Christian Stegemann
 - 19. Juni 2019

Wie wirken sich gelbe Berechtigungsfelder in Rollen auf Berechtigungen aus?

Nicht selten trifft man auf Rollen, die zwangsweise generiert wurden. Das heißt, es waren vor der Generierung noch gelbe Felder in der Rolle und es wurde die Generierung erzwungen. Welche Auswirkungen haben gelbe Berechtigungsfelder auf die Berechtigungen des Benutzers?

Lassen Sie mich das an einigen Beispielen erklären.
Sie können die Beispiele anhand von Variationen des folgenden ABAP Quellcodes nachvollziehen:

REPORT BEISPIEL_RZ10.
AUTHORITY-CHECK OBJECT 'P_ORGIN' FOR USER user
    ID 'AUTHC' FIELD 'R'
    ID 'INFTY' FIELD '0002'
    ID 'PERSA' FIELD '*'
    ID 'PERSG' DUMMY
    ID 'PERSK' FIELD '*'
    ID 'SUBTY' FIELD '*'
    ID 'VDSK1' FIELD '*'.

if sy-subrc NE ).
  write'error'.
endif.

 

Wir bauen nun eine Rolle, die das Berechtigungsobjekt P_ORGIN beinhaltet:

P_ORGIN

Berechtigungsobjekt P_ORGIN

Bei einer Berechtigungsprüfung auf das Objekt P_ORGIN wäre das Ergebnis der Abfrage ID ‘PERSG’ DUMMY  SY-SUBRC = 0, da wir im Quellcode einen DUMMY Wert hinterlegt haben, der im Prinzip nicht geprüft wird. Das heißt, hier wäre eine erfolgreiche Prüfung durchgeführt worden. Wäre das Objekt nun aber mit ID ‘PERSG’ FIELD ‘*’ im Quellcode bewertet, ergäbe die Prüfung SY-SUBRC = 4, da zwar das Feld Mitarbeitergruppe (PERSG) abgefragt wurde, aber in der Rolle selber nicht gefüllt ist. Das SAP System legt daher im Benutzerpuffer einen Wert von PERSG = ” ab. Die Prüfung schlägt fehl und es gibt einen Returncode von 4.

Es kommt also immer darauf an, ob beim Aufruf des AUTHORITY-CHECK ein Feld abgefragt wird oder nicht. Dabei ist es auch unerheblich, ob man nun die Felder, die man nicht prüfen will, mit DUMMY programmiert oder einfach die Zeilen weglässt.

Fazit

Es kann also ohne Weiteres vorkommen, dass eine Rolle, obwohl sie gelbe Bewertungen hat, bei der einen Transaktion funktioniert, jedoch bei einer anderen nicht. Sie müssten dann die Programme auf AUTHORITY-CHECK prüfen und nachsehen, wie genau der AUTHORITY-CHECK programmiert ist. Je nach Programmierung kann es dadurch zu schlimmen Seiteneffekten kommen, so dass man eigentlich von offenen (gelben) Berechtigungen in Rollen nur abraten kann.

Christian Stegemann

Mein Name ist Christian Stegemann und ich bin begeisterter SAP Consultant bei mindsquare. Wie meine Kollegen habe ich mein Hobby zum Beruf gemacht.

Sie haben Fragen? Kontaktieren Sie mich!

Kostenloses E-Book zum Thema SAP Berechtigungstools als Download:

Kostenloses E-Book zum Thema SAP Berechtigungskonzept als Download:

Jetzt das kostenlose E-Book zum Thema SAP Berechtigungen downloaden:

RZ10.de Podcast für SAP Basis & Security



Das könnte Sie auch interessieren


Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.





Angebot anfordern
Preisliste herunterladen
Expert Session
Support