade. Steht der Asterisk an einer anderen Position, wird er als Teil des Dateinamens interpretiert, was z. B. in Microsoft Windows gar nicht erlaubt ist. In unserer Beispieltabelle wird durch das Setzen der Schalter FS_NOREAD = X und FS_NOWRITE = X für alle Pfade das Lesen und Schreiben untersagt. Die Tabelle wird damit zu einer White List. Diese ist aus Sicherheitsgründen einer Black List vorzuziehen. SPTH wird dagegen zur Black List, wenn Sie die erste Zeile mit PATH = * in unserem Beispiel entfernen oder keinen der Schalter FS_NOREAD, FS_NOWRITE oder FS_BRGRU setzen. Die zweite Zeile mit PATH = /tmp erlaubt als Ausnahme von dem in der ersten Zeile für alle Dateien und Pfade definierten Zugriffsverbot den Lese- und Schreibzugriff für alle Dateien, die mit /tmp beginnen, analog zu einem Berechtigungswert /tmp*. Diese Einstellung beschränkt sich nicht auf Unterverzeichnisse, sondern umfasst z. B. auch alle Dateien, deren Name mit /tmp-xy beginnt. Die dritte Zeile mit PATH = /tmp/myfiles definiert mit FS_BRGRU = FILE eine Berechtigungsgruppe und löst damit die anschließende Berechtigungsprüfung auf das Objekt S_PATH aus. Der Schalter SAVEFLAG = X definiert, dass diese Dateien in eine Sicherungsprozedur aufgenommen werden; dies ist allerdings für die Berechtigungsvergabe nicht relevant.
Berechtigungen können auch über "Shortcut for SAP systems" zugewiesen werden.
Insgesamt gibt es folgende drei Traces zu Berechtigungsprüfungen: 1) Berechtigungstrace (Transaktion STUSOBTRACE) 2) Systemtrace (Transaktion ST01 oder STAUTHTRACE) 3) Benutzertrace (Transaktion STUSERTRACE).
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Jede Rolle kann auf beliebig viele Transportaufträge geschrieben werden.