Kontakt

Ansicht
Dokumentation

VC_ACE_RIGHTS - Rechte anlegen

VC_ACE_RIGHTS - Rechte anlegen

General Material Data   Vendor Master (General Section)  
Diese Dokumentation steht unter dem Copyright der SAP AG.
SAP E-Book

Arbeitspakete anlegen und einem Arbeitspaket Objekte zuordnen

Ein Arbeitspaket ist eine organisatorische Einheit der Access-Control-Engine (ACE), die Benutzergruppen zusammenfasst und sie für einen oder mehrere Objekttypen freischaltet.

Die Zuordnung von Superobjekttypen stellt sicher, dass die Benutzer der Benutzergruppe(n) nur aktive ACE-Benutzer der entsprechenden Superobjekttypen und deren Unterobjekte sind. Weitere Informationen über aktive ACE-Benutzer finden Sie im Abschnitt Aktive ACE-Benutzer in diesem Dokument.

  • Legen Sie ein Arbeitspaket an.
  • Ordnen Sie einem Arbeitspaket den Superobjekttyp zu.

Benutzergruppen anlegen und Mitglieder einer Benutzergruppe zuordnen

Sie können Benutzergruppen anlegen und ihnen entweder einzelne Benutzer, Benutzer als Mitglieder einer Rolle oder Benutzer als Mitglieder einer anderen Benutzergruppe zuordnen. Durch diese Zuordnung erhalten die Benutzer Berechtigungen für Objekte.

Benutzergruppen werden Arbeitspaketen zugeordnet.

Hinweis:

Da eine Benutzergruppe nur einem einzigen Arbeitspaket zugeordnet sein darf, kann die Zuordnung von Benutzergruppen zu anderen Benutzergruppen zu nicht eindeutigen Paketzuordnungen führen. Beispiel: Die Gruppe G1 ist einem Paket P1 zugeordnet. Zusätzlich ist die Gruppe G1 der Gruppe G2 zugeordnet, die wiederum dem Paket P2 zugeordnet ist. Daher ist die Beziehung der Benutzergruppe zu Paket P1 nicht gültig, da die Benutzergruppe über die Zuordnung zu Gruppe G2 auch dem Paket P2 zugeordnet ist. Dies führt dazu, dass die Gruppe G1 nicht eindeutig zugeordnet ist.

P2 P1
| |
G2 |
\ /
G1

Diese Gültigkeitsprüfung von Benutzergruppen können Sie über die Aktivität Arbeitspakete und Rechte aktivieren/deaktivieren durchführen.

  • Legen Sie eine Benutzergruppe an und ordnen Sie diese einem Arbeitspaket zu.
  • Ordnen Sie der Benutzergruppe dann Benutzer zu. Sie können bei der Zuordnung der Elemente einer ACE-Benutzergruppe (Feld Element BGruppe ACE) zu Benutzergruppen-IDs aus den folgenden Benutzergruppenelement-Typen der ACE auswählen:
  • U = Benutzer

Wenn Sie Benutzer auswählen, geben Sie den Benutzer, der in der Transaktion SU01 angelegt wurde, in das Feld Element BGruppe ACE ein.
  • G = Benutzergruppe

Wenn Sie Benutzergruppe auswählen, geben Sie eine ACE-Benutzergruppe in das Feld Element BGruppe ACE ein.
  • R = Rolle

Wenn Sie Rolle auswählen, geben Sie die Rolle, die in der Transaktion PFCG angelegt wurde, in das Feld Element BGruppe ACE ein.

Aktive ACE-Benutzer

Definition

Ein Benutzer ist ein aktiver ACE-Benutzer, wenn er Mitglied einer aktivierten ACE-Benutzergruppe ist.

Benutzergruppen werden aktiviert, indem das ACE-Arbeitspaket aktiviert wird, dem sie zugeordnet sind. Da den ACE-Arbeitspaketen, und somit auch den zugehörigen Benutzergruppen, Superobjekttypen zugeordnet werden, kann ein ACE-Benutzer für bestimmte Objekttypen aktiv sein. Umgekehrt kann ein Benutzer auch inaktiv für bestimmte Objekttypen sein, wenn er diesen nicht über ACE-Benutzergruppen und -Arbeitspaketen zugeordnet ist.

Bedeutung für die Berechtigungsprüfung

Bei jeder Berechtigungsanfrage an die ACE wird unter anderem geprüft, ob der Benutzer, für den die Berechtigungsanfrage durchgeführt wird, ein aktiver ACE-Benutzer für den übermittelten Objekttyp ist. Wenn der Benutzer ein aktiver ACE-Benutzer ist, wird die Berechtigungsprüfung fortgesetzt. Wenn er kein aktiver ACE-Benutzer ist, wird die Prüfung abgebrochen und die ACE erlaubt den Zugriff.

Rechte anlegen

Über Rechte werden Objekte mit Benutzern und Aktionen verknüpft. Durch die Aktivierung von Rechten über die Aktivität Arbeitspakete und Rechte aktivieren/deaktivieren werden die Berechtigungsdaten berechnet und in Datenbanktabellen abgelegt.

Mit einem Recht schaffen Sie die Verbindung zwischen einer Regel, welche sowohl die Objekte als auch die Aktoren liefert, und den Benutzern, die über die Benutzergruppe im Recht hinterlegt sind. Zudem definiert das Recht die möglichen Aktionen, welche die Benutzer mit den Objekten der Regel ausführen dürfen.

Außerdem können Sie die Rechte mit einem Gültigkeitszeitraum versehen und somit zeitlich steuern.

Voraussetzung:

Sie haben bereits folgende Objekte angelegt:

  • Regeln
  • Benutzergruppen
  • Aktionsgruppen






BAL Application Log Documentation   BAL Application Log Documentation  
Diese Dokumentation steht unter dem Copyright der SAP AG.

Length: 5951 Date: 20240523 Time: 042507     sap01-206 ( 104 ms )