Berechtigungsprüfung
Berechtigungsprüfungen in SAP HANA verstehen
Berechtigungen für das Datenbanksystem (System Privileges): System Privileges sind SQL-Berechtigungen, die administrative Aktionen auf der gesamten Datenbank steuern. Derartige Aktionen sind z. B. das Anlegen eines (Datenbank-)schemas (CREATE SCHEMA), das Anlegen und Ändern von Rollen (ROLE ADMIN), das Anlegen und Löschen eines Benutzers (USER ADMIN) oder das Ausführen eines Datenbank-Backups (BACKUP ADMIN).
Die Änderungen, die durch das Einspielen des Hinweises bzw. durch ein Upgrade auf die genannten Support Packages entstehen, betreffen nicht nur das Profil SAP_ALL. Es bleibt zwar grundsätzlich weiterhin möglich, die Gesamtberechtigung für die Felder RFC_SYSID, RFC_CLIENT und RFC_USER zu vergeben; dies kann jedoch nur noch manuell in der Transaktion PFCG über die Dialogpflege der Felder erfolgen. In diesem Fall öffnet sich ein weiteres Dialogfenster, in dem auf das Sicherheitsrisiko hingewiesen wird. Dieses Fenster müssen Sie bestätigen. Aus dieser Umstellung des Verhaltens des Profils SAP_ALL folgt, dass sämtliche automatischen Methoden für die Übernahme der Gesamtberechtigung in den Feldern des Berechtigungsobjekts S_RFCACL nicht mehr zur Verfügung stehen.
Kritische Berechtigungen
Sie sind auf eine Rolle gestoßen, die manuell gepflegte Organisationsebenen beinhaltet. Selbst wenn Sie den Fehler manuell in der Rolle beheben, indem Sie im Berechtigungsobjekt den manuell gepflegten Wert der Organisationsebenen manuell löschen, wird der jeweilige Wert aus der Organisationsebene nicht gezogen. Mit dem Report AGR_RESET_ORG_LEVELS können Sie diese Werte für die Rolle zurücksetzen. Die manuell gepflegten Organisationsdaten werden gelöscht, und nur die Werte, die über den Button Orgebenen gepflegt worden sind, werden gezogen.
Damit Sie diesen Tabelleneintrag transportieren können, müssen Sie in der Transaktion SE09 in die Objektliste des Transportauftrags gehen und dort manuell einen Eintrag mit dem Objektschlüssel R3TR TABU KBEROBJ anlegen. Per Doppelklick gelangen Sie dann zum Pflegebild für die Schlüsselliste, in der Sie einen Eintrag mit * anlegen müssen. Dies bewirkt, dass alle Einträge der Tabelle KBEROBJ transportiert werden, die mit einem Leerzeichen beginnen. Anschließend müssen Sie noch das Feld RESPAREA zur Organisationsebene erheben. Folgen Sie dazu bitte der Anleitung in unserem Tipp 49, »Neue Organisationsebenen hinzufügen«. Wenn Sie mehr als eine Kostenstellen- oder Profit-Center-Hierarchie mit Vererbungslogik für die Berechtigungen nutzen, müssen Sie dies im Customizing der Kostenrechnungskreise über die Transaktion OKKP einstellen. Dort können Sie in den jahresunabhängigen Grunddaten entscheiden, welche Hierarchien Sie verwenden möchten. In den jahresabhängigen Grunddaten definieren Sie dann, welche Hierarchien pro Geschäftsjahr verwendet werden sollen. Sie können für die Kostenstellen und Profit-Center jeweils bis zu drei Hierarchien für die Berechtigungsvergabe nutzen.
Im Go-Live ist die Zuweisung notwendiger Berechtigungen besonders zeitkritisch. Die Anwendung "Shortcut for SAP systems" hält dafür Funktionen bereit, so dass der Go-Live nicht wegen fehlender Berechtigungen ins Stocken gerät.
Der einzige Weg zur Berechtigung Ihrer UI-Komponenten wäre nun ein manuelles Pflegen des Berechtigungsobjekts UIU_COMP.
Dies bewirkt, dass alle Einträge der Tabelle KBEROBJ transportiert werden, die mit einem Leerzeichen beginnen.