Korrekte Einstellungen der wesentlichen Parameter
Manuelle Berechtigungen
Die weiteren Felder in der Tabelle SMEN_BUFFC beschreiben die Struktur der Favoriten, wobei das Feld OBJECT_ID der eindeutige Schlüssel des Favoriteneintrags ist. Im Feld PARENT_ID finden Sie die Objekt-ID des übergeordneten Eintrags, und das Feld MENU_LEVEL beschreibt die Stufe des Eintrags in der Ordnerstruktur der Favoriten. Die Reihenfolge der Sortierung der Favoriteneinträge können Sie aus dem Feld SORT_ORDER ablesen.
Wurde ein Eintrag in der Transaktion SE97 korrekt angelegt, wird eine Berechtigungsprüfung genauso durchgeführt, wie es bei einer Transaktionsstartberechtigung der Fall ist. Dieser Ansatz erfordert daher eine exakte und vollständige Konfiguration für jede Transaktion, die aufgerufen wird. Der erforderliche Aufwand und der Raum für Fehler sind entsprechend groß. Der ABAP-Befehl CALL TRANSACTION verursacht keine Transaktionsstartberechtigungprüfung. Ohne eine Berechtigungsprüfung könnte das ABAP-Programm Benutzern ungewollt Zugriff auf Systemressourcen erlauben. Solche Berechtigungsprobleme führen in vielen Fällen zu einer versteckten Compliance-Verletzung, denn dadurch ist die Nachvollziehbarkeit von Benutzeraktionen im SAP-System nicht mehr gewährleistet. Ein Entwickler sollte sich nicht auf die Funktionalität der Transaktion SE97 verlassen und deshalb die möglichen Berechtigungsprüfungen auch im Programmcode einbauen. Daher muss eine der folgenden explizit codierten Berechtigungsprüfungen für die Anweisung CALL TRANSACTION erfolgen.
Berechtigungstraces anwendungsserverübergreifend auswerten
Neben diesen Voraussetzungen können auch andere Einstellungen dafür sorgen, dass die Transaktion ohne Prüfung ausgeführt werden darf: Die Prüfung der Berechtigungsobjekte ist über Prüfkennzeichen (in der Transaktion SU24) ausgeschaltet. Dies ist nicht für Berechtigungsobjekte der Bereiche SAP NetWeaver und SAP ERP HCM möglich, betrifft also z. B. nicht die Prüfung auf S_TCODE. Die Prüfungen für bestimmte Berechtigungsobjekte können für alle Transaktionen global ausgeschaltet sein (in Transaktion SU24 oder SU25). Dies ist nur möglich, wenn der Profilparameter AUTH/NO_CHECK_IN_SOME_CASES den Wert Y hat. Zusätzlich können ausführbare Transaktionen aber auch durch die Zuordnung eines Referenzbenutzers entstehen; die ausführbaren Transaktionen des Referenzbenutzers werden ebenfalls berücksichtigt.
Abhängig von der aufgerufenen Transaktion, kann die Anwendung über diese zusätzliche Berechtigungsprüfung granularer geprüft werden. Aus diesem Grund erfordern Transaktionen, die mit zusätzlichen Parametern aufgerufen werden, unter Umständen mehr als ein Berechtigungsobjekt und müssen unbedingt programmatisch geschützt werden. Das folgende Listing zeigt ein Beispiel für eine Berechtigungsprüfung, die sicherstellt, dass der angemeldete Anwender die erforderliche Berechtigung hat, um die Transaktion SU24 zu starten.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Das Icon bedeutet, dass die Tabellenprotokollierung für die selektierte Tabelle ausgeschaltet ist.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Positionieren Sie den Cursor auf dem Eintrag SAP Customizing Einführungsleitfaden unter Meine Favoriten, und klicken Sie anschließend auf den Button Struktur erweitern.