Berechtigungsprüfungen in SAP HANA verstehen
Bereits enthaltene Standardberechtigungen
Der Pflegestatus von Berechtigungen in PFCG-Rollen spielt eine wichtige Rolle bei der Verwendung des Rollenmenüs. Mithilfe des Pflegestatus können Sie eine Aussage darüber treffen, wie das Berechtigungsobjekt in die Rolle gelangt ist und wie es dort gepflegt wurde. Die Abmischfunktion von Berechtigungsdaten der Rollenpflege in der Transaktion PFCG ist ein mächtiges Werkzeug, das Sie bei der Rollenbearbeitung unterstützt. Wenn das Rollenmenü geändert wurde, werden mithilfe der Abmischfunktion die in einer Einzelrolle enthaltenen Berechtigungsvorschläge automatisch ergänzt. Grundlage hierzu sind die in der Transaktion SU24 definierten Berechtigungsvorschlagswerte, deren Pflegestatus in der Berechtigungspflege Standard ist. Diese Berechtigungswerte werden auch als Standardberechtigungen bezeichnet. Berechtigungen mit anderen Pflegestatus, also Gepflegt, Verändert oder Manuell werden während des Abmischens nicht geändert – Ausnahme ist das Entfernen von Transaktionen.
Im nächsten Schritt werten Sie die Nutzungsdaten aus; hier reichen typischerweise die Monatsaggregate. Diese beinhalten die Benutzer-ID, den Funktionsbaustein sowie die Anzahl der Aufrufe. Eine Übersicht zu den im System bereits gespeicherten Nutzungsdaten erhalten Sie mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_DIRECTORY (Inputparameter GET_DIR_FROM_CLUSTER = X). Das eigentliche Herunterladen der Nutzungsdaten erfolgt anschließend mithilfe des Funktionsbausteins SWNC_COLLECTOR_GET_AGGREGATES.
RSRFCCHK
Werte des Berechtigungstrace ins Rollenmenü übernehmen: Die Anwendungen (Transaktionen, Web-Dynpro-Anwendungen, RFCBausteine oder Webservices) werden über ihre Startberechtigungsprüfungen (S_TCODE, S_START, S_RFC, S_SERVICE) erkannt und können in das Rollenmenü Ihrer Rolle übernommen werden. Wechseln Sie in Ihrer Rolle auf die Registerkarte Menü, und importieren Sie diese Anwendungen, indem Sie auf Übernahme von Menüs klicken und hier Import aus Trace wählen. Es öffnet sich nun ein neues Fenster. Hier können Sie den Trace auswerten und sich im rechten Fenster alle erkannten Anwendungen anzeigen lassen. Klicken Sie dazu auf den Button Trace auswerten, und wählen Sie hier Systemtrace (ST01) > Lokal. In einem neuen Fenster Systemtrace können Sie die Auswertungskriterien für den Trace festlegen, wie z. B. den Benutzer über das Feld Trace nur für Benutzer oder den Zeitraum, über den aufgezeichnet werden soll. Klicken Sie dann auf Auswerten. Anschließend werden Ihnen im rechten Teil des Fensters alle mitprotokollierten Anwendungen angezeigt. Markieren Sie die Anwendungen, die Sie ins Rollenmenü übernehmen möchten und klicken Sie auf Übernehmen. Sie können nun entscheiden, wie die Anwendungen im Rollenmenü erscheinen. Die Anwendung kann über das Auswahlfeld Hinzufügen zur Rolle entweder als Berechtigungsvorschlag oder als Menüeintrag hinzugefügt werden. Sie können als Liste oder als Bereichsmenü angezeigt werden (Einfügen als Liste) oder dem SAP-Menübaum entsprechend, in dem die Anwendung im SAP-Menü hinterlegt ist (Einfügen als SAP Menü).
Wenn Sie Referenzbenutzer verwenden möchten und Sie das Benutzermenü nutzen, sollten Sie zusätzlich dafür sorgen, dass die Anwender auch die den Referenzbenutzern zugeordneten Rollenmenüs sehen. Spielen Sie dafür die Korrekturen im SAP Hinweis 1947910 ein. Sie beinhalten zwei Schalter für das Customizing in der Tabelle SSM_CUST.
Mit "Shortcut for SAP systems" können Sie die Zuweisung von Rollen nach einem Go-Live automatisieren.
Prüfen Sie in der Transaktion SU20, ob die benötigten Felder eventuell schon als Berechtigungsfelder existieren.
Einige nützliche Tipps aus der Praxis zum Thema SAP Berechtigungen finden Sie auch auf der Seite www.sap-corner.de.
Diese Werte entsprechen den Werten, die Sie auch im Systemtrace für Berechtigungen sehen.