Autorisations SAP nécessaires pour Studio - Automate_Studio - 20.3

Aide en ligne d'Automate Studio avec Connect
Product type
Logiciels
Portfolio
Integrate
Product family
Automate
Product
Automate > Automate Studio
Version
20.3
Language
Français
Product name
Automate Studio
Title
Aide en ligne d'Automate Studio avec Connect
Topic type
Référence
Comment faire
Administration
Installation
First publish date
2018

Les autorisations nécessaires pour Studio 20.3 varient selon que vous utilisez le module Transaction ou le module Query.

Les modules Studio 20.3 pour Transaction et Query protègent complètement les fonctions de sécurité SAP®. En aucun cas les modules Transaction et Query remplacent les restrictions d’autorisations SAP qui vous sont appliquées.

Dans la plupart des cas, ces autorisations SAP sont déjà définies. Cependant, si vous avez essayé le module Transaction ou Query et que vous ne pouvez pas l’utiliser ou que vous recevez des messages d’erreur, les informations suivantes peuvent vous aider, ainsi que l’équipe de sécurité, à comprendre l’autorisation SAP requise pour l’utiliser avec les modules Transaction et Query et résoudre le problème.

Transaction : Autorisations SAP requises

Les clients qui exécutent SAP avec la pile 700 Support Pack 24 de base ou une pile supérieure doivent mettre en œuvre le module WFM (Winshuttle Function Module) personnalisé pour que les modes d’enregistrements non-batch fonctionnent.

Autorisation Transaction via SAP GUI :

Le module Transaction ne peut pas exécuter une transaction si vous ne pouvez pas l’exécuter dans SAP GUI. Si vous n’avez pas accès à une transaction, obtenez l’autorisation associée avant l’enregistrement ou exécutez cette transaction dans le module Transaction.

Autorisation RFC (Remote Function Calls) :

le module Transaction effectue des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Transaction.

Pour l’objet d’autorisation S_RFC :

• Champ RFC_TYPE valeur FUGR (groupe de fonctions)

• Champ valeur ACTVT 16 (execute) ou *

• Champ RFC_NAME

Les valeurs suivantes sont requises pour exécuter des fichiers script : SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX

Les valeurs additionnelles suivantes sont requises pour l’enregistrement de fichiers script : SBDR, SCAT, STTM, SDTX

Les valeurs suivantes sont requises pour pouvoir utiliser l’attachement de document : BDS_BAPI, SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT, SWOR, BREL, SOA1, SOC3, SOC8

En outre, l’attachement de document nécessite l’accès à l’objet S_BDS_DS avec toutes les valeurs, à l’exception de lock et delete.

La valeur suivante est requise pour pouvoir utiliser la liste des valeurs SAP (F4) avec les formulaires : SWFMOD_Workflow

Les valeurs suivantes sont requises pour l’aide Addin F4 : RHF4

F4 dans WFM : SIMG, BDL5, SUNI

Ajouter un long texte : STXKS, ALFA, ITOB_BAPI_EQ, ITOB_BAPI_FL, IBAPI_ALM_ORDER, IWOPM, MEWI ,0012, 1022

Module RFM d’outils Winshuttle supplémentaires : 1001MASSUEB

Créer et exécuter : RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU

Pour vérifier qu’un utilisateur est autorisé à utiliser un rFM, le module Transaction vérifie que l’utilisateur dispose de l’autorisation EXECUTE(16) sur le groupe Function. Par conséquent, lorsqu’un module Function s’exécute, il accède aux structures définies aussi dans le groupe Function et l’autorisation pour le groupe Function est donc nécessaire.

La transaction Authority_Check rFM détermine si l’utilisateur est autorisé à utiliser le module Function d’un groupe Function donné.

Les valeurs suivantes sont requises pour WFM 12.x :

  • Auto-vérification WFM rfms : /WINSHTLQ/*
  • F4 dans WFM : SIMG, BDL5
  • Ajouter un long texte : STXKS, ALFA
  • Enregistrement dans WFM : SBDR, SCP2
  • Enregistrement, format utilisateur dans WFM : RFC1, SU_USER
  • Validation WFM -BATG
  • Attachement de document :  SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT
  • Wrapper RFM spécifique au client supplémentaire - SSRV, BPC3,TSRV, SSRV2
  • Appel de fonctionnalité principale de fournisseur via Direct dans WFM : FIN_AP_AR_BANK, 1011, BAPT, 1013, ACC9
  • Appel de fonctionnalité principale de fournisseur via Direct dans WFM (uniquement pour S4HANA) : BUBA_3 , BUBA_4
  • Appel BAPI de calcul des prix dans WFM : WVK8
  • Appel de fonctionnalité principale client via Direct dans WFM : SZAK

Autorisations de table :

le module Transaction peut obtenir des journaux, des commentaires étendus, des descriptions de champs et des messages pendant le débogage. Pour cela, l’utilisateur doit avoir accès à certaines tables. L’accès au niveau des tables est contrôlé par l’objet d’autorisation S_TABU_DIS. Transaction doit accéder aux tables suivantes : T100, TFDIR, DD03L, DD04L, TSTCT, D020T et DD03M. Pour activer cet accès, définissez l’autorisation suivante :

Objet d’autorisation : S_TABU_DIS

Groupe d’autorisations de champ (DICBERCLS) = SS, &NC&

Champ Activité (ACTVT) = 03 (affichage uniquement)

Transaction (non-WFM)

Nom de la table Fonction
TSTCT Obtention de la description du code de transaction
D020T Obtention de la description de l’écran
DD03M Obtention de la description de champ
TFDIR Vérifier que le mode de débogage est pris en charge
T100 Extraction de message
DD03L Récupération des types de données correspondant aux champs

Autorisation de scriptage IU :

outre les appels RFC, le module Transaction permet aussi d’accéder au système SAP en utilisant le mode de scriptage SAP GUI. Pour vérifier si le mode de scriptage GUI est activé, examinez l'extrémité droite de la barre d'état SAP GUI.

icon to the right of ins

Si elle contient une icône zébrée bleu, blanc, rouge, cela implique que le scriptage GUI est activé.

Si l'icône est absente, demandez au personnel de sécurité d'utiliser la transaction RZ11 pour activer le scriptage GUI. Pour l’activer sur le serveur SAP, l’administrateur doit affecter la valeur TRUE au paramètre de profil sapgui/user_scripting sur le serveur d’applications. Pour activer ce paramètre, exécutez la transaction RZ11. Voir la note OSS 480149 pour plus d'informations.

D’autre part, activez le scriptage sur la machine frontale SAP GUI comme suit :

  1. Ouvrez la boîte de dialogue Options à partir de l’écran principal de l’UI.

    options command on customize local layout menu

  2. Sélectionnez l’onglet Scriptage, puis cochez la case Activer le scriptage.

    Activer la case à cocher de scriptage sous les paramètres utilisateur

Tableau des autorisations SAP

Groupe de fonctions Instance Mode Description
SBDC Exécuter Run- étape par étape Lot  
  Enregistrement Scriptage IU pour le portail EP  
  Exécuter Scriptage IU pour le portail EP  
ATSV Exécuter Mode Batch  
SUSR Enregistrement    
  Exécuter    
SBDR Enregistrement Lot  
  Enregistrement Non-batch sans contrôles  
  Enregistrement Non-batch avec contrôles  
STTM Enregistrement Non-batch avec contrôles  
SCAT Enregistrement Non-batch avec contrôles  
STTF Exécuter Non-batch avec contrôles  
  Exécuter Non-batch sans contrôles  
RFC1 Enregistrement TOUT Vérifier la présence de module de fonction avant de les appeler
  Exécuter TOUT  
RFC1 Exécuter Non-batch  
SDTX Enregistrement TOUT  
  Exécuter TOUT  
RHF4 Aucun Aucun Aide F4 Module complémentaire
/winshtl/txafugr Enregistrement TOUT Leur existence est vérifiée, puis ils sont appelés.
  Exécuter TOUT  
/winshtl/txufugr Enregistrement TOUT Leur existence est vérifiée, puis ils sont appelés.
  Exécuter TOUT  
SYST Connexion    
SRFC      
RFCH      
       
Tableau Instance Mode Commentaires
TSTCT Enregistrement TOUT sauf scriptage IU Description du code de transaction
D020T Enregistrement TOUT sauf scriptage IU  
DD03M Enregistrement TOUT  
TFDIR Mode Exécution étape par étape TOUT Appelé pour les éditions antérieures à 45
T100 Exécuter TOUT sauf scriptage IU  
  Exécuter BAPI avec journal étendu  

Query : Autorisations SAP nécessaires

Autorisation RFC (Remote Function Calls) :

Le module Studio v12 Query exécute des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Query.

Pour les objets d’autorisation S_RFC :

  • Champ RFC_TYPE : FUGR (groupe de fonctions)
  • Champ ACTVT : 16 (execute) ou *
  • Champ RFC_NAME : *

Créer et exécuter : RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU

Valeur F4 – RHF4

Créer et exécuter : SDIFRUNTIME

Enregistrement de code de transaction dans la table SBDR, SDTX, SBDC

InfoSets SQ02 et requêtes SQ01 : INSTALL, AQRC, AQCF

Les valeurs suivantes sont requises pour WFM 12.x :

  • Auto-vérification WFM rfms : /WINSHTLQ/*
  • Processus LDB via WFM : SDIFRUNTIME, SEU2, SEQ0, ALDB
  • Segment orphelin dans WFM : SGWY
  • Exécution de Query en arrière-plan dans WFM : BDL3, THFB, RSSG, BTCH

Autorisations de table :

Pour accéder à une table dans le module Query, vous devez disposer d’un accès au niveau table. Dans SAP, l’accès au niveau table est indépendant d’une transaction. Par exemple, il se peut que vous ayez accès à la transaction MM01 qui utilise la table de données de base de l’article (MARA), mais cela ne vous donne pas un accès automatique à la table. L’accès au niveau table est contrôlé par l’objet d’autorisation S_TABU_DIS des tables dépendantes du client et par S_TABU_CLI pour les tables indépendantes du client.

Noms des tables non-WFM Query :

Nom de la table Fonction
DD02T Obtenir la description de table SAP
DD17S Extraire tous les champs correspondant à la table
DD03L Renvoyer une table de données avec l’indicateur de clé de la table
DD02L Rechercher le type d’une table
DD02V Rechercher le type d’une table et sa description depuis une vue.
DD27VV Obtenir tous les champs correspondant d’une vue
DDFTX Rechercher une description de champ dans une table

Objet d’autorisation :

S_TABU_DIS

Champs:

Groupe d’autorisations (DICBERCLS) : &NC&

Activité (ACTVT) : 03 (Affichage)

Par exemple :

La plupart des tables dépendantes du client dans SAP sont affectées à un groupe d’autorisations spécifiques dans la table SAP TDDAT dans le champ CCLASS. Par exemple, la table MARA est affectée au groupe d’autorisations MA.

Pour pouvoir accéder à la table MARA, le groupe d’autorisations MA doit être affecté à votre profil SAP dans l’objet d’autorisation S_TABU_DIS, comme indiqué ci-dessous :

Objet d’autorisation :

S_TABU_DIS

Champs:

Groupe d’autorisation (DICBERCLS) : MA (pour la table MARA)

Activité (ACTVT) : 03 (Affichage)

Remarques

  • Chaque table peut appartenir à un groupe d’autorisations différent. Pour pouvoir accéder à des tables différentes, votre profil doit disposer de l’autorisation appropriée pour les groupes concernés.
  • Pour les tables indépendantes du client (où le champ « MANDT » ne figure pas), l’objet d’autorisation suivant doit figurer dans votre profil SAP :

    Objet d’autorisation :

    S_TABU_CLI

    Champs:

    CLIIDMAINT : X

  • Si la table nécessaire ne figure pas dans la table SAP TDDAT, vous pouvez affecter la table au groupe d’autorisations en affectant ce qui suit :

    Objet d’autorisation :

    S_TABU_DIS

    Champs:

    Groupe d’autorisations (DICBERCLS) : &NC&

    Activité (ACTVT) : 03 (Affichage)