Show TOC

 Einrichten von Rollen

 

Sie verwenden PFCG-Rollen, um den Benutzern die folgenden Entitäten zuzuordnen:

Einrichten von Rollen in ABAP-Systemen

SAP-Fiori-UI-Entitäten und Berechtigungsentitäten auf dem Frontend-Server
Ordnen Sie Folgendes einmalig für das SAP Fiori Launchpad und für jedes Backend-System zu:
  • Launchpad-Berechtigungen

    Endbenutzer benötigen Berechtigungen, um das SAP Fiori Launchpad auszuführen; Administratoren benötigen zusätzliche Berechtigungen, um den SAP Fiori Launchpad Designer auszuführen. Darin enthalten sind die Startberechtigungen für die aktivierten Service-Metadaten und die entsprechenden Startberechtigungen sowie Berechtigungen für die Anwendungslogik für die UI2-OData-Services.

    SAP liefert Vorlagerollen für den Launchpad-Zugang aus, wie z.B. SAP_UI2_USER_700.

    Weitere Informationen finden Sie unter Endbenutzern Rolle mit Launchpad-Startberechtigungen zuordnen.

  • Allgemeine OData-Berechtigungen

    Die Berechtigungen sind für die Verwendung der SAP-Gateway-Laufzeit erforderlich.

    SAP liefert Berechtigungsvorlagen für den Zugang zur Gateway-Laufzeit aus, wie z.B. \IWFND\RT_GW_USER.

  • Berechtigungen für zuverlässige RFC-Backend-Verbindungen

    Die Berechtigungen S_RFC und S_RFCACL sind erforderlich, um auf das Backend-System über eine zuverlässige RFC-Verbindung zuzugreifen.

Ordnen Sie für jeden Katalog oder jede Gruppe der SAP-Fiori-Apps Folgendes zu:
  • Kataloge

    Ein Katalog ist ein Set von Apps, das Sie für eine Rolle zur Verfügung stellen möchten. Sie definieren Kataloge im SAP Fiori Launchpad Designer. Die Kataloge definieren die SAP-Fiori-Apps, die ein Benutzer mit den Target Mappings starten kann. Kataloge sind im PFCG-Rollenmenü zugeordnet. Weitere Informationen finden Sie unter Einrichtung von Katalogen, Gruppen und Rollen im SAP Fiori Launchpad.

    SAP liefert Vorlagenkataloge aus, die Business-Kataloge genannt werden. Den tatsächlichen Namen finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.

  • Gruppen

    Eine Gruppe definiert die Apps auf den Kacheln, die auf dem Launchpad direkt angezeigt werden, wenn der Benutzer das Launchpad startet. Gruppen sind im PFCG-Rollenmenü zugeordnet.

    SAP liefert Vorlagengruppen aus, die Business-Kataloggruppe genannt werden. Den tatsächlichen Namen finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.

  • Appspezifische Berechtigungen

    Dies bezieht sich auf die Startberechtigungen für den Modellanbieter der aktivierten OData-Services. Weitere Informationen zu den OData-Services, die die SAP-Fiori-Apps verwenden, finden Sie in der Dokumentation zur Implementierung von SAP-Fiori-Apps.

    Wenn der Service nicht aktiviert ist, muss dieser einmal aktiviert und getestet werden, bevor er im PFCG-Rollenmenü im TADIR-Objekttyp IWSG zugeordnet werden kann.

    Weitere Informationen finden Sie unter Startberechtigungen für OData-Services zu Rolle auf Frontend hinzufügen.

  • PFCG-Rollen

    PFCG-Rollen enthalten Referenzen auf die oben genannten Entitäten:

    • SAP-Fiori-UI-Entitäten: Das Rollenmenü enthält die Kataloge und Gruppen, um für Benutzer UI-Inhalt zur Verfügung zu stellen.

    • Berechtigungen: Die Berechtigungen S_SERVICE für den Modellanbieter des OData-Services jeder SAP-Fiori-App referenziert durch den Katalog oder die Gruppe.

    • SAP liefert Vorlagerollen aus, die Business-PFCG-Rollen genannt werden. Diese beziehen sich auf die entsprechenden Vorlage-Business-Kataloge und -Business-Kataloggruppen.

    • Da der Modellanbieter der OData-Services erst verfügbar ist, nachdem der OData-Service aktiviert ist, gibt es keine Vorlage für eine PFCG-Rolle. Die appspezifischen Berechtigungen (S_SERVICE) müssen daher manuell zugeordnet werden.

Hinweis Hinweis

Für Infoblätter gibt es keine Kacheln, die Business-Katalogen oder Business-Kataloggruppen entsprechen. Infoblätter werden gewöhnlich implizit mit den Target Mappings eines Katalog aus einer zugehörigen transaktionalen App aufgerufen. Aus diesem Grund liefert SAP keine Vorlage für eine Berechtigungsrolle für den Frontend-Server aus. Sie müssen die Berechtigung S_SERVICE für den Modellanbieter des OData-Services jedoch bearbeiten.

Ende des Hinweises
Berechtigungsentitäten im Backend-System
Ordnen Sie Folgendes für jedes Backend-System einmalig zu:
  • Backend-Verbindungsberechtigungen

    Die Berechtigungen S_RFC und S_RFCACL sind für den Zugriff auf das zuverlässige RFC im Backend-System erforderlich.

    Diese Berechtigungen müssen mit denen des Frontend-Servers übereinstimmen.

Ordnen Sie für jeden Katalog oder jede Gruppe der SAP-Fiori-Apps Folgendes zu:
  • Appspezifische Berechtigungen

    Im Backend-System sind die OData-Services, die die SAP-Fiori-Apps verwenden, implementiert. Daher müssen die Benutzer über die Startberechtigung für den Datenanbieter des OData-Services sowie über alle Berechtigungen zum Abruf der Daten des Datenanbieters verfügen.

  • PFCG-Rollen

    Indem Sie den Datenanbieter des OData-Services zum Rollenmenü hinzufügen, erteilen Sie dem Benutzer die Berechtigung, auf Daten über eine SAP-Fiori-App zuzugreifen. Der Datenanbieter ist dem PFCG-Rollenmenü mit dem TADIR- Objekttyp IWSG zugeordnet.

    SAP liefert Vorlagenrollen für den Datenanbieter des OData-Services für eine SAP-Fiori-App aus, die in der Implementierungsdokumentation für die App aufgeführt sind.

Beispiel

Mitarbeiter

Die Benutzerrolle SAP_HCM_BCR_EMPLOYEE_X1 stellt eine Vorlage für die Self-Services Mitarbeiter zur Verfügung.

In der Transaktion PFCG bezieht sich das Rollenmenü auf den Business-Katalog SAP_HCM_BC_EMPLOYEE_X1 und die entsprechende Gruppe SAP_HCM_BCG_EMPLOYEE_X1.

Im Launchpad Designer sind die Kacheln Zeiterfassung, Meine Entgeldnachweise, Meine Arbeitgeberleistungen und Meine Abwesenheitsanträge für diesen Katalog konfiguriert. Die Target Mappings beziehen sich ebenballs auf diese Apps. Dabei gibt es keine zusätzlichen Ziele auf Infoblätter.

  • createTimeEntry (transaktionale App Zeiterfassung)

  • displayPayslip (transaktionale App Meine Entgeldnachweise)

  • displayBenefitPlan (transaktionale App Meine Arbeitgeberleistungen)

  • createLeaveRequest (transaktionale App Meine Abwesenheitsanträge)

Die folgenden OData-Services sind erforderlich:

  • Zeiterfassung: SRA002_TIMESHEET_SRV (Version 1)

  • Meine Entgeltnachweise: SRA006_SRV (Version 1)

  • Meine Arbeitgeberleistungen: SRA007_BENEFITS_SRV (Version 1)

  • Meine Abwesenheitsanträge: /GBHCM/LEAVEREQUEST (Version 2)

Um eine PFCG-Rolle auf dem Frontend-Server anzulegen, gehen Sie folgendermaßen vor:
  1. Legen Sie in der Transaktion PFCG eine neue Einzelrolle an, und ordnen Sie im Rollenmenü Folgendes zu:

    • Typ Katalog, Kataloganbieter Fiori-Launchpad-Kataloge, Katalog-ID SAP_HCM_BC_EMPLOYEE_X1

    • Optional (wenn den Benutzern bereits auf der Launchpad-Startseite die Kacheln in einer Gruppe angezeigt werden sollen): Typ Gruppe, Gruppen-ID SAP_HCM_BCG_EMPLOYEE_X1

    Alternativ können Sie die Vorlagenbenutzerrolle SAP_HCM_BCR_EMPLOYEE_X1 kopieren, die den Katalog und die Gruppe bereits enthält.

  2. Fügen Sie die folgenden Informationen in das (neue oder kopierte) Rollenmenü für jeden der vier OData-Services hinzu:

    • Typ Berechtigungsvorgabe, Berechtigungsvorgabe TADIR-Service, Objekttyp IWSG – Gateway: Servicegruppenmetadaten

    • Wählen Sie mit der Eingabehilfe TADIR-Service für den Objektnamen mit <Name des aktivierten Services> aus, wobei standardmäßig (abhängig von der Serviceaktivierung) Folgendes gilt:

      • ZSRA002_TIMESHEET_SRV_0001

      • ZSRA006_SRV_0001

      • ZSRA007_BENEFITS_0001

      • ZLEAVEREQUEST_0002

  3. Sichern Sie das Rollenmenü, und navigieren Sie zur Rollenberechtigung. Ändern Sie die Berechtigungsdaten, und passen Sie die generierten Berechtigungen entsprechend an.

  4. Generieren Sie das Berechtigungsprofil, und sichern Sie es.

Um eine vorhandene PFCG-Rolle (kann leer sein) im Backend-System zu erweitern, gehen Sie folgendermaßen vor:
  1. Bearbeiten Sie die Rolle in der Transaktion PFCG, und ordnen Sie im Rollenmenü jedem der vier OData-Services Folgendes zu:

    Typ Berechtigungsvorgabe, Berechtigungsvorgabe TADIR-Service, Objekttyp IWSG – Gateway: Servicegruppenmetadaten

    Wählen Sie mit der Eingabehilfe TADIR-Service für die folgenden Objektnamen aus:

    • SRA002_TIMESHEET_SRV 0001

    • SRA006_SRV 0001

    • SRA007_BENEFITS 0001

    • /GBHCM/LEAVEREQUEST 0002

  2. Sichern Sie das Rollenmenü, und navigieren Sie zur Rollenberechtigung. Ändern Sie die Berechtigungsdaten, und passen Sie die generierten Berechtigungen entsprechend an.

  3. Generieren Sie das Berechtigungsprofil, und sichern Sie es.

Einrichten von Rollen in SAP-HANA-Systemen

Hinweis Hinweis

Dieser Abschnitt gilt für analytische SAP-Fiori-Apps.

Ende des Hinweises

Analytische SAP-Fiori-Apps basieren auf SAP HANA Live.

Weitere Informationen über Berechtigungen finden Sie im Abschnitt Authorizations im Administrator's Guide für SAP HANA Live im SAP Help Portal unter Anfang des Navigationspfads http://help.sap.com/businesssuiteAuf SAP-Site veröffentlichte Informationen Navigationsschritt SAP HANA Innovations for SAP Business Suite Navigationsschritt SAP HANA Live for Business Suite Navigationsschritt Installation, Security, Configuration, and Operations Information Navigationsschritt Administrator’s Guide Navigationsschritt Security Ende des Navigationspfads.

Empfehlung Empfehlung

Um Berechtigungen vorhandener PFCG-Rollen im Backend-System mit Analyseberechtigungen in SAP HANA Live zu synchronisieren, verwenden Sie den Berechtigungsassistenten für SAP HANA Live.

Erstellen Sie SAP-HANA-Rollen, die mit den entsprechenden PFCG-Rollen im Backend-System von den generierten Analyseberechtigungen übereinstimmen.

Ende der Empfehlung.