- 20. Mai 2015

SXMB_MONI: Keine Berechtigung für Payload

SXMB_MONI_03

Die SXMB_MONI lässt die Anzeige der Berechtigung für Payload nicht zu, obwohl die Berechtigung vergeben zu sein scheint. Die Lösung liegt in einer missverständlichen Ausprägung des Berechtigungsobjekt S_XMB_MONI.

Sie benutzen noch ein veraltetes Berechtigungskonzept mit Security-Problemen?
Fachbereichsleiter Tobias Harmes

Wir führen für Sie ein revisionssicheres SAP Berechtigungskonzept ein, das die Sicherheit in Ihrem Unternehmen nachhaltig erhöht. Dabei verwenden wir eine standardisierte Vorgehensweise zur Einführung von neuen Berechtigungen, die wir bei vielen Kunden erfolgreich eingesetzt haben. Deshalb haben wir dafür auch ein passendes Angebot: Neues SAP Berechtigungskonzept.

Unsere Referenzen finden Sie hier.

Kontaktieren Sie mich: Telefon 0211.9462 8572-25 oder per E-Mail harmes@rz10.de.

In einem unverbindlichen Gespräch kann ich mit Ihnen über Ihre Ausgangslage sprechen und Ihnen Möglichkeiten aufzeigen. Selbstverständlich können wir danach auch ein unverbindliches Angebot unterbreiten.

SXMB_MONI erlaubt Anzeige der Berechtigung für Payload nicht

Beim Ausführen des Monitors für verarbeitete XML-Messages in der Transaktion SXMB_MONI kommt es bei der Anzeige der Payload zu einem Berechtigungsfehler: „Sie haben keine Berechtigung zur Durchführung dieser Aktion„.

SXMB_MONI_01

Die zugehörige, detaillierte Fehlerbeschreibung gibt leider keinen Hinweis darauf, welche Berechtigungen genau fehlen. Stattdessen wird auf Meldungsnummer XMS_ADM304 verwiesen.

SXMB_MONI_02

SXMB_MONI und das zugehörige Berechtigungsobjekt S_XMB_MONI

Das entscheidende Berechtigungsobjekt der Transaktion SXMB_MONI heißt S_XMB_MONI. Es besteht aus insgesamt sieben Berechtigungsfeldern:

ACTVT: Aktivität
SXMBPARTY: Kommunikationspartner
SXMBPRTAG: vergebene Agentur
SXMBPRTYP: Identifikationsschema
SXMBSERV: Service
SXMBIFNS: Interace Namespace
SXMBIFNAME: Interface Name

Für unseren Fehler ist – sofern Interface, Agentur, Schema etc. korrekt berechtigt sind – das Berechtigungsfeld ACTVT interessant. Die Ausprägungen von ACTVT sind bei S_XMB_MONI die folgenden:

02 – Ändern
03 – Anzeigen
16 – Ausführen
29 – Gespeicherte Daten anzeigen (Payload einer XML-Message anzeigen)
36 – Erweiterte Pflege
96 – Ablehnen
A3 – Status ändern

Ich bin davon ausgegangen, dass der Wert 29 zum Anzeigen der Payload ausreicht. Grundsätzlich ist das auch korrekt. Interessant wird es, wenn ein User bspw. aus einer anderen Rolle heraus den Wert 96 für ACTVT im Objekt S_XMB_MONI erhält oder wie im unten dargestellten Beispiel beide Werte in einer Rolle erhält:

SXMB_MONI_03

Mit den oben dargestellten Berechtigungswerten 29 und 96 wird ein User keine Payload anzeigen können und stattdessen den in diesem Beitrag behandelten Fehler sehen. Der Grund ist, dass Aktivität 96 („-Ablehnen“) die Aktivität 29 („-Gespeicherte Daten anzeigen“) überlagert! 

Aktivität 96 steht für: Ablehnen, d.h. in diesem Fall die Payload einer Nachricht nicht anzeigen. Dieser Wert überlagert den Wert 29 („Anzeigen der Payload“), jedoch nicht die Gesamtberechtigung *.

SXMB_MONI: Wenn ein User mit mehr Rollen weniger anzeigen kann, als ein User mit weniger Rollen

Denn genau durch so einen Fall bin ich auf den Berechtigungswert 96 aufmerksam geworden. Ein User mit „scheinbar“ weniger Berechtigungen (d.h. weniger Rollen) konnte die Payload anzeigen – ein Notfalluser mit mehr Rollen konnte die Payload nicht sehen. Interessant war, dass der Notfalluser auch dann keine Payload anzeigen konnte, nachdem das Berechtigungsobjekt S_XMB_MONI in einer der Rollen im Berechtigungsfeld ACTVT um * erweitert wurde. Letztendlich kam ich durch einen SAP-Hinweis (SAP Note 1174305) auf den Berechtigungswert ACTVT = 96. Mithilfe der SUIM habe ich festgestellt, dass der Notfalluser aus einer anderen Rolle (!) explizit die Aktivität 96 erhalten hat. In diesem Fall hat der Wert 96 selbst die Gesamtberechtigung aus einer anderen Rolle überlagert! Erst nachdem dieser Wert entfernt wurde, konnte der Notfalluser die Payload anzeigen.

Falls Sie also aktuell mit genau diesem Problem kämpfen, empfehle ich die Rollen des betroffenen Users nach Berechtigungsobjekt S_XMB_MONI mit ACTVT = 96 zu durchsuchen – und diese, sofern gewünscht, zu entfernen.

Haben Sie bereits ähnliche Erfahrungen mit diesem Berechtigungsfehler gemacht? Oder haben Sie weitere Beispiele für „Wenn ein User mit mehr Rollen weniger anzeigen kann, als ein User mit weniger Rollen“? Ich freue mich auf Ihre Erfahrungen und Kommentare!

SAP Notes

Links:
SAP Note 1174305

P.S. Wussten Sie schon, dass Sie SAP Notes ganz einfach mithilfe unserer Domain aufrufen können? Geben Sie einfach www.rz10.de/Nummer-der-SAP-Note in Ihren Browser ein und schon öffnet sich die SAP Note. Probieren Sie es aus: www.rz10.de/1174305

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:


SHARE



Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.