Wie wirken sich gelbe Berechtigungsfelder in Rollen auf Berechtigungen aus?

Autor: Christian Stegemann | 19. Juni 2019

1 | #Redesign SAP Berechtigungen

Nicht selten trifft man auf Rollen, die zwangsweise generiert wurden. Das heißt, es waren vor der Generierung noch gelbe Felder in der Rolle und es wurde die Generierung erzwungen. Welche Auswirkungen haben gelbe Berechtigungsfelder auf die Berechtigungen des Benutzers?

Lassen Sie mich das an einigen Beispielen erklären.
Sie können die Beispiele anhand von Variationen des folgenden ABAP Quellcodes nachvollziehen:

REPORT BEISPIEL_RZ10.
AUTHORITY-CHECK OBJECT 'P_ORGIN' FOR USER user
    ID 'AUTHC' FIELD 'R'
    ID 'INFTY' FIELD '0002'
    ID 'PERSA' FIELD '*'
    ID 'PERSG' DUMMY
    ID 'PERSK' FIELD '*'
    ID 'SUBTY' FIELD '*'
    ID 'VDSK1' FIELD '*'.

if sy-subrc NE ).
  write'error'.
endif.

 

Wir bauen nun eine Rolle, die das Berechtigungsobjekt P_ORGIN beinhaltet:

P_ORGIN

Berechtigungsobjekt P_ORGIN

Bei einer Berechtigungsprüfung auf das Objekt P_ORGIN wäre das Ergebnis der Abfrage ID ‘PERSG’ DUMMY  SY-SUBRC = 0, da wir im Quellcode einen DUMMY Wert hinterlegt haben, der im Prinzip nicht geprüft wird. Das heißt, hier wäre eine erfolgreiche Prüfung durchgeführt worden. Wäre das Objekt nun aber mit ID ‘PERSG’ FIELD ‘*’ im Quellcode bewertet, ergäbe die Prüfung SY-SUBRC = 4, da zwar das Feld Mitarbeitergruppe (PERSG) abgefragt wurde, aber in der Rolle selber nicht gefüllt ist. Das SAP System legt daher im Benutzerpuffer einen Wert von PERSG = ” ab. Die Prüfung schlägt fehl und es gibt einen Returncode von 4.

Es kommt also immer darauf an, ob beim Aufruf des AUTHORITY-CHECK ein Feld abgefragt wird oder nicht. Dabei ist es auch unerheblich, ob man nun die Felder, die man nicht prüfen will, mit DUMMY programmiert oder einfach die Zeilen weglässt.

Fazit

Es kann also ohne Weiteres vorkommen, dass eine Rolle, obwohl sie gelbe Bewertungen hat, bei der einen Transaktion funktioniert, jedoch bei einer anderen nicht. Sie müssten dann die Programme auf AUTHORITY-CHECK prüfen und nachsehen, wie genau der AUTHORITY-CHECK programmiert ist. Je nach Programmierung kann es dadurch zu schlimmen Seiteneffekten kommen, so dass man eigentlich von offenen (gelben) Berechtigungen in Rollen nur abraten kann.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Christian Stegemann

Autor

Christian Stegemann

B. Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support