Kontakt

Ansicht
Dokumentation

RSUSR_CHECK_AUTH_OPTIMIZATION - Analyse: Berechtigungen komprimieren

RSUSR_CHECK_AUTH_OPTIMIZATION - Analyse: Berechtigungen komprimieren

RFUMSV00 - Advance Return for Tax on Sales/Purchases   SUBST_MERGE_LIST - merge external lists to one complete list with #if... logic for R3up  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Verwendung

Mit dem Report RSUSR_CHECK_AUTH_OPTIMIZATION können Sie sich eine optimierte Version Ihrer Berechtigungen berechnen und anzeigen lassen.

Integration

Der Report ist in die Transaktion SEC_SUPPORT integriert. Er ist dort im Unterordner 'Berechtigungsverwaltung' als Eintrag 'Analyse: Berechtigungen komprimieren' zu finden.

Voraussetzungen

Funktionsumfang

Es wird versucht, mehrere Berechtigungen zum gleichen Berechtigungsobjekt zu möglichst wenig Berechtigungen zusammenzufassen. Dabei erfolgt keine semantische Analyse bezüglich der Berechtigungsobjekte, sondern nur eine Zeichen-basierte, technische Analyse aus Sicht der Berechtigungsprüfung.

Das Ergebnis der Optimierung ist nur temporär erzeugt und kann nicht persistiert werden. Sie können sie jedoch mittels der verfügbaren Export-Funktionen des ABAP List Viewers (ALV) lokal sichern.

Sind Berechtigungen bezüglich ihrer Wertekombinationen disjunkt, können sie nicht zusammengefasst werden. Das kann dazu verwendet werden, einen Funktionstrennungsnachweis zu erbringen.

Selektion

Mit dem Selektionsbild haben Sie folgende Möglichkeiten:

  1. Die Analyse kann über Berechtigungen erfolgen, die in den angegebenen Rollen oder manuellen Profilen enthalten sind. Dazu ist der Auswahlknopf 'Rollen' zu wählen.
    Weiterhin kann mit der Option 'Referenzbenutzer', simuliert werden, wie sich die Berechtigungen aus den gewählten Rollen, Profilen und den Rollen und Profilen eines Referenzbenutzers summieren. Die ausschließliche Verwendung der Option 'Referenzbenutzer' ist nicht vorgesehen.
  2. Die Analyse kann über Berechtigungen erfolgen, die bereits einem Benutzer zugewiesen sind. Dazu ist der Auswahlknopf 'Benutzer' zu wählen.
    Hierbei werden ebenfalls die Berechtigungen des dem Benutzer zugewiesenen Referenzbenutzers mit berücksichtigt. Diese Option ist standardmäßig aktiv.

Durch die zusätzliche Angabe eines Berechtigungsobjektes kann der Analyseumfang und damit auch die Analysezeit erheblich reduziert werden.

Standardvarianten

Ausgabe

Der Report besitzt drei verschiedene Ergebnislisten:

  1. Übersicht über alle selektierten Benutzer
    Sie wird im Folgenden als Benutzerübersicht bezeichnet.
    Sie enthält die folgenden Spalten:
    1. Benutzer
    2. Reduzierte Berechtigungswerte (Anzahl)
    3. Berechtigungswerte vor der Optimierung (Anzahl)
    4. Unterschiede
  2. Übersicht über Berechtigungsobjekte zu einem Benutzer
    Sie wird im Folgenden als Objektübersicht bezeichnet.
    Sie enthält die folgenden Spalten:
    1. Benutzer
    2. Berechtigungsobjekt
    3. Reduzierte Berechtigungswerte (Anzahl)
    4. Berechtigungswerte vor der Optimierung (Anzahl)
    5. Unterschiede
  3. Detailübersicht zu einem Berechtigungsobjekt
    Sie wird im Folgenden als Detailsicht bezeichnet. Die Detailsicht besteht aus zwei, nebeneinander angeordneten Listen. Die Liste der reduzierten Berechtigungswerte befindet sich auf der linken Seite und die Liste der Berechtigungswerte vor der Optimierung befindet sich auf der rechten Seite.
    Beide Listen besitzen die gleichen Spalten:
    1. Benutzer
    2. Berechtigungsobjekt
    3. Berechtigungsname
    4. Berechtigungsfeldname
    5. VON-Berechtigungswert
    6. BIS-Berechtigungswert
Über die Vorwärtsnavigation (Doppelklick oder Funktionstaste 'F2') auf den Berechtigungsnamen in der rechten Liste der originalen Berechtigungen erhält man ein Dialogfenster mit weiteren Informationen zu dieser Berechtigung, z.B. in welchen Profilen oder in welcher Rolle diese Berechtigung enthalten ist.


Die beiden Übersichtslisten verfügen über einen weiteren Spaltenvorrat. In diesem befinden sich Spalten für folgende Informationen:

  • Wie viele Berechtigungen sind durch die Optimierung obsolet geworden?
  • Die Dauer der Optimierung
  • Ist das Berechtigungsobjekt in diesem System nicht definiert?
    Durch Transporte von Rollen und Profilen auch über eine Transportlandschaft (DEV, QAS, PRD) hinaus, kann es vorkommen, dass Berechtigungsobjekte, zu denen Berechtigungen in den importierten Rollen oder Profilen existieren, im lokalen System nicht definiert sind. Im Quellsystem des Transports waren sie es.
    Lokal ist daher weder bekannt, aus wie vielen noch aus welchen Berechtigungsfeldern dieses Objekt besteht. Die weitere Verarbeitung kann dadurch auch nur auf den vorhandenen Berechtigungsdaten beruhen. Konsistenzprüfungen sind nicht möglich.
    Eine Einschränkung nach solchen, lokal nicht definierten Berechtigungsobjekten im Selektionsbild des Reports ist ebenfalls nicht möglich. Nur Analysen ohne Einschränkung nach Berechtigungsobjekt zeigen solche Berechtigungen im Ergebnis mit an.
  • Über wie viele Berechtigungsfelder verfügt das Berechtigungsobjekt?
    Mittels Vorwärtsnavigation auf dieses Feld verzweigt man in die Transaktion SU21 zur Anzeige der Objektdefinition. Ist das Berechtigungsobjekt lokal nicht definiert, ist eine Anzeige nicht möglich.

Egal, welche Selektionsoption ('Rollen' oder 'Benutzer') gewählt wurde, man gelangt immer zuerst in die Benutzerübersicht. Nur, wenn zusätzlich ein Berechtigungsobjekt angegeben wird, erscheint nach der Analyse sofort die Objektübersicht.
Hat man die Selektionsoption 'Rollen'gewählt, wird in beiden Ergebnislisten die Spalte 'Benutzer' mit dem Wert '' gefüllt, um anzuzeigen, dass die Optimierung nicht über einen Benutzer durchgeführt wurde.

  1. Benutzerübersicht
    Mittels Vorwärtsnavigation auf die Ikone in der Spalte 'Differenz' oder den Benutzernamen gelangt man in die Objektübersicht. Wurde die Analyse bereits bei der Selektion auf ein bestimmtes Berechtigungsobjekt eingeschränkt, wird auch in der Objektübersicht nur das gewählte Berechtigungsobjekt zu dem selektierten Benutzer angezeigt.
  2. Objektübersicht
    Die Objektübersicht listet alle Berechtigungsobjekte auf, die mit der zuvor getroffenen Selektion am Benutzer, den Rollen, Profilen und dem Referenzbenutzer gefunden wurden.
    Auch hier gilt: Wurde die Analyse bereits bei der Selektion auf ein bestimmtes Berechtigungsobjekt eingeschränkt, wird nur das gewählte Berechtigungsobjekt angezeigt.

Bei einer weiteren Vorwärtsnavigation über die Ikone in der Spalte 'Differenz' oder den Benutzernamen gelangt man in Detailsicht.

Existieren Berechtigungen, die andere Berechtigungen komplett einschließen, so bleibt der Name der einschließenden Berechtigung auch nach der Optimierung erhalten. Der selbe Name ist daher auch in der linken Liste zu finden.

Können Berechtigungen zu einer neuen Berechtigung zusammengefasst werden, erhalten sie in der Liste der reduzierten Berechtigungswerte (auf der linken Seite) einen generierten Berechtigungsnamen mit der Namenssyntax: [nnnnnnnnnn], wobei 'nnnnnnnnnn' eine fortlaufende Nummer ist.

Bei Berechtigungsobjekten mit nur einem Feld ist das der Standard sobald mehr als eine Berechtigung zu dem Objekt existiert, da sich alle Werte in eine einzige Berechtigung aufnehmen lassen. Es gibt genau zwei Abweichungen von diesem Standard, bei denen der Berechtigungsname beibehalten wird:

  • Es ist keine Optimierung möglich, weil nur eine einzige Berechtigung zu dem Berechtigungsobjekt existiert, deren Werte alle disjunkt sind.
  • Es existiert eine einzige Berechtigung, welche die Werte aller anderen Berechtigungen einschließt, z.B. Berechtigung1: S_TCODE-TCD=SU*, Berechtigung2: S_TCODE-TCD=SU01-SU03 und Berechtigung3: S_TCODE-TCD=SU01D.

Hat man die Selektionsoption 'Benutzer' gewählt, kann man in jeder Liste mittels Vorwärtsnavigation auf ein Berechtigungsobjekt in die Anzeige der SU56 (Benutzerpuffer analysieren) für den gewählten Benutzer und das gewählte Berechtigungsobjekt verzweigen. Voraussetzung dafür ist, dass man über die dazu nötigen Berechtigungen zur Anzeige verfügt.

Aktivitäten

Um eine korrekte Optimierung der Berechtigungsdaten zu garantieren, müssen sie bestimmten Randbedingungen genügen. Aus historischen Gründen (frühere Fehler in der Berechtigungsdatenpflege) wie auch durch den Einsatz von Nicht-SAP-Coding zur Berechtigungsdatenpflege kann es jedoch vorkommen, dass Berechtigungsdaten in der Datenbank nicht diesen Anforderungen genügen.

Während der Laufzeit eines ABAP Programms ignoriert der SAP Kernel beim authority-checkdiese fehlerhaften Daten. Hier nur einige Beispiele, wie der SAP Kernel fehlerhafte Berechtigungsdaten interpretiert:

  1. Ist in einem Berechtigungsintervall zu einem Berechtigungsfeld der VON-Wert größer als der BIS-Wert, wird der BIS-Wert ignoriert.
  2. Steht der Platzhalter * nicht an letzter Stelle eines Berechtigungsfeldwertes, so werden alle Zeichen nach dem Platzhalter ignoriert. Also, VON = *_GRP wird zu VON = * oder BIS = ADM*GRP wird zu ADM*.
  3. Der folgende Fall kann mit den SAP-Werkzeugen zur Berechtigungspflege nicht erzeugt werden, wird jedoch ebenfalls erkannt:
    Existieren in einer Berechtigung zu einem Berechtigungsfeld sowohl dedizierte Werte bzw. Intervalle als auch der Platzhalter *, so werden die dedizierten Werte und die Intervalle ignoriert!

Der Report prüft und korrigiert die zu verarbeitenden Berechtigungsdaten für die Optimierung entsprechend den Regeln des SAP Kernel! Dies hat keine Auswirkungen auf die gespeicherten Berechtigungsdaten!

Beispiel






ABAP Short Reference   SUBST_MERGE_LIST - merge external lists to one complete list with #if... logic for R3up  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 11229 Date: 20240531 Time: 145734     sap01-206 ( 179 ms )