RFC-Funktionsbausteine aufrufen
Den Verantwortungsbereich RESPAREA zur Organisationsebene machen
Abschließend wollen wir Ihnen einige Empfehlungen für die Absicherung des Dateizugriffs mit auf den Weg geben. Mit der Tabelle SPTH können Sie bereits ohne Vergabe von Berechtigungen das Dateisystem grundsätzlich vor Zugriffen von ABAP-Programmen schützen und bewusst Ausnahmen definieren. Das Problem ist die Ermittlung der notwendigen Ausnahmen. Da die Prüfung auf SPTH aber immer zusammen mit der Prüfung auf das Objekt S_DATASET durchgeführt wird, können Sie die verwendeten Pfade über einen lang laufenden Berechtigungstrace mit Filter für das Berechtigungsobjekt S_DATASET ermitteln. Die Vorgehensweise dafür ist im Detail in unserem Tipp 39, »Vorschlagswerte unter der Zuhilfenahme von Traceauswertungen pflegen«, beschrieben. Wenn Sie Anwendungen einsetzen, die ohne Pfad auf Dateien im Verzeichnis DIR_HOME zugreifen, wie z. B. die Transaktion ST11, müssen Sie den Zugriff auf die erlaubten Dateigruppen einzeln spezifizieren (z. B. dev_, gw_), da es eine Wildcard für DIR_HOME nicht gibt.
Als Rollenentwickler können Sie nun in der Transaktion PFCG auf der Registerkarte Menü aus der Liste der von den Softwareentwicklern veröffentlichten Web-Dynpro-Anwendungen die konkret benötigte Anwendung auswählen und im Menü der Rolle eintragen. Zum Generieren des Rollenprofils wechseln Sie dann auf die Registerkarte Berechtigungen. Dort können Sie die konkreten Werteausprägungen der Berechtigungsfelder von S_START und gegebenenfalls die für diese Webanwendung zusätzlich relevanten Berechtigungsobjekte prüfen und bei Bedarf ergänzen. Zuletzt müssen Sie, wie gewohnt, das Rollenprofil generieren.
Den Zeitstempel in der Transaktion SU25 verwenden
Sie sind auf eine Rolle gestoßen, die manuell gepflegte Organisationsebenen beinhaltet. Selbst wenn Sie den Fehler manuell in der Rolle beheben, indem Sie im Berechtigungsobjekt den manuell gepflegten Wert der Organisationsebenen manuell löschen, wird der jeweilige Wert aus der Organisationsebene nicht gezogen. Mit dem Report AGR_RESET_ORG_LEVELS können Sie diese Werte für die Rolle zurücksetzen. Die manuell gepflegten Organisationsdaten werden gelöscht, und nur die Werte, die über den Button Orgebenen gepflegt worden sind, werden gezogen.
So individuell wie die Anforderungen jedes einzelnen Unternehmens sind, so individuell sind die Anforderungen an die Architektur von Berechtigungskonzepten. Eine perfekte Vorlage gibt es daher nicht. Dennoch gibt es Themen, die in einem Berechtigungskonzept berücksichtigt werden sollten.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
Öffnen Sie nun die Auswertung des Trace.
Mit diesen Methoden helfen wir Ihnen nicht nur bei der Implementierung.