Aktivitätslevel
Architektur von Berechtigungskonzepten
Privilegien steuern die Nutzung aller in der HANA-Datenbank enthaltenen Objekte und Daten. Für die Nutzung einer Anwendung müssen Sie in der Regel einem Benutzer viele verschiedene Privilegtypen zuweisen. Um die komplexen Zusammenhänge bei der Zuordnung der tatsächlich benötigten Privilegien in überschaubarer Weise berücksichtigen zu können, werden Privilegien in SAP HANA zu Rollen gebündelt. In unserem Beispiel ist die Rolle MODELING in der Rolle SAPT04_CONTENT_ACTIVATION enthalten. In SAP HANA ist es sowohl möglich, eine Rolle mehreren Rollen als auch mehrere Rollen einer Rolle zuzuordnen. So können komplexe Rollenhierarchien zusammengestellt werden.
Die erste Anforderung nach zusätzlichen Prüfungen bei der Durchführung von Belegbuchungen können Sie mithilfe der Belegvalidierung umsetzen. In diesem Beispiel gehen wir davon aus, dass der Beleg über eine Schnittstelle gebucht wird und Sie Berechtigungen für kundeneigene Berechtigungsobjekte und/oder bestimmte Datenkonstellationen prüfen möchten. Für die Belegvalidierung gibt es unterschiedliche Zeitpunkte. Der komplette Beleg kann immer validiert werden, stehen Ihnen nur die Informationen aus Belegkopf (Zeitpunkt 1) oder Belegposition (Zeitpunkt 2) zur Verfügung, kann dies abhängig vom Szenario auch ausreichend sein. In solchen Fällen müssen Sie die Validierung unter den entsprechenden Zeitpunkten anlegen. Bevor Sie einen User-Exit in einer Validierung ausprägen können, sind einige Vorbereitungen zu treffen.
Generischer Zugriff auf Tabellen
Wir möchten Ihnen nun die notwendigen Einstellungen in der versendenden Anwendung beschreiben und verwenden dazu das Beispiel des verschlüsselten Versands von Initialpasswörtern. Um diese Anforderung umzusetzen, können Sie das BAdI BADI_IDENTITY_UPDATE nutzen. Dieses BAdI steht Ihnen ebenfalls nur per Support Package ab SAP NetWeaver AS ABAP 7.31 zur Verfügung. Details zu den relevanten Support Packages finden Sie im SAP-Hinweis 1750161. Für eine Implementierung des BAdIs verwenden Sie die Transaktion SE18; dort können Sie auch die Beispielklasse CL_EXM_IM_IDENTITY_UPDATE einsehen. Für das BAdI BADI_ IDENTITY_UPDATE müssen Sie zum Interface IF_BADI_IDENTITY_UPDATE die Methode SAVE implementieren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Die Webseite "www.sap-corner.de" bietet viele nützliche Informationen zum Thema SAP Berechtigungen.
Die künftige Zuordnung solcher Transaktionen im SAP-Rollenkonzept sollte dann kritisch hinterfragt werden.