In Transaktion SU24 können Kunden die von der SAP-Entwicklung ausgelieferten Vorschlagsdaten nachbearbeiten oder Vorschlagsdaten für selbst entwickelte Anwendungen pflegen.
Sie zeigt eine Liste der Berechtigungsobjekte für die ausgewählte Anwendung an. Bei SAP-Auslieferungen zeigt sie die SAP-Vorschlagsdaten und für Eigenentwicklungen eine leere Liste an. Sie können die von SAP ausgelieferten Daten modifizieren. Die nachfolgende Vorgehensweise können Sie auch auf Ihre eigenen Entwicklungen anwenden.
Starten Sie das Pflegewerkzeug für die Berechtigungsvorschlagsdaten (Transaktion SU24).
Geben Sie auf der Registerkarte Anwendung die Anwendungen an, deren Vorschlagsdaten Sie bearbeiten wollen, und wählen Sie Ausführen.
Um die Zuordnung von Berechtigungsobjekten zu einer Anwendung anzuzeigen, wählen Sie die Anwendung unter Selektionsergebnis per Doppelklick aus.
Das System zeigt die von der SAP ausgelieferten oder die vom Kunden modifizierten Berechtigungsdaten an. Weitere Informationen finden Sie unter Vorgehen bei der Erstinstallation.
Falls Sie schon modifizierte Berechtigungsdaten in Transaktion SU24 haben, können Sie diese mit den von SAP ausgelieferten Daten über die Taste SAP-Daten abgleichen. Im Änderungsmodus können Sie den Vorschlagsstatus der SAP übernehmen. Falls das Objekt mit dem Berechtigungsvorschlagsstatus Ja ausgeliefert und von Ihnen auch mit diesem Status gepflegt ist, können Sie dessen Berechtigungsvorschlagswerte übernehmen.
Falls Sie weitere relevante Berechtigungsobjekte in die Liste der Objekte aufnehmen wollen, wählen Sie die Taste Objekt und dann
.Um die Zuordnung eines manuell hinzugefügten Berechtigungsobjekts zu entfernen, markieren Sie die Zeile und wählen die Taste Objekt und dann
.Sie können einen Berechtigungstrace in Ihrem System aktivieren, um Berechtigungsprüfungen, die von Anwendungen durchgeführt werden, zu protokollieren. Weitere Informationen über dieses Trace finden Sie unter Traces zu Berechtigungsprüfungen. Um Objekte aus dem Berechtigungstrace in die Liste aufzunehmen, wählen Sie im Änderungsmodus die Taste Objekt und Objekt aus Trace hinzufügen. Sie können dabei den Berechtigungstrace aus dem lokalen oder einem entfernten System auswerten.
Berechtigungsobjekte mit noch ungepflegtem Berechtigungsvorschlagsstatus haben in der Spalte Status keinen Eintrag.
Um einen Vorschlagsstatus zu ändern, markieren Sie auf der Registerkarte Berechtigungsobjekte eine oder mehrere Zeilen und wählen über die Taste Vorschlag einen der folgenden Status aus.
Nein
Dieser Status zeigt an, dass ein Benutzer zum Ausführen der Kernfunktionalität dieser Anwendung keine Berechtigung zu diesem Objekt benötigt. Dies ist nicht zu verwechseln mit dem Prüfkennzeichen für Transaktionen, mit dem die Prüfung ausgeschaltet wird. Weitere Informationen über Prüfkennzeichen finden Sie unten im Abschnitt Prüfkennzeichen der Objekte bearbeiten.
Wenn die Administration die Anwendung zu einer Rolle hinzufügt, übernimmt der Profilgenerator keine Berechtigung für dieses Objekt in die Rolle.
Ja
Dieser Status zeigt an, dass ein Benutzer für die Ausführung der Kernfunktionalität der Anwendung zu diesem Objekt eine Berechtigung benötigt. Wenn die Administration die Anwendung zu einer Rolle hinzufügt, übernimmt der Profilgenerator eine Berechtigung für dieses Objekt in die Rolle. Die Konsequenz ist, dass der Profilgenerator eine Berechtigung zu diesem Berechtigungsobjekt in die Rollenberechtigungen aufnimmt, unter Verwendung der mitgelieferten Berechtigungsvorschlagswerte. Dabei werden die Felder der Berechtigungen mit den vorgeschlagenen Werten vorbelegt. Falls Sie keine Werte mitgeben, können Sie Ja, ohne Werte angeben. Liefern Sie Vorschlagswerte für die Felder des Berechtigungsobjekts aus, bei denen Sie wissen, welche Werte geprüft werden. Felder, die Sie erst in Rollen ausprägen, lassen Sie frei.
Ja, ohne Werte
Dieser Status zeigt an, dass der Benutzer für die Ausführung der Kernfunktionalität der Anwendung zu diesem Objekt eine Berechtigung benötigt. Allerdings enthält das Objekt ausschließlich Felder, die erst beim Ausprägen der Rolle gefüllt werden können.
Wenn der Administrator die Anwendung zu einer Rolle hinzufügt, übernimmt der Profilgenerator für dieses Objekt eine leere Berechtigung in die Rolle.
Leitlinien zum Setzen des Vorschlagsstatus
Berechtigungsobjekte, die Sie im eigenen Coding explizit mit AUTHORITY-CHECK prüfen, erhalten in aller Regel den Berechtigungsvorschlagstatus Ja oder Ja, ohne Werte.
Wenn die Benutzer die Kernfunktionalität einer Anwendung ohne eine bestimmte Berechtigung nicht nutzen können, dann müssen Sie für dieses Berechtigungsobjekt den Vorschlagsstatus Ja oder Ja, ohne Werte vergeben.
Wenn Sie in Transaktion SE93 bei der Definition einer Transaktion ein Berechtigungsobjekt als zusätzliche Startberechtigungsprüfung angegeben haben, müssen Sie diesem Berechtigungsobjekt in Transaktion SU24 den Berechtigungsvorschlagsstatus Ja zuweisen. Setzen Sie als Vorschlagswerte für die Feldwerte mindestens die in Transaktion SE93 eingetragenen Werte.
Basis- und HR-Berechtigungsobjekte, die außerhalb von HR- oder Basisanwendungen geprüft werden, erhalten in aller Regel den Berechtigungsvorschlagsstatus Nein.
Die Startberechtigungsprüfung ist ein Sonderfall und betrifft die Berechtigungsobjekte S_TCODE, S_START, S_RFC und S_SERVICE. Falls Sie Berechtigungsobjekte aus dem Berechtigungstrace übernehmen, wird auch immer das zu einer Anwendung gehörige Startberechtigungsobjekt übernommen (also z.B. S_TCODE für Transaktionen). Für diese Berechtigungsobjekte brauchen Sie nicht den Berechtigungsvorschlagsstatus Ja zu setzen. Da der Profilgenerator automatisch eine Startberechtigung für Ihre Anwendung in die Rolle einfügt, brauchen Sie den Namen Ihrer Anwendung nicht als Berechtigungsvorschlagswert einzutragen. Setzen Sie den Berechtigungsvorschlagsstatus auf Nein.
Sie haben folgende Möglichkeiten:
Um bei Berechtigungsobjekten mit Vorschlagsstatus Ja die Berechtigungsvorschlagswerte anzuzeigen, doppelklicken Sie auf das Feld Ja. Alternativ markieren Sie eine oder mehrere Zeilen im Bearbeitungsmodus und wählen die Taste Vorschlag und den entsprechenden Status.
Um das Traceauswertungswerkzeug zu starten, wählen Sie die Taste Trace auswerten. Die Traceauswertung zeigt die aufgezeichneten Berechtigungsprüfungen samt geprüfter Berechtigungswerte an. Sie können relevante Werte übernehmen. Sie können sowohl den Berechtigungs- als auch den Systemtrace verwenden. Beide Traces können Sie entweder lokal oder in einem entfernten System verwenden. Weitere Informationen finden Sie unter In Transaktion SU22 oder SU24 Berechtigungsvorschlagswerte über Traceauswertung pflegen oder im System in Transaktion SU22 unter der Informationstaste.
Leitlinien zum Setzen der Vorschlagswerte
Tragen Sie für Felder, die Aktivitäten oder andere Festwerte beschreiben, die Werte ein, die das System bei der Berechtigungsprüfung Ihrer Anwendung prüft.
Tragen Sie für Berechtigungsobjekte, die das Aktivitätsfeld ACTVT beinhalten, nur solche Aktivitäten ein, die die Entwicklung bei der Definition des Berechtigungsobjekts als erlaubte Aktivitäten hinterlegt hat.
Felder, die Organisationseinheiten beschreiben, sind automatisch mit der entsprechenden Variablen $VARIABLENNAME vorbelegt, die das System später beim Anlegen einer Rolle füllt. Lassen Sie diese Variablennamen so stehen.
Lassen Sie Felder leer, die Sie erst bei der Rollenausprägung füllen wollen.
Bei von Ihrer Anwendung nicht verwendeten Berechtigungsobjektfeldern, die das System in der ABAP-Anweisung AUTHORITY-CHECK gegen DUMMY prüft, tragen Sie den Wert ' ' mit Hochkommata ein oder bei Feldern der Länge 1 ein einzelnes Hochkomma '.
Wenn Sie für kein Feld eines Berechtigungsobjekts Berechtigungsvorschlagswerte angeben können (z.B. weil das Berechtigungsobjekt nur Customizing-Felder hat), setzen Sie den Berechtigungsvorschlagsstatus auf Ja, ohne Werte statt auf Ja. Wenn ein Berechtigungsadministrator Ihre Anwendung in eine Rolle aufnimmt, nimmt der Profilgenerator eine Berechtigung zu diesem Objekt in eine Rolle auf, aber er belegt kein Feld mit einem Vorschlagswert vor.
Ausschließlich bei Transaktionen können Sie die Berechtigungsprüfung zusätzlich mit Prüfkennzeichen steuern, die pro Berechtigungsobjekt gesetzt sind.
Um ein Prüfkennzeichen zu ändern, markieren Sie auf der Registerkarte Berechtigungsobjekte die Zeile und wählen Sie über die Taste Prüfkennzeichen einen der folgenden Status aus:
Prüfen
Standardprüfkennzeichen
Nicht prüfen
Die Berechtigungsprüfung ist für dieses Berechtigungsobjekt deaktiviert. Sie stellt nicht fest, ob die Benutzer eine geeignete Berechtigung haben.
Gilt für ein bestimmtes Berechtigungsobjekt einer Transaktion und bewirkt, dass die Berechtigungsprüfung gegen dieses Objekt für diese Transaktion deaktiviert und somit immer erfolgreich ist. Dabei gibt die ABAP-Anweisung AUTHORITY-CHECK immer sy-subrc=0 zurück, sodass die Berechtigungsprüfung unwirksam ist. Die Prüfung stellt also nicht fest, ob der Benutzer eine geeignete Berechtigung hat. Setzen Sie diesen Wert daher nur in Ausnahmefällen. Für Basis- und HR-Berechtigungsobjekte ist er generell nicht zulässig. Wenn eine Transaktion ohne eine bestimmte Berechtigung nicht benutzbar ist, ist es meist falsch, das Prüfkennzeichen Nicht prüfen für dieses Berechtigungsobjekt zu vergeben. Lassen Sie stattdessen das Prüfkennzeichen auf Prüfen stehen, setzen Sie den Berechtigungsvorschlagsstatus auf Ja und geben Sie passende Berechtigungsvorschlagswerte an. Auf diese Weise erhalten die Benutzer eine geeignete Berechtigung, wenn die Administration die Transaktion zu einer Rolle hinzufügt. Wenn Sie keine sinnvollen Berechtigungsvorschlagswerte angeben können, setzen Sie den Berechtigungsvorschlagsstatus Ja, ohne Werte.