Das SAP-Berechtigungskonzept
Um eine Operation im SAP-System durchzuführen, sind unter Umständen mehrere Berechtigungen erforderlich. Die daraus resultierenden Zusammenhänge können sehr komplex werden. Um trotzdem ein Verfahren anzubieten, welches überschaubar und leicht zu handhaben ist, wurde das SAP-Berechtigungskonzept auf der Basis von Berechtigungsobjekten realisiert. Mehrere zu schützende Systemelemente bilden dabei ein Berechtigungsobjekt.
Der Programmierer einer Funktionalität bestimmt, wo, wie oder ob überhaupt Berechtigungen geprüft werden sollen. Im Programm wird durch die Verwendung der entsprechenden Syntax ermittelt, ob der Benutzer eine ausreichende Berechtigung für eine bestimmte Aktivität hat, indem die im Programm vorgegebenen Feldwerte für das Berechtigungsobjekt mit den in den Berechtigungen des Benutzerstammsatzes enthaltenen Werten verglichen werden.
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Es ist zwar möglich, Profile manuell zu erstellen, es wird aber empfohlen, mit dem Profilgenerator zu arbeiten. Mit dem Profilgenerator können Sie automatisch Profile erzeugen und den Benutzerstammsätzen zuordnen. Der Profilgenerator dient der Vereinfachung und Beschleunigung der Benutzeradministration und sollte beim Einrichten der Berechtigungen für Ihre Mitarbeiter in jedem Fall genutzt werden. Über den Profilgenerator werden auch die Benutzermenüs eingerichtet, die erscheinen, wenn die Anwender sich am SAP-System anmelden.
Wenn Sie Berechtigungen und Profile manuell pflegen möchten, müssen Sie alle SAP-Berechtigungskomponenten im Detail kennen. Beim Einsatz des Profilgenerators hingegen benötigen Sie solche Detailkenntnisse nicht. Dadurch verringert sich der Einführungsaufwand für das SAP-System beträchtlich.
In den folgenden Ausführungen werden zunächst die einzelnen Komponenten des Berechtigungskonzepts beschrieben und eingeordnet. Anschließend wird erläutert, welche Aufgaben mit dem Profilgenerator automatisiert werden können.
Die folgende Abbildung zeigt die Berechtigungskomponenten und verdeutlicht ihre Beziehung untereinander. Die Beispiele in den Erläuterungen beziehen sich auf das
Szenario einer Berechtigungsprüfung.
Erklärungen zu den Begriffen in der obigen Darstellung finden Sie nachfolgend:
Objektklasse |
Der Übersichtlichkeit halber werden Berechtigungsobjekte in Klassen unterteilt. Eine Objektklasse entspricht z.B. einer Anwendung (Finanzbuchhaltung, Personalwesen etc.) Sie finden die Objektklassen unter Werkzeuge ® Administration ® Benutzerpflege ® Berechtigungen. |
Berechtigungsobjekte |
Ein Berechtigungobjekt kann bis zu 10 Berechtigungsfelder umfassen, die in UND-Verknüpfung geprüft werden. Berechtigungsobjekte ermöglichen komplexe, an mehrere Bedingungen gebundene Prüfungen einer Berechtigung, die einem Benutzer erlaubt, eine Aktion durchzuführen.Um eine Berechtigungsprüfung erfolgreich zu durchlaufen, müssen alle Feldwerte des Berechtigungsobjekts im Benutzerstamm entsprechend gepflegt sein. |
Berechtigungen |
Eine Berechtigung ist eine Ermächtigung, eine bestimmte Aktion im SAP-System durchzuführen, auf der Grundlage eines Satzes von Werten für die einzelnen Felder eines Berechtigungsobjekts.
S_TRVL_CUS1 ist eine Berechtigung zum Berechtigungsobjekt S_TRVL_BKS mit folgenden Werten:* für Kundentyp (Feld CUSTTYPE ) und 02 für Aktivität (Feld ACTVT ). Verwendung: Zulässige Werte für die Felder eines Berechtigungsobjekts angeben. Inhalt: Einen oder mehrere Werte für jedes Feld. Mit der Berechtigung können Sie beliebig viele Einzelwerte oder Wertebereiche für ein Feld festlegen. Sie können auch alle Werte zulassen oder ein leeres Feld als zulässigen Wert erlauben. Änderungen: Alle Benutzer sind betroffen, deren Berechtigungsprofil diese Berechtigung enthält. Der R/3-Systemverwalter kann Berechtigungen wie folgt pflegen:
Änderungen werden für die entsprechenden Benutzer wirksam, sobald die Berechtigung aktiviert wird. In der obigen Abbildung könnte die Berechtigung Z:BANK_ALL die Berechtigung für alle Aktivitäten und Z:BANK_001 die Berechtigung für einen bestimmten Bereich sein (beispielsweise nur Berechtigung für Debitoren). |
Profile |
Berechtigungen für Benutzer werden in der Regel nicht direkt, sondern zusammengefaßt in Form von Berechtigungsprofilen den Benutzerstammsätzen zugeordnet. Der Systemverwalter kann Berechtigungsprofile automatisch mit dem Profilgenerator erstellen. Verwendung: Berechtigungen in Benutzerstammsätzen ablegen. Inhalt: Bestimmte Zugriffsrechte, die Sie durch einen Objektnamen und einen entsprechenden Berechtigungsnamen identifizieren. Änderungen werden erst wirksam, wenn der Benutzer sich das nächste Mal anmeldet. Benutzer, die zum Zeitpunkt der Änderung bereits angemeldet sind, werden von den Änderungen nicht betroffen. In unserem Beispiel ist Z:ACCOUNT ein Berechtigungsprofil, das Berechtigungen zu Buchungskreisen enthält.
In der manuellen Pflege können Sie unter Werkzeuge |
Benutzerstammsatz |
Dient zur Anmeldung an das SAP-System und gewährt über die angegebenen Berechtigungsprofile einen eingeschränkten Zugriff auf die Funktionen und Objekte des SAP-Systems. Benutzerstammsätze werden über Werkzeuge ® Administration, Benutzerpflege ® Benutzer (SU01) vom Benutzeradministrator gepflegt.Änderungen werden erst wirksam, wenn der Benutzer sich das nächste Mal anmeldet. Benutzer, die zum Zeitpunkt der Änderung bereits angemeldet sind, werden von den Änderungen nicht betroffen. In unserem Beispiel kann ein Benutzer, dessen Benutzerstammsatz das Profil Z:ACCOUNT enthält, die Aktivitäten durchführen, die in den Berechtigungen des Profils enthalten sind. |
Weitere Einzelheiten erfahren Sie in den folgenden Abschnitten:
Berechtigungsvergabe Berechtigungsprüfungen
Szenario einer BerechtigungsprüfungLesen Sie anschließend weiter im Abschnitt:
Der Profilgenerator
