Globales Ausschalten von
Berechtigungsprüfungen
Ab Release 4.5 können Sie Berechtigungsprüfungen für einzelne Berechtigungsobjekte global unterdrücken. Falls Sie diese Option verwenden, führt das System für die angegebenen Objekte keinerlei Berechtigungsprüfungen durch. Bei Verwendung des Profilgenerators verringert die Option die Berechtigungspflege erheblich. Der Profilgenerator trägt für deaktivierte Berechtigungsobjekte keine Berechtigungsdaten in die Profile ein. Außerdem müssen Sie die Berechtigungsdaten im Anschluss an ein Upgrade für Transaktionen, deren entsprechende Berechtigungsobjekte Sie global deaktiviert hatten, nicht nachbearbeiten.
Wenn Sie Berechtigungsprüfungen unterdrücken, erlauben Sie Benutzern, Aktivitäten durchzuführen, ohne sicherzustellen, dass die Benutzer die erforderliche Berechtigung haben. Dadurch könnten Sie unerwünschte Wirkungen erzielen könnten. Überlegen Sie genau, bevor Sie Berechtigungsprüfungen für Berechtigungsobjekte unterdrücken!
Um Berechtigungsprüfungen für bestimmte Berechtigungsobjekte zu unterdrücken, muss der Profilparameter auth/object_disabling_active auf den Wert "Y" gesetzt werden. Anschließend wählen Sie die betreffenden Berechtigungsobjekte über Transaktion SU25 (oder Transaktion AUTH_SWITCH_OBJECTS). [In der Baumdarstellung schalten Sie Berechtigungsobjekte aus, indem Sie auf das Ankreuzfeld links neben dem Objekt klicken. Die ausgeschalteten Berechtigungsobjekte sind anschließend rot hinterlegt. Aktivieren Sie anschließend Ihre Einstellungen (erst dann werden die Berechtigungsprüfungen im System ignoriert).]
Beachten Sie Folgendes:
· Berechtigungsprüfungen von Berechtigungsobjekten, die zu Komponenten der Basis oder von Human Resources (HR) gehören, können Sie nicht unterdrücken.
· Sie benötigen die Berechtigung für das Objekt S_USER_OBJ, um Berechtigungsprüfungen für Berechtigungsobjekte unterdrücken zu können. Wir empfehlen Ihnen, die entsprechenden Aktivitäten (Sichern, Aktivieren oder Transportieren) verschiedenen Administratoren zuzuweisen.
· Falls Sie zuvor unterdrückte Berechtigungsprüfungen für Berechtigungsobjekte wieder aktivieren, müssen Sie die Berechtigungsdaten der entsprechenden Rollen nachbearbeiten.
Diese Berechtigungsobjekte sind in keiner Rolle enthalten. In einem solchen Fall wählen Sie in der Transaktion PFCG auf der Registerkarte Berechtigungen im Expertenmodus zur Profilgenerierung die Option Alten Stand lesen und mit den neuen Daten abgleichen. Pflegen Sie dann fehlende Berechtigungswerte nach, und generieren Sie das Profil neu.
· Beim Transport der Einstellungen (in der Transaktion AUTH_SWITCH_OBJECTS) transportiert das System aus Sicherheitsgründen nicht die aktive Version der Einstellungen, sondern die gesicherte. Sie müssen diese im Zielsystem ausdrücklich aktivieren (Berechtigungsobjekte → Daten aktivieren).
Zum Sichern bzw. Aktivieren von deaktivierten Berechtigungsprüfungen zu Berechtigungsobjekten brauchen Sie eine Berechtigung zum Objekt S_USER_OBJ. Aus Sicherheitsgründen sollten Sie die Berechtigungen für das Sichern und das Aktivieren von deaktivierten Berechtigungsprüfungen zu Berechtigungsobjekten verschiedenen Benutzern zuordnen. Es ist sinnvoll, wenn das Deaktivieren von Berechtigungsprüfungen nach dem 4-Augen-Prinzip stattfindet.