Sie verwenden PFCG-Rollen, um den Benutzern die folgenden Entitäten zuzuordnen:
Launchpad-Berechtigungen
Endbenutzer benötigen Berechtigungen, um das SAP Fiori Launchpad auszuführen; Administratoren benötigen zusätzliche Berechtigungen, um den SAP Fiori Launchpad Designer auszuführen. Darin enthalten sind die Startberechtigungen für die aktivierten Service-Metadaten und die entsprechenden Startberechtigungen sowie Berechtigungen für die Anwendungslogik für die UI2-OData-Services.
SAP liefert Vorlagerollen für den Launchpad-Zugang aus, wie z.B. SAP_UI2_USER_700
.
Weitere Informationen finden Sie unter Endbenutzern Rolle mit Launchpad-Startberechtigungen zuordnen.
Allgemeine OData-Berechtigungen
Die Berechtigungen sind für die Verwendung der SAP-Gateway-Laufzeit erforderlich.
SAP liefert Berechtigungsvorlagen für den Zugang zur Gateway-Laufzeit aus, wie z.B. \IWFND\RT_GW_USER
.
Berechtigungen für zuverlässige RFC-Backend-Verbindungen
Die Berechtigungen S_RFC
und S_RFCACL
sind erforderlich, um auf das Backend-System über eine zuverlässige RFC-Verbindung zuzugreifen.
Kataloge
Ein Katalog ist ein Set von Apps, das Sie für eine Rolle zur Verfügung stellen möchten. Sie definieren Kataloge im SAP Fiori Launchpad Designer. Die Kataloge definieren die SAP-Fiori-Apps, die ein Benutzer mit den Target Mappings starten kann. Kataloge sind im PFCG-Rollenmenü zugeordnet. Weitere Informationen finden Sie unter Einrichtung von Katalogen, Gruppen und Rollen im SAP Fiori Launchpad.
SAP liefert Vorlagenkataloge aus, die Business-Kataloge genannt werden. Den tatsächlichen Namen finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.
Gruppen
Eine Gruppe definiert die Apps auf den Kacheln, die auf dem Launchpad direkt angezeigt werden, wenn der Benutzer das Launchpad startet. Gruppen sind im PFCG-Rollenmenü zugeordnet.
SAP liefert Vorlagengruppen aus, die Business-Kataloggruppe genannt werden. Den tatsächlichen Namen finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.
Appspezifische Berechtigungen
Dies bezieht sich auf die Startberechtigungen für den Modellanbieter der aktivierten OData-Services. Weitere Informationen zu den OData-Services, die die SAP-Fiori-Apps verwenden, finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.
Wenn der Service nicht aktiviert ist, muss dieser einmal aktiviert und getestet werden, bevor er im PFCG-Rollenmenü im TADIR-Objekttyp IWSG
zugeordnet werden kann.
Weitere Informationen finden Sie unter Startberechtigungen für OData-Services zu Rolle auf Frontend hinzufügen.
PFCG-Rollen
PFCG-Rollen enthalten Referenzen auf die oben genannten Entitäten:
SAP-Fiori-UI-Entitäten: Das Rollenmenü enthält die Kataloge und Gruppen, um für Benutzer UI-Inhalt zur Verfügung zu stellen.
Berechtigungen: Die Berechtigungen S_SERVICE
für den Modellanbieter des OData-Services jeder SAP-Fiori-App referenziert durch den Katalog oder die Gruppe.
SAP liefert Vorlagerollen aus, die Business-PFCG-Rollen genannt werden. Diese beziehen sich auf die entsprechenden Vorlage-Business-Kataloge und -Business-Kataloggruppen.
Da der Modellanbieter der OData-Services erst verfügbar ist, nachdem der OData-Service aktiviert ist, gibt es keine Vorlage für eine PFCG-Rolle. Die appspezifischen Berechtigungen (S_SERVICE
) müssen daher manuell zugeordnet werden.
Hinweis
Für Infoblätter gibt es keine Kacheln, die Business-Katalogen oder Business-Kataloggruppen entsprechen. Infoblätter werden gewöhnlich implizit mit den Target Mappings eines Katalog aus einer zugehörigen transaktionalen App aufgerufen. Aus diesem Grund liefert SAP keine Vorlage für eine Berechtigungsrolle für den Frontend-Server aus. Sie müssen die Berechtigung S_SERVICE
für den Modellanbieter des OData-Services jedoch bearbeiten.
Backend-Verbindungsberechtigungen
Die Berechtigungen S_RFC
und S_RFCACL
sind für den Zugriff auf das zuverlässige RFC im Backend-System erforderlich.
Diese Berechtigungen müssen mit denen des Frontend-Servers übereinstimmen.
Appspezifische Berechtigungen
Im Backend-System sind die OData-Services, die die SAP-Fiori-Apps verwenden, implementiert. Daher müssen die Benutzer über die Startberechtigung für den Datenanbieter des OData-Services sowie über alle Berechtigungen zum Abruf der Daten des Datenanbieters verfügen.
PFCG-Rollen
Indem Sie den Datenanbieter des OData-Services zum Rollenmenü hinzufügen, erteilen Sie dem Benutzer die Berechtigung, auf Daten über eine SAP-Fiori-App zuzugreifen. Der Datenanbieter ist dem PFCG-Rollenmenü mit dem TADIR- Objekttyp IWSG
zugeordnet.
SAP liefert Vorlagenrollen für den Datenanbieter des OData-Services für eine SAP-Fiori-App aus, die in der Implementierungsdokumentation für die App aufgeführt sind.
Die Benutzerrolle SAP_HCM_BCR_EMPLOYEE_X1
stellt eine Vorlage für die Self-Services Mitarbeiter
zur Verfügung.
In der Transaktion PFCG
bezieht sich das Rollenmenü auf den Business-Katalog SAP_HCM_BC_EMPLOYEE_X1
und die entsprechende Gruppe SAP_HCM_BCG_EMPLOYEE_X1
.
Im Launchpad Designer sind die Kacheln Zeiterfassung
, Meine Entgeldnachweise
, Meine Arbeitgeberleistungen
und Meine Abwesenheitsanträge
für diesen Katalog konfiguriert. Die Target Mappings beziehen sich ebenballs auf diese Apps. Dabei gibt es keine zusätzlichen Ziele auf Infoblätter.
createTimeEntry
(transaktionale App Zeiterfassung
)
displayPayslip
(transaktionale App Meine Entgeldnachweise
)
displayBenefitPlan
(transaktionale App Meine Arbeitgeberleistungen
)
createLeaveRequest
(transaktionale App Meine Abwesenheitsanträge
)
Die folgenden OData-Services sind erforderlich:
Zeiterfassung: SRA002_TIMESHEET_SRV
(Version 1)
Meine Entgeltnachweise: SRA006_SRV
(Version 1)
Meine Arbeitgeberleistungen: SRA007_BENEFITS_SRV
(Version 1)
Meine Abwesenheitsanträge: /GBHCM/LEAVEREQUEST
(Version 2)
Legen Sie in der Transaktion PFCG
eine neue Einzelrolle an, und ordnen Sie im Rollenmenü Folgendes zu:
Typ Katalog, Kataloganbieter Fiori-Launchpad-Kataloge, Katalog-ID SAP_HCM_BC_EMPLOYEE_X1
Optional (wenn den Benutzern bereits auf der Launchpad-Startseite die Kacheln in einer Gruppe angezeigt werden sollen): Typ Gruppe, Gruppen-ID SAP_HCM_BCG_EMPLOYEE_X1
Alternativ können Sie die Vorlagenbenutzerrolle SAP_HCM_BCR_EMPLOYEE_X1
kopieren, die den Katalog und die Gruppe bereits enthält.
Fügen Sie die folgenden Informationen in das (neue oder kopierte) Rollenmenü für jeden der vier OData-Services hinzu:
Typ Berechtigungsvorgabe, Berechtigungsvorgabe TADIR-Service, Objekttyp IWSG – Gateway: Servicegruppenmetadaten
Wählen Sie mit der Eingabehilfe TADIR-Service
für den Objektnamen mit <Name des aktivierten Services>
aus, wobei standardmäßig (abhängig von der Serviceaktivierung) Folgendes gilt:
ZSRA002_TIMESHEET_SRV_0001
ZSRA006_SRV_0001
ZSRA007_BENEFITS_0001
ZLEAVEREQUEST_0002
Sichern Sie das Rollenmenü, und navigieren Sie zur Rollenberechtigung. Ändern Sie die Berechtigungsdaten, und passen Sie die generierten Berechtigungen entsprechend an.
Generieren Sie das Berechtigungsprofil, und sichern Sie es.
Bearbeiten Sie die Rolle in der Transaktion PFCG
, und ordnen Sie im Rollenmenü jedem der vier OData-Services Folgendes zu:
Typ Berechtigungsvorgabe, Berechtigungsvorgabe TADIR-Service, Objekttyp IWSG – Gateway: Servicegruppenmetadaten
Wählen Sie mit der Eingabehilfe TADIR-Service
für die folgenden Objektnamen aus:
SRA002_TIMESHEET_SRV 0001
SRA006_SRV 0001
SRA007_BENEFITS 0001
/GBHCM/LEAVEREQUEST 0002
Sichern Sie das Rollenmenü, und navigieren Sie zur Rollenberechtigung. Ändern Sie die Berechtigungsdaten, und passen Sie die generierten Berechtigungen entsprechend an.
Generieren Sie das Berechtigungsprofil, und sichern Sie es.
Hinweis
Dieser Abschnitt gilt für analytische SAP-Fiori-Apps.
Analytische SAP-Fiori-Apps basieren auf SAP HANA Live.
Weitere Informationen über Berechtigungen finden Sie im Abschnitt Authorizations im Administrator's Guide für SAP HANA Live im SAP Help Portal unter
.Empfehlung
Um Berechtigungen vorhandener PFCG-Rollen im Backend-System mit Analyseberechtigungen in SAP HANA Live zu synchronisieren, verwenden Sie den Berechtigungsassistenten für SAP HANA Live.
Erstellen Sie SAP-HANA-Rollen, die mit den entsprechenden PFCG-Rollen im Backend-System von den generierten Analyseberechtigungen übereinstimmen.