Erforderliche SAP-Berechtigungen für Studio - Automate_Studio - 24.0

Automate Studio mit Evolve-Installations- und Upgrade-Leitfaden

Product type
Software
Portfolio
Integrate
Product family
Automate
Product
Automate > Automate Studio
Version
24.0
Language
Deutsch
Product name
Automate Studio
Title
Automate Studio mit Evolve-Installations- und Upgrade-Leitfaden
Copyright
2024
First publish date
2018
Last updated
2024-05-23
Published on
2024-05-23T16:54:52.767452

Die für Studio erforderlichen Berechtigungen sind abhängig davon, ob Sie das Transaction oder das Query Modul verwenden.

Die Studio Module für Transaction und Query schützen die SAP®-Sicherheitsfunktionen umfassend. Unter keinen Umständen können die Transaction und Query Module die für Sie verbindlichen Einschränkungen der SAP-Berechtigung aufheben.

In den meisten Fällen bestehen diese SAP-Berechtigungen bereits. Wenn Sie allerdings das Transaction oder das Query Modul nicht verwenden können oder wenn Ihnen Fehlermeldungen angezeigt werden, dann können die Informationen Ihnen und Ihrem Sicherheitsteam dabei helfen, die notwendigen SAP-Berechtigungen zu verstehen, die Sie für die Arbeit mit den Transaction und Query Modulen benötigen, und das Problem lösen.

Transaction: Erforderliche SAP-Berechtigungen

Kunden, die SAP mit Basis Level 700 Support-Package Stack 24 oder höher verwenden, müssen das benutzerdefinierte Automate Funktionsmodul für stapelfreie Aufzeichnungsmodi implementieren, damit das Programm funktioniert.

Berechtigungsvergabe für Transaction über die SAP-GUI:

Das Transaction Modul kann keine Transaktion ausführen, wenn diese Transaktion nicht im SAP-GUI ausgeführt werden kann. Wenn Sie keinen Zugriff auf einen bestimmten Vorgang haben, benötigen Sie zuerst eine Berechtigung, bevor Sie den Vorgang mit dem Transaction Modul aufzeichnen oder ausführen können.

Berechtigungen für Remote Function Calls (RFC-Aufrufe):

Das Transaction Modul sendet RFC-Aufrufe an SAP. Diese zusätzliche Zugriffsart muss Ihnen zugewiesen werden. In den meistens Fällen wurden Ihnen diese Berechtigungen bereits zugewiesen. Damit Sie mit dem Transaction Modul arbeiten können, müssen die folgenden Objekte mit den angegebenen Werten in Ihrem SAP-Benutzerprofil vorhanden sein.

Für das S_RFC-Berechtigungsobjekt:

• Feld RFC_TYPE Wert FUGR (Funktionsgruppe)

• Feld ACTVT Wert 16 (Ausführen) oder *

• Feld RFC_NAME

Die folgenden Werte sind zum Ausführen von Skriptdateien erforderlich: SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX

Die folgenden zusätzlichen Werte sind zum Aufzeichnen von Shuttle-Dateien erforderlich: SBDR, SCAT, STTM, SDTX

Die folgenden Werte sind für das Anhängen von Dokumenten erforderlich: BDS_BAPI, SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT, SWOR, BREL, SOA1, SOC3, SOC8

Zusätzlich Anhängen von Dokumenten ist der Zugriff auf Objekt S_BDS_DS mit allen Werten außer Sperren und Löschen erforderlich.

Der folgende Wert ist zur Nutzung der SAP-Werteliste (F4) mit Formularen erforderlich: SWFMOD_Workflow

Die folgenden Werte sind zum Ausführen der Add-In F4-Hilfe erforderlich: RHF4

F4 in WFM: SIMG, BDL5, SUNI

Langtext hinzufügen: STXKS, ALFA, ITOB_BAPI_EQ, ITOB_BAPI_FL, IBAPI_ALM_ORDER, IWOPM, MEWI, 0012, 1022

Zusätzliche Automate Hilfsprogramm-RFMs: 1001MASSUEB

Erstellen und Ausführen: RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU

Um zu überprüfen, ob ein Benutzer zur Verwendung einer bestimmten rFM berechtigt ist, validiert das Transaction Modul, dass er die EXECUTE(16)-Genehmigung für die Funktionsgruppe besitzt. Wenn ein Funktionsbaustein ausgeführt wird, greift dieser ebenfalls auf die in der Funktionsgruppe definierten Strukturen zu. Deshalb ist die Berechtigung für die Funktionsgruppe erforderlich.

Der rFB Authority_Check validiert, ob der Benutzer zur Nutzung des Funktionsbausteins einer bestimmten Funktionsgruppe berechtigt ist.

Die folgenden Werte sind für WFM 12.x erforderlich:

  • WFM RFMs Selbstprüfung: /WINSHTLQ/*
  • F4 in WFM: SIMG, BDL5
  • Langtext hinzufügen: STXKS, ALFA
  • Aufzeichnen in WFM: SBDR, SCP2
  • Aufzeichnen, Benutzerformat in WFM: RFC1, SU_USER
  • Validierung WFM: BATG
  • Dokumentenanhang: SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT
  • Zusätzlicher kundenspezifischer Wrapper RFM’s: SSRV, BPC3,TSRV, SSRV2
  • Aufruf Funktionen für Lieferantenstamm über Direct in WFM: FIN_AP_AR_BANK, 1011, BAPT, 1013, ACC9
  • Aufruf Funktionen für Lieferantenstamm über Direct in WFM (nur für S/4HANA): BUBA_3, BUBA_4
  • Preisberechnung BAPI-Aufruf in WFM: WVK8
  • Aufruf Funktionen für Kundenstamm über Direct in WFM: SZAK

Berechtigungen auf Tabellenebene:

Das Transaction Modul kann Protokolle, erweiterte Kommentare, Feldbeschreibungen und Meldungen aus dem Debugging-Prozess abrufen. Damit dies funktioniert, muss der Benutzer Zugriff auf bestimmte Tabellen erhalten. Der Zugriff auf Tabellenebene wird über das Berechtigungsobjekt S_TABU_DIS gesteuert. Transaction benötigt Zugriff auf die folgenden Tabellen: T100, TFDIR, DD03L, DD04L, TSTCT, D020T und DD03M. Um diesen Zugriff zu aktivieren, richten Sie bitte die folgende Berechtigung ein:

Berechtigungsobjekt: S_TABU_DIS

Feldberechtigungsgruppe (DICBERCLS) = SS, &NC&

Feldaktivität (ACTVT) = 03 (nur Anzeige)

Transaktion (nicht-WFM)

Tabellenname Zweck
TSTCT Beschreibung von Transaktionscode anzeigen
D020T Beschreibung des Bildschirms anzeigen
DD03M Feldbeschreibung anzeigen
TFDIR Überprüfen, ob der Debugging-Modus unterstützt wird
T100 Extrahieren von Meldungen
DD03L Datentypen für die entsprechenden Felder abrufen

Berechtigungen für GUI-Scripting:

Zusätzlich zu den RFC-Aufrufen bietet das Transaction Modul auch Zugriff auf das SAP-System mithilfe des SAP-GUI-Scripting-Modus. Am rechten Ende der SAP-GUI-Statusleiste können Sie überprüfen, ob GUI-Scripting aktiviert ist.

Symbol rechts von Einfg

Wenn Sie das Barber-Pole-Symbol in der Statusleiste Ihres Bildschirms sehen, ist GUI-Scripting aktiviert.

Falls Sie das Symbol nicht sehen können, dann bitten Sie Ihr Sicherheitsteam, das GUI-Scripting mithilfe der Transaktion RZ11 zu aktivieren. Zum Aktivieren des GUI-Scriptings auf dem SAP-Server, muss der Administrator auf dem Applikationsserver den Profilparameter sapgui/user_scripting auf WAHR setzen. Führen Sie die Transaktion RZ11 aus, um diesen Parameter zu aktivieren. Weitere Informationen hierzu finden Sie im OSS-Hinweis 480149.

Zusätzlich aktivieren Sie Scripting bitte folgendermaßen im SAP-GUI-Frontend:

  1. Öffnen Sie das Dialogfeld „Optionen“ im Hauptbildschirm der GUI.

    Optionenbefehl im Menü „lokales Layout anpassen“

  2. Wählen Sie die Registerkarte „Scripting“ und aktivieren Sie anschließend das Kontrollkästchen „Scripting aktivieren“.

    Skripting-Kontrollkästchen unter Benutzereinstellungen aktivieren

Tabelle mit SAP-Berechtigungen

Funktionsgruppe Instanz Modus Beschreibung
SBDC Schrittweise Ausführen Stapel  
  Aufzeichnen GUI-Scripting für EP-Portal  
  Ausführen GUI-Scripting für EP-Portal  
ATSV Ausführen Stapelmodus  
SUSR Aufzeichnen    
  Ausführen    
SBDR Aufzeichnen Stapel  
  Aufzeichnen Stapelfrei ohne Steuerung  
  Aufzeichnen Stapelfrei mit Steuerung  
STTM Aufzeichnen Stapelfrei mit Steuerung  
SCAT Aufzeichnen Stapelfrei mit Steuerung  
STTF Ausführen Stapelfrei mit Steuerung  
  Ausführen Stapelfrei ohne Steuerung  
RFC1 Aufzeichnen ALLE Vorhandensein von Funktionsmodulen vor dem Aufrufen prüfen
  Ausführen ALLE  
RFC1 Ausführen Stapelfrei  
SDTX Aufzeichnen ALLE  
  Ausführen ALLE  
RHF4 Keine Keine Add-In F4-Hilfe
/winshtl/txafugr Aufzeichnen ALLE Zuerst Vorhandensein geprüft und dann aufgerufen
  Ausführen ALLE  
/winshtl/txufugr Aufzeichnen ALLE Zuerst Vorhandensein geprüft und dann aufgerufen
  Ausführen ALLE  
SYST Anmeldung    
SRFC      
RFCH      
       
Tabelle Instanz Modus Kommentare
TSTCT Aufzeichnen Alle außer GUI-Scripting Beschreibung von Transaktionscode
D020T Aufzeichnen Alle außer GUI-Scripting  
DD03M Aufzeichnen ALLE  
TFDIR Schrittweise Ausführung ALLE Aufgerufen für alle SAP-Releases vor 45
T100 Ausführen Alle außer GUI-Scripting  
  Ausführen BAPI mit erweitertem Protokoll  

Query: Erforderliche SAP-Berechtigungen

Berechtigungen für Remote Function Calls (RFC-Aufrufe):

Das Studio v12 Query Modul sendet RFC-Aufrufe an SAP. Diese zusätzliche Zugriffsart muss Ihnen zugewiesen werden. In den meistens Fällen wurden Ihnen diese Berechtigungen bereits zugewiesen. Damit Sie mit dem Query Modul arbeiten können, müssen die folgenden Objekte mit den angegebenen Werten in Ihrem SAP-Benutzerprofil vorhanden sein.

Für S_RFC-Berechtigungsobjekte:

  • • Feld RFC_TYPE: FUGR (Funktionsgruppe)
  • • Feld ACTVT: 16 (Ausführen) oder *
  • Feld RFC_NAME: *

Erstellen und Ausführen: RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU

F4-Wert – RHF4

Erstellen und Ausführen: SDIFRUNTIME

T-Code-Aufzeichnung zu Tabelle SBDR, SDTX, SBDC

InfoSets SQ02 und Abfragen SQ01: INSTALL, AQRC, AQRF

Die folgenden Werte sind für WFM 12.x erforderlich:

  • WFM RFMs Selbstprüfung: /WINSHTLQ/*
  • LDB verarbeitet mit WFM: SDIFRUNTIME, SEU2, SEQ0, ALDB
  • Löschen von verwaisten Datenabschnitten in WFM: SGWY
  • Query Ausführung im Hintergrund in WFM: BDL3, THFB, RSSG, BTCH

Berechtigungen auf Tabellenebene:

Um im Query Modul auf eine bestimmte Tabelle zugreifen zu können, benötigen Sie den Zugriff auf Tabellenebene. Die Zugriffsberechtigung auf Tabellenebene ist in SAP unabhängig von den Transaktionen. So haben Sie z. B. möglicherweise Zugriff auf die Transaktion MM01, bei der die Materialstammtabelle (MARA) verwendet wird, automatischen Zugriff auf diese Tabelle haben Sie dadurch aber nicht. Der Zugriff auf Tabellenebene wird über das Berechtigungsobjekt S_TABU_DIS für mandantenabhängige Tabellen und S_TABU_CLI für mandantenunabhängige Tabellen gesteuert.

Nicht-WFM Tabellennamen abfragen:

Tabellenname Zweck
DD02T SAP-Tabellenbeschreibung abrufen
DD17S Alle Felder zur entsprechenden Tabelle abrufen
DD03L Gibt eine Datentabelle mit Schlüsselflag für jeweilige Tabelle zurück
DD02L Nach Tabellentyp suchen
DD02V Nach Tabellentyp und Beschreibung aus Ansicht suchen.
DD27VV Alle Felder für entsprechende Anzeige abrufen
DDFTX Tabelle für Feldbeschreibung suchen

Berechtigungsobjekt:

S_TABU_DIS

Felder:

Berechtigungsgruppe (DICBERCLS): &NC&

Aktivität (ACTVT): 03 (Anzeigen)

Beispiel:

Nahezu jede mandantenabhängige Tabelle in SAP ist einer bestimmten Berechtigungsgruppe in dem Feld CCLASS der SAP-Tabelle TDDAT zugewiesen. Beispiel: Die Tabelle MARA ist der Berechtigungsgruppe MA zugewiesen.

Um Zugriff auf die Tabelle MARA zu erhalten, muss die Berechtigungsgruppe MA im Berechtigungsobjekt S_TABU_DIS Ihrem SAP-Profil zugewiesen werden (siehe unten):

Berechtigungsobjekt:

S_TABU_DIS

Felder:

Berechtigungsgruppe (DICBERCLS): MA (Für Tabelle MARA)

Aktivität (ACTVT): 03 (Anzeigen)

Hinweise

  • Jede Tabelle kann einer anderen Berechtigungsgruppe angehören. Damit Sie auf verschiedene Tabellen zugreifen können, muss in Ihrem Profil die jeweilige Berechtigung für die entsprechende Gruppe enthalten sein.
  • Bei clientunabhängigen Tabellen (bei denen das Feld MANDT nicht in der Tabelle enthalten ist), benötigen Sie das folgende Autorisierungsobjekt in Ihrem SAP-Profil:

    Berechtigungsobjekt:

    S_TABU_CLI

    Felder:

    CLIIDMAINT: X

  • Falls die benötigte Tabelle nicht in der SAP-Tabelle TDDAT aufgeführt ist, können Sie die entsprechende Berechtigungsgruppe über folgende Einträge zuweisen:

    Berechtigungsobjekt:

    S_TABU_DIS

    Felder:

    Berechtigungsgruppe (DICBERCLS): &NC&

    Aktivität (ACTVT): 03 (Anzeigen)