System Beratung Klüppelberg (IT-Berechtigungen, IT-Sicherheit) Startseite System Beratung Klüppelberg (SyBeKlü), MannheimSystem Beratung Klüppelberg in Mannheim
  
pic
 
 |   Mittwoch, 22.02.2017 09:30:17  
Stand: 29.03.2016

Die Techniken für Berechtigungskonzepte bei R/3 - Systemen

In älteren R/3-Systemen wurden das Berechtigungswesen mit sog. Profilen realisiert. Ab der Version 4.xx wurde über dieses Konzept der Profile das der sog. Aktionsgruppen oder auch Rollen gelegt. In den neueren Systemen, wird im Berechtigungswesen nur noch mit diesen Rollen gearbeitet. Zum Erstellen der Rollen steht der Profilgenerator (PFCG) zur Verfügung.

Hier soll nun kurz dargestellt werden, wie sich die Berechtigungen in Rollen wiederfinden, und wie sie mit den laufenden Programmen agieren. Weitere detailliertere Informationen können Sie auch in meinen BLOG unter http://blog.technik.berechtigung.sybeklue.de erhalten.

1. Die Berechtigungsrolle (B-Rolle)

Die Berechtigungsrolle (B-Rolle) besitzt ein sogenanntes Berechtigungsprofil (B-Profil), das wiederum alle Berechtungsobjekte (B-Objekt) sammelt. In den Berechtigungsobjekten werden die Bewertungen für die einzelnen im Objekt befindlichen Berechtigungsfelder (B-Felder) durchgeführt.

Diese Rolle wird nun mit ihren Ausprägungen einem Benutzer zugeordnet. Damit erhält der Benutzer die Rechte für alle in der Rolle definierten Objektbewertungen.

2. Explizite Prüfungen im Berechtigungswesen des Systems (Auth-Check)

Aber erst wenn der Benutzer ein Programm aufruft, wird aus dem Programm heraus geprüft, ob der Benutzer die Berechtigung für ein B-Objekt mit der Ausprägung hat. Prüft das Programm nicht, dann kann auch kein Schutz für dieses Programm aufgebaut werden. Lediglich beim Start des Programms mittels einer Transaktion wird seitens des Systems geprüft, ob der Benutzer die Transaktion aufrufen darf. Fast alle anderen Prüfungen müssen in der Programmierung abgehandelt werden. Dazu steht die Anweisungsfolge

             AUTHORITY-CHECK OBJECT 'Z_XLVL_DEB'
                              ID 'ACTVT'    FIELD '02'
                              ID 'ZFELD3' FIELD 'F'.
IF SY-SUBRC <> 0. MESSAGE E... ENDIF.

zur Verfügung. Hier wird beispielsweise geprüft, ob das Objekt Z_XLVL_DEB mit der Bewertung ACTVT (Activität) = 02 und dem ZFELD3 = B dem Benutzer zugeordnet ist. Wenn ja, dann geht's weiter; wenn nein, dann erfolgt eine Meldung.

Eine Ausnahme für die Prüfung, ob ein Benutzer eine Transaktion aufrufen darf, gibt es: Es ist der sog. programmierte Transaktionsaufruf. D.h. wird aus einem Programm heraus eine Transaktion gestartet, dann wird vom System der automatische Transaktionsaufruf-Check nicht geprüft. (sog. CALL TRANSACTION)!

3. Automatische Prüfungen im Berechtigungswesen des Systems

Einige weitere Berechtigungsprüfungen werden vom System automatisch geprüft. So z.B. das Recht auf einen externen Datenträger zuzugreifen (S_DATASET). Fehlt dem Benutzer beim Öffnen der externen Datei die Berechtigung, so wird ein Systemfehler und ein Dump (ST22) ausgeöst. Deshalb sollte man bei der Eigenentwicklung vor dem Öffen einer externen Datei immer einen Authority-Check auf das Objekt S_DATASET programmieren, und ggf. selbst dann eine Fehlermeldung auszugeben, um einen Dump zu vermeiden.

 

Das ist eigentlich schon die ganze Kunst im Berechtigungswesen. Doch wie immer liegt im Detail die Lösung. Bei ca. 2000 Berechtigungsobjekten mit durchschnittlich 4-10 B-Feldern und fast 130 Berechtigungsklassen, kommt schon ein gewisses Maß an Kompexität hinzu. Sie als Berechtigungsadministrator haben nun die Aufgabe, all das in ein ordentliches funktionierendes Konzept zu pressen und zu realisieren.

Entweder man kennt sich in der Vielzahl der Programme und Transaktionen aus, oder man muss durch Suchfunktionen auf die geforderten Berechtigungen für ein Programm kommen. Einige Techniken dazu haben sich im Laufe der Zeit herausgebildet. SAP® bietet dazu natürlich auch eine gewisse Unterstützung mit Such-Transaktionen des Benutzer-Info-Systems, doch wird es nicht ausbleiben, sich auch mal ein Programm näher anzusehen.

Tipps und Tricks für das Berechtigungswesen von SyBeKlü

Einige Tipps und Tricks können Sie auch von SyBeKlü beziehen. Dafür müssen Sie sich allerdings registrieren, und erhalten dann etliche informative Newsletter und eBooks. Wenn Sie sich dann als Benutzer der Seite einloggen, werden Ihnen auch Downloads, sowie Zusatzseiten angezeigt, die der "normale" Benutzer nicht sehen kann.

Alles steht und fällt mit einem ausgereifen Konzept, wie man welche Rollen baut und sie den einzelnen Benutzern zuordnet. Wie man nun ein solches Konzept erstellt, soll im Abschnitt Konzeptüberlegungen beschrieben werden.

 

Hinweis:
Auf der Internetpräsenz werden eine Vielzahl von Programmen der SAP®-AG genannt, meist erkenntlich durch die Silbe SAP am Anfang des Programmnamens. Da der Autor dieser Seite leider keine Kenntnis hat, welche Programme mit Warenzeichen versehen sind, sei hier darauf hingewiesen, dass diese Programme von der SAP®-AG entwickelt wurden. Das gleiche gilt für andere Programme- oder Systemnamen, die von den Firmen Microsoft, IBM, Software AG und Siemens sind. Wo immer es ging, wurde auf den Hersteller verwiesen.

 
 
Suche bei Google oder innerhalb SyBeKlue
Google
 
SyBeKlue arbeitet mit
Mini-Logo HE S 3C
Unsere Meinung:
Host Europe ist schnell, preiswert, und hat eine sehr hohe Verfürbarkeit und sehr guten Service. Ein Klick auf das Logo, und Sie erhalten alle notwendigen Informationen
Tipps für Ihre Freizeitgestaltung   Wollen Sie interessante Dinge in Ihrer Freizeit erleben? Hier wäre mein Vorschlag.