Berechtigungsprüfungen beim Anpassen
abgeleiteter Rollen
Sie pflegen im Profilgenerator (Transaktion PFCG) die Berechtigungsdaten einer Rolle (über Rolle ändern, auf Registerkarte Berechtigungen) und wollen diese Daten auf die abgeleiteten Rollen übertragen (Berechtigungen → Abgeleitete anpassen → Abgeleitete Rollen sichern).
Die hierbei durchgeführten Berechtigungsprüfungen entsprechen denjenigen, die im Falle einer manuellen Anpassung der abgeleiteten Rollen stattfänden. In der Reihenfolge der Aufzählung werden folgende Prüfungen durchgeführt:
...
1. Rollenänderung
Der Benutzer benötigt die Änderungsberechtigung für sämtliche abgeleiteten Rollen (S_USER_AGR, Aktivität 02). Um Inkonsistenzen zwischen den abgeleiteten Rollen zu vermeiden, wird der Vorgang abgebrochen, falls die Berechtigungsprüfung für mindestens eine Rolle scheitert. Zuvor wird eine Liste aller Rollen angezeigt, für die die Änderungsberechtigung fehlt.
2. Sicherung der Profilnamen
Nur für Rollen, denen noch kein Profilname zugeordnet wurde, wird dieser automatisch generiert (beginnend mit "T-"). Anschließend wird geprüft, ob der Rollenadministrator zu dessen Sicherung berechtigt ist (S_USER_PRO, Aktivität 01). Auch hier fährt das Programm nur dann fort, wenn alle Prüfungen erfolgreich verlaufen, weil Rollen ohne Profilnamen nicht korrekt gesichert werden können. Für alle gescheiterten Prüfungen werden die Profil- und Rollennamen aufgelistet.
3. Entfernung der Berechtigungen aus den abgeleiteten Rollen
Bei der Anpassung abgeleiteter Rollen werden deren Berechtigungsdaten vollständig entfernt und durch die Daten der Originalrolle ersetzt. Weil die Berechtigungen der abgeleiteten Rollen individuell gepflegt werden können, muss geprüft werden, ob der Administrator über die erforderlichen Rechte zu S_USER_VAL verfügt, um sie entfernen zu dürfen. Falls die abgeleiteten Rollen auch manuelle Berechtigungen zum Objekt S_TCODE enthalten, sind auch die entsprechenden Rechte zu S_USER_TCD erforderlich. Sollten nicht für alle abgeleiteten Rollen die Prüfungen erfolgreich verlaufen, wird der Vorgang nach Anzeige der fehlenden Berechtigungen beendet.
4. Übernahme der Berechtigungen aus der Originalrolle
Hier werden ebenfalls die Berechtigungen des Administrators zu S_USER_VAL und S_USER_TCD geprüft. Bitte beachten Sie, dass für Berechtigungsfelder, die Werteintervalle enthalten, die Gesamtberechtigung im Feld AUTH_VALUE von S_USER_VAL erforderlich ist (siehe auch Hinweis 495282). Falls die abgeleitete Rolle auch manuelle Berechtigungen zum Objekt S_TCODE enthält, sind auch die entsprechenden Rechte zu S_USER_TCD erforderlich. Diese Bedingungen gelten auch für Punkt 3. Im Falle fehlender Berechtigungen wird wiederum eine Liste angezeigt, ehe der Vorgang mit einer Fehlermeldung endet.
5. Generierung der Profile
Falls Sie die Funktion Abgeleitete Rollen generieren gewählt haben, benötigen Sie zusätzlich die Berechtigung S_USER_AGR mit Aktivität 64 für die Originalrolle und die abgeleiteten Rollen. Aus strukturellen Gründen ist die Anpassung der abgeleiteten Rollen nicht möglich, falls Sie keine Berechtigung zur Generierung des Profils der Originalrolle haben, weil diese Aktion vor dem Anpassungsvorgang stattfindet. In diesem Fall bekommen Sie die Systemnachricht 425 (Klasse S#). Abgeleitete Rollen, deren Profile wegen fehlender Berechtigung nicht generiert werden können, werden am Ende des Anpassungsvorgangs in einer Liste ausgegeben, die Profile aller anderen Rollen werden generiert. Ein Abbruch ist nicht erforderlich, weil die Berechtigungsdaten der abgeleiteten Rollen nicht inkonsistent werden können. Nach Bestätigung der Liste erhalten Sie zum Abschluss die Nachricht 680 (S#). Bei vollständiger Generierung der Profile erhalten Sie die Meldung "Aktion erfolgreich durchgeführt".
Sie können abgeleitete Rollen auch mit einem Hintergrundjob anpassen. Planen Sie dazu eine Variante des Reports SUPRN_REGENERATE_DEPENDENT ein, in dessen Selektionsbild Sie im Feld TOP_AGR den Namen der Originalrolle eintragen. Um auch die Profile zu generieren, markieren Sie das Feld GEN mit einem "X", andernfalls lassen Sie es frei. Falls während des Laufs Berechtigungsprüfungen fehlschlagen, werden diese im Jobprotokoll aufgezeichnet.
Sie können die Daten aller abgeleiteten Rollen in einem einzigen Arbeitsschritt anpassen. Wenn mehrere abgeleitete Rollen zu einer Originalrolle vorhanden sind und Sie die Berechtigungsdaten aller abgeleiteten Rollen an die Daten der Originalrolle anpassen wollen, empfehlen wir eine der unter 3. bzw. 4. genannten Funktionen zu verwenden, anstatt mit Daten übernehmen alle abgeleiteten Rollen einzeln anzupassen.