Die SAP Basis: das Herzstück des SAP-Systems
SAP Basis Dienstleistung auf Nummer sicher
IT-Experten gehen mit den Einsatz von Tools wie RedHat Ansible erste Schritte in der Automatisierung. Bei uns zum Beispiel kommt Ansible für den Massen-Rollout von Agenten in großen Umgebungen zum Einsatz.
Für die Berechtigungsanforderung eines Nutzers sollen entsprechend die bereits vergebenen Transaktionen mit Nutzerzuordnung ermittelt werden, um diese beim Heraussuchen einer passenden Rolle ausschließen zu können. Wie gelingt dies? Für die Ermittlung bestimmter Transaktionen mit Nutzerzuordnung bestehen verschiedene Möglichkeiten mit unterschiedlicher Ausprägung des Ergebnisses. Im folgenden Beitrag werden zwei Varianten vorgestellt. Im ersten Abschnitten wird zunächst beschrieben, wie das Problem mittels SUIM angegangen werden kann und welche Probleme dabei auftreten. Anschließend wird erläutert, wie die Aufgabe durch die Nutzung der Transaktion SE16N gelöst werden kann. Wie schon im vorangegangenen Blog-Beitrag Ermittlung aller Transaktionen mehrerer Rollen werden hierfür die Rollen Test_Schmidt1 und Test_Schmidt2 genutzt. Diesen Rollen wurden jeweils zwei der Transaktionen MM01, MM02, MM03 sowie MM04 auf unterschiedlichen Wegen zugeordnet. Bei der Rolle Test_Schmidt1 wurden die Transaktionen MM01 und MM02 im Menü der Rolle eingepflegt. Bei der Rolle Test_Schmidt2 wurde die Transaktion MM03 im Menü der Rolle, die Transaktion MM04 jedoch lediglich im Berechtigungsobjekt S_TCODE der Rolle gepflegt. Dem Nutzer SCHMIDT_TEST wurden beide Rollen zugeordnet. Ermittlung bestimmter Transaktionen mit Nutzerzuordnung mittels SUIM Diese Variante bietet sich an, wenn lediglich eine Transaktion auf ihre bestehende Zuordnung zu einem bestimmten Nutzer hin geprüft werden soll. Die Prüfung erfolgt hier mittels der Transaktion SUIM. Zunächst muss hierfür in der SUIM die Variante "Rollen nach komplexen Selektionskriterien" ausgeführt werden. Nach Aktivierung der Option "Mit gültiger Zuordnung von" wird hier nun der entsprechende Nutzer und die zu überprüfende Transaktion eingetragen. Außerdem empfiehlt es sich, die Anzeige von Sammelrollen in den Suchergebnissen auszublenden.
SM14 Verbucheradministration
Um die ABAP-/Dynro-Generierung zu beinflussen, wählen Sie im Einstiegsbild der SPAM Zusätze. Funktion Menüpfad Generierung ein- bzw. ausschalten Einstellungen Generierungsfehler während des Einspielens ignorieren Gen-Fehler ignorieren Fehler in SPAM-Schritten Wenn ein Fehler in einem Schritt erkannt wird, unterbricht die Transaktion SPAM die Verarbeitung bis der Fehler behoben ist. Sie können sich stets mit Status darüber informieren, in welchem Schritt und aus welchem Grund abgebrochen wurde. Arten von Fehlern Es gibt die folgenden Arten von Fehlermeldungen: Sicherheitsüberprüfungen der Transaktion SPAM Ein typisches Beispiel hierfür ist der Schritt OBJECTS_LOCKED_? Die Transaktion SPAM unterbricht die Verarbeitung, wenn Objekte noch in Aufträgen gesperrt sind, die von der Queue überschrieben werden sollen. Fehlermeldungen der Programme tp und R3trans Die Fehlerursache ist immer im entsprechenden Transportprotokoll zu finden. Ein typisches Beispiel hierfür ist der Schritt TEST_IMPORT. Hier wird überprüft, ob es unbestätigte Reparaturen an Objekten gibt, die von der Queue überschrieben werden. Die betroffenen Objekte sind im Testimport-Protokoll aufgelistet. Mangelhafte Einrichtung des Change and Transport System Häufige Fehler sind hier das Fehlen entsprechender Rechte auf den Dateien des Change and Transport System oder die Verwendung alter Programmversionen von tp oder R3trans. Überprüfen Sie die korrekte Funktion der Transporttools mit Hilfsmittel Transport Tool prüfen. Ein typisches Beispiel hierfür ist der Schritt DISASSEMBLE. Wenn adm keine Schreibrechte für das Verzeichnis /usr/sap/trans/data (UNIX) hat, dann bricht SPAM beim Schritt DISASSEMBLE mit CANNOT_DISASSEMBLE_R_DATA_FILE ab. Die Transaktion SPAM setzt voraus, daß das Change and Transport System [Extern] korrekt eingerichtet ist. Weitere Informationen zu bekannten Problemen finden Sie in den Hinweisen 97630 und 97620.
SAP empfiehlt ein Rollendesign für Fiori Berechtigungen basierend auf den definierten Katalogen und Gruppen im Launchpad. In einem solchen Katalog steht üblicherweise ein Set von Apps und Services welches für eine spezifische Benutzergruppe relevant ist. Wenn eine Rolle für einen oder mehrere Kataloge im Launchpad berechtigt wurde, werden beim Starten des Launchpads die entsprechenden Kataloge und Gruppen im App-Finder nur für die berechtigten User angezeigt. So kann sichergestellt werden, dass jeder Anwender nur das sieht womit er im Endeffekt auch arbeitet. Wichtig: Diese Fiori Berechtigungen werden auf dem Frontend-Server gepflegt! Katalogberechtigungen in der PFCG pflegen Um eine Fiori Berechtigung zum Öffnen eines Katalogs für eine Rolle hinzuzufügen, öffnen Sie diese Rolle wieder in der PFCG im Änderungsmodus und befolgen Sie die nächsten Schritte: 1) Menü-Reiter auswählen 2) Klicken Sie auf den kleinen Pfeil zum Hinzufügen eines Elements 3) Wählen Sie "SAP Fiori Kachelkatalog" aus Anschließend wählen Sie die entsprechende Katalog-ID aus, für die die gewählte Rolle berechtigt werden soll. Jetzt muss die Rolle nur noch den zugehörigen Benutzern im System zugeordnet werden. Wenn Sie diese Schritte durchgeführt haben, sind die nötigen Fiori Berechtigungen zur individuellen Anzeige von Kachelkatalogen auf dem Launchpad vorhanden.
Mit "Shortcut for SAP Systems" werden Aufgaben im Bereich der SAP Basis vereinfacht und fehlende Funktionen des Standards ergänzt.
Somit kann keine Redo- Information mehr geschrieben werden; die Datenbank und damit auch die SAP-Instanzen bleiben stehen.
Beim komponentenübergreifenden Tracing ist es möglich, bei einer Transaktion in der Benutzeroberfläche, d. h. im Webbrowser oder im SAP GUI, zentral einen Trace einzuschalten, der dann mit dem Datenstrom über die beteiligten Komponenten verteilt wird.