Berechtigungsobjekte der PFCG-Rolle
SAP Code Vulnerability Analyzer verwenden
Kontrollieren Sie zunächst in der Transaktion SCC4, ob die Ausführung von eCATT erlaubt ist. Starten Sie dann die Transaktion SECATT. Beim Einstieg können Sie Testskripte und Testkonfigurationen definieren und ändern. Erstellen Sie zunächst ein Testskript. Stellen Sie es sich als Blaupause vor oder als Ablaufvorschrift dazu, wie neue, abgeleitete Rollen erstellt werden. Das Testskript wird später Ihre Aufzeichnung enthalten. Geben Sie dem Skript einen sprechenden Namen, z. B. Z_MASSENERSTELLUNG_ABLEITUNGEN. Klicken Sie dann auf den Button Objekt anlegen. Sie gelangen nun zur Registerkarte Attribute, auf der Sie die allgemeinen Rahmendaten angeben. Wechseln Sie anschließend auf die Registerkarte Editor. Nun geht es zur Aufzeichnung, in der eCATT-Sprache Muster genannt. Klicken Sie auf den Button Muster, und geben Sie an, dass Sie die Transaktion PFCG aufzeichnen möchten, indem Sie die Einstellungen UIAnsteuerung und TCD (Record) wählen. Das System wird vorschlagen, die Schnittstelle dazu »PFCG_1« zu nennen; dies können Sie einfach bestätigen. Mit der Bestätigung des Dialogs wird sofort die Aufzeichnung gestartet; Sie landen daher in der Transaktion PFCG. Wir wollen die Anlage einer Einzelrolle aufzeichnen, die von einer Referenzrolle abgeleitet wird. Gehen Sie die entsprechenden Schritte in der Transaktion PFCG durch, und versuchen Sie, überflüssige Schritte zu vermeiden – denn jeder Schritt, den Sie durchführen, macht Ihre Aufzeichnung größer und unübersichtlicher. Geben Sie den Namen der abgeleiteten Rolle ein – diesen können wir später beim Abspielen mit eCATT beeinflussen – und legen Sie die Rolle an. Weisen Sie nun die Referenzrolle zu. Beachten Sie, dass die Transaktion PFCG wirklich ausgeführt wird, die Rolle also tatsächlich im System angelegt wird! Pflegen Sie nun die Berechtigungen und Organisationsebenen. Verwenden Sie nach Möglichkeit in der Aufzeichnung Werte für die Organisationsebenen, die Sie später unter anderen Zahlen gut wiederfinden können, also etwa 9999 oder 1234. Nach dem Generieren und Speichern der Rolle landen Sie wieder in eCATT. Dort werden Sie gefragt, ob Sie die Daten übernehmen wollen und bestätigen dies mit Ja.
Das System kontrolliert den direkten Zugriff auf die Inhalte von Tabellen, z.B. mit den Transaktionen SE16, SM30 oder SE16N mit Berechtigungsprüfungen auf einer Tabellenberechtigungsgruppe, Objekt S_TABU_DIS. Sind keine geeigneten Berechtigungen für die Tabellenberechtigungsgruppe vorhanden, prüft das System den Namen der Tabelle oder Sicht, Objekt S_TABU_NAM. Bei Änderungen an mandantenunabhängigen Tabellen prüft das System auch die Berechtigungen für das Objekt S_TABU_CLI. Wenn Sie im Customizing zeilenbasierte Berechtigungsprüfungen konfiguriert haben, prüft das System auch das Berechtigungsobjekt S_TABU_LIN. Ordnen Sie einer Tabellenberechtigungsgruppe mit der Transaktion SE11 oder SE54 Tabellen oder Sichten zu. Sie können Tabellenberechtigungsgruppen auch mit der Transaktion SE54 definieren. Wenn Ihre Kundenentwicklung einen direkten Zugriff auf eine Tabelle implementiert, verwenden Sie den Funktionsbaustein VIEW_AUTHORITY_CHECK für die Durchführung der Berechtigungsprüfung. Weitere Informationen über den generischen Zugriff auf Tabellen finden Sie im SAP-Hinweis 1434284 Auf SAP-Site veröffentlichte Informationen und der Online-Dokumentation für die oben genannten Berechtigungsobjekte.
SAP Systeme: User Berechtigungen mit Konzept steuern
Summenauswertungen von Debitoren und Kreditoren: Die Summensatztabellen der Debitoren- bzw. Kreditorenbuchhaltung (KNC1/KNC3 bzw. LFC1/LFC3) beinhalten das Feld Profitcenter nicht. Eine Berechtigungssteuerung unter Berücksichtigung des Profit-Centers ist für Auswertungen wie die Debitoren- bzw. Kreditorensaldenlisten (Transaktionen FD10N bzw. FK10N) daher nicht möglich.
Wenn aber Ihr Identity Management System gerade nicht verfügbar oder der Genehmigungsweg unterbrochen ist, können Sie mit "Shortcut for SAP systems" dringend benötigte Berechtigungen dennoch zuweisen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite "www.sap-corner.de".
Ein Hinweis zur zugrunde liegenden Tabelle USKRIA: Diese Tabelle ist mandantenunabhängig.