Show TOC

HintergrundBerechtigungen Dieses Dokument in der Navigationsstruktur finden

 

Um Funktionen in entfernten Systemen über RFC ausführen zu können, benötigen Sie grundsätzlich zwei verschiedene Berechtigungsarten:

  • Berechtigung für die Verwendung von RFC-Destinationen

  • Berechtigung für den Aufruf von Funktionsbausteinen innerhalb einer bestimmten Funktionsgruppe in einer RFC-Destination (Zielsystem)

Diese Berechtigungen können über das Berechtigungsobjekt S_RFC vergeben werden.

Zusätzlich können Sie die Rechte zur Administration der RFC-Destinationen (Transaktion SM59) über das Berechtigungsobjekt S_RFC_ADM steuern.

Beachten Sie bitte folgende Punkte:

Verwenden von Berechtigungsprüfungen

Sehen Sie in Ihren Funktionsbausteinen Berechtigungsprüfungen vor, wenn diese über RFC aufgerufen werden können.

Zuweisen von RFC-Berechtigungen

Bei der Vergabe von RFC-Berechtigungen an Benutzer in SAP-Systemen sollten Sie folgendes berücksichtigen:

  • Das für die Verwendung von RFC erforderliche ABAP Berechtigungsobjekt ist S_RFC.

    Der Benutzer im Zielsystem muss dieses Objekt in seinem Berechtigungsprofil haben, damit er über RFC eine Verbindung zum Zielsystem aufbauen kann.

  • Die RFC-Funktionsbausteine sind in spezifische Gruppen unterteilt. Bei der Vergabe des Berechtigungsprofils geben Sie an, auf welche Funktionsgruppen der Benutzer zugreifen darf.

Hinweis Hinweis

Gehen Sie bei der Vergabe dieser Gruppen an Benutzer restriktiv vor.

Ende des Hinweises.

  • Wenn Sie den Zugriff auf die Administration der RFC-Destinationen steuern möchten, benötigen Sie das Berechtigungsobjekt S_RFC_ADM. Mit diesem Objekt können Sie z.B. die Pflegeberechtigung auf bestimmte Destinationen beschränken.

  • Für die Verwendung von Trusted Systems-Netzwerken benötigen Sie die Berechtigungsobjekte S_RFC_TT (Zugriff auf Transaktion SMT1) und S_RFCACL (Anmeldung an Trusted/Trusting-Systemen).

    Hinweis Hinweis

    Achten Sie darauf, dass die Berechtigungswerte für S_RFCACL präzise vergeben werden, da sonst individuelle Benutzer als anonyme Benutzer missbraucht werden könnten, um im Zielsystem Aktionen auszuführen. Das Objekt S_RFCACL ist nicht im Berechtigungsprofil SAP_ALL enthalten und sollte im Bedarfsfall manuell vergeben werden.

    Ende des Hinweises.

  • Mit dem Berechtigungsobjekt S_TABU_DIS (Berechtigungsgruppe SC) ist es möglich, RFC-Destinationen aus der Tabelle RFCDES zu lesen.

    Hinweis Hinweis

    Auch diese Berechtigung sollten Sie äußerst restriktiv vergeben, um zu vermeiden, dass z.B. RFC-Destinationen aus Produktiv- in Testsysteme kopiert werden, um von dort mit erweiterten Berechtigungen auf andere Systeme remote zugreifen zu können.

    Ende des Hinweises.

  • Das Berechtigungsobjekt S_ICF wurde konzipiert um Berechtigungen für den Zugriff auf ICF Services zu vergeben. Es kann aber auch verwendet werden, um den Zugriff auf RFC-Destinationen mandantenabhängig zu steuern.

Weitere Informationen