SXMB_MONI: Keine Berechtigung für Payload

Autor: Dominik Busse | 20. Mai 2015

20

Die SXMB_MONI lässt die Anzeige der Berechtigung für Payload nicht zu, obwohl die Berechtigung vergeben zu sein scheint. Die Lösung liegt in einer missverständlichen Ausprägung des Berechtigungsobjekt S_XMB_MONI.

SXMB_MONI erlaubt Anzeige der Berechtigung für Payload nicht

Beim Ausführen des Monitors für verarbeitete XML-Messages in der Transaktion SXMB_MONI kommt es bei der Anzeige der Payload zu einem Berechtigungsfehler: “Sie haben keine Berechtigung zur Durchführung dieser Aktion”.

SXMB_MONI_01

Die zugehörige, detaillierte Fehlerbeschreibung gibt leider keinen Hinweis darauf, welche Berechtigungen genau fehlen. Stattdessen wird auf Meldungsnummer XMS_ADM304 verwiesen.

SXMB_MONI_02

SXMB_MONI und das zugehörige Berechtigungsobjekt S_XMB_MONI

Das entscheidende Berechtigungsobjekt der Transaktion SXMB_MONI heißt S_XMB_MONI. Es besteht aus insgesamt sieben Berechtigungsfeldern:

ACTVT: Aktivität
SXMBPARTY: Kommunikationspartner
SXMBPRTAG: vergebene Agentur
SXMBPRTYP: Identifikationsschema
SXMBSERV: Service
SXMBIFNS: Interace Namespace
SXMBIFNAME: Interface Name

Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater

Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.

Für unseren Fehler ist – sofern Interface, Agentur, Schema etc. korrekt berechtigt sind – das Berechtigungsfeld ACTVT interessant. Die Ausprägungen von ACTVT sind bei S_XMB_MONI die folgenden:

02 – Ändern
03 – Anzeigen
16 – Ausführen
29 – Gespeicherte Daten anzeigen (Payload einer XML-Message anzeigen)
36 – Erweiterte Pflege
96 – Ablehnen
A3 – Status ändern

Ich bin davon ausgegangen, dass der Wert 29 zum Anzeigen der Payload ausreicht. Grundsätzlich ist das auch korrekt. Interessant wird es, wenn ein User bspw. aus einer anderen Rolle heraus den Wert 96 für ACTVT im Objekt S_XMB_MONI erhält oder wie im unten dargestellten Beispiel beide Werte in einer Rolle erhält:

SXMB_MONI_03

Mit den oben dargestellten Berechtigungswerten 29 und 96 wird ein User keine Payload anzeigen können und stattdessen den in diesem Beitrag behandelten Fehler sehen. Der Grund ist, dass Aktivität 96 (“-Ablehnen”) die Aktivität 29 (“-Gespeicherte Daten anzeigen”) überlagert!

Aktivität 96 steht für: Ablehnen, d.h. in diesem Fall die Payload einer Nachricht nicht anzeigen. Dieser Wert überlagert den Wert 29 (“Anzeigen der Payload”), jedoch nicht die Gesamtberechtigung *.

Unser E-Book zum SAP Berechtigungskonzept

E-Book SAP Berechtigungskonzept

Wozu ein Berechtigungskonzept? Welche Elemente enthält es idealerweise und welche Tools erleichtern das Berechtigungsdesign?

SXMB_MONI: Wenn ein User mit mehr Rollen weniger anzeigen kann, als ein User mit weniger Rollen

Denn genau durch so einen Fall bin ich auf den Berechtigungswert 96 aufmerksam geworden. Ein User mit “scheinbar” weniger Berechtigungen (d.h. weniger Rollen) konnte die Payload anzeigen – ein Notfalluser mit mehr Rollen konnte die Payload nicht sehen. Interessant war, dass der Notfalluser auch dann keine Payload anzeigen konnte, nachdem das Berechtigungsobjekt S_XMB_MONI in einer der Rollen im Berechtigungsfeld ACTVT um * erweitert wurde. Letztendlich kam ich durch einen SAP-Hinweis (SAP Note 1174305) auf den Berechtigungswert ACTVT = 96. Mithilfe der SUIM habe ich festgestellt, dass der Notfalluser aus einer anderen Rolle (!) explizit die Aktivität 96 erhalten hat. In diesem Fall hat der Wert 96 selbst die Gesamtberechtigung aus einer anderen Rolle überlagert! Erst nachdem dieser Wert entfernt wurde, konnte der Notfalluser die Payload anzeigen.

Falls Sie also aktuell mit genau diesem Problem kämpfen, empfehle ich die Rollen des betroffenen Users nach Berechtigungsobjekt S_XMB_MONI mit ACTVT = 96 zu durchsuchen – und diese, sofern gewünscht, zu entfernen.

Haben Sie bereits ähnliche Erfahrungen mit diesem Berechtigungsfehler gemacht? Oder haben Sie weitere Beispiele für “Wenn ein User mit mehr Rollen weniger anzeigen kann, als ein User mit weniger Rollen”? Ich freue mich auf Ihre Erfahrungen und Kommentare!

SAP Notes

SAP Note 1174305

P.S. Wussten Sie schon, dass Sie SAP Notes ganz einfach mithilfe unserer Domain aufrufen können? Geben Sie einfach www.rz10.de/Nummer-der-SAP-Note in Ihren Browser ein und schon öffnet sich die SAP Note. Probieren Sie es aus: www.rz10.de/1174305

Sie benötigen Unterstützung in diesem Thema? Informieren Sie sich über unsere Leistungen im Bereich SAP- und IT-Security-Beratung oder stellen kostenlos und unverbindlich eine Anfrage.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Dominik Busse

Autor

Dominik Busse

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice