Die für Studio erforderlichen Berechtigungen sind abhängig davon, ob Sie das Transaction oder das Query Modul verwenden.
Die Studio Module für Transaction und Query schützen die SAP®-Sicherheitsfunktionen umfassend. Unter keinen Umständen können die Transaction und Query Module die für Sie verbindlichen Einschränkungen der SAP-Berechtigung aufheben.
In den meisten Fällen bestehen diese SAP-Berechtigungen bereits. Wenn Sie allerdings das Transaction oder das Query Modul nicht verwenden können oder wenn Ihnen Fehlermeldungen angezeigt werden, dann können die Informationen Ihnen und Ihrem Sicherheitsteam dabei helfen, die notwendigen SAP-Berechtigungen zu verstehen, die Sie für die Arbeit mit den Transaction und Query Modulen benötigen, und das Problem lösen.
Transaction: Erforderliche SAP-Berechtigungen
Kunden, die SAP mit Basis Level 700 Support-Package Stack 24 oder höher verwenden, müssen das benutzerdefinierte Automate Funktionsmodul für stapelfreie Aufzeichnungsmodi implementieren, damit das Programm funktioniert.
Berechtigungsvergabe für Transaction über die SAP-GUI:
Das Transaction Modul kann keine Transaktion ausführen, wenn diese Transaktion nicht im SAP-GUI ausgeführt werden kann. Wenn Sie keinen Zugriff auf einen bestimmten Vorgang haben, benötigen Sie zuerst eine Berechtigung, bevor Sie den Vorgang mit dem Transaction Modul aufzeichnen oder ausführen können.
Berechtigungen für Remote Function Calls (RFC-Aufrufe):
Das Transaction Modul sendet RFC-Aufrufe an SAP. Diese zusätzliche Zugriffsart muss Ihnen zugewiesen werden. In den meistens Fällen wurden Ihnen diese Berechtigungen bereits zugewiesen. Damit Sie mit dem Transaction Modul arbeiten können, müssen die folgenden Objekte mit den angegebenen Werten in Ihrem SAP-Benutzerprofil vorhanden sein.
Für das S_RFC-Berechtigungsobjekt:
• Feld RFC_TYPE Wert FUGR (Funktionsgruppe)
• Feld ACTVT Wert 16 (Ausführen) oder *
• Feld RFC_NAME
Die folgenden Werte sind zum Ausführen von Skriptdateien erforderlich: SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX
Die folgenden zusätzlichen Werte sind zum Aufzeichnen von Shuttle-Dateien erforderlich: SBDR, SCAT, STTM, SDTX
Die folgenden Werte sind für das Anhängen von Dokumenten erforderlich: BDS_BAPI, SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT, SWOR, BREL, SOA1, SOC3, SOC8
Zusätzlich Anhängen von Dokumenten ist der Zugriff auf Objekt S_BDS_DS mit allen Werten außer Sperren und Löschen erforderlich.
Der folgende Wert ist zur Nutzung der SAP-Werteliste (F4) mit Formularen erforderlich: SWFMOD_Workflow
Die folgenden Werte sind zum Ausführen der Add-In F4-Hilfe erforderlich: RHF4
F4 in WFM: SIMG, BDL5, SUNI
Langtext hinzufügen: STXKS, ALFA, ITOB_BAPI_EQ, ITOB_BAPI_FL, IBAPI_ALM_ORDER, IWOPM, MEWI, 0012, 1022
Zusätzliche Automate Hilfsprogramm-RFMs: 1001MASSUEB
Erstellen und Ausführen: RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU
Um zu überprüfen, ob ein Benutzer zur Verwendung einer bestimmten rFM berechtigt ist, validiert das Transaction Modul, dass er die EXECUTE(16)-Genehmigung für die Funktionsgruppe besitzt. Wenn ein Funktionsbaustein ausgeführt wird, greift dieser ebenfalls auf die in der Funktionsgruppe definierten Strukturen zu. Deshalb ist die Berechtigung für die Funktionsgruppe erforderlich.
Der rFB Authority_Check validiert, ob der Benutzer zur Nutzung des Funktionsbausteins einer bestimmten Funktionsgruppe berechtigt ist.
Die folgenden Werte sind für WFM 12.x erforderlich:
- WFM RFMs Selbstprüfung: /WINSHTLQ/*
- F4 in WFM: SIMG, BDL5
- Langtext hinzufügen: STXKS, ALFA
- Aufzeichnen in WFM: SBDR, SCP2
- Aufzeichnen, Benutzerformat in WFM: RFC1, SU_USER
- Validierung WFM: BATG
- Dokumentenanhang: SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT
- Zusätzlicher kundenspezifischer Wrapper RFM’s: SSRV, BPC3,TSRV, SSRV2
- Aufruf Funktionen für Lieferantenstamm über Direct in WFM: FIN_AP_AR_BANK, 1011, BAPT, 1013, ACC9
- Aufruf Funktionen für Lieferantenstamm über Direct in WFM (nur für S/4HANA): BUBA_3, BUBA_4
- Preisberechnung BAPI-Aufruf in WFM: WVK8
- Aufruf Funktionen für Kundenstamm über Direct in WFM: SZAK
Berechtigungen auf Tabellenebene:
Das Transaction Modul kann Protokolle, erweiterte Kommentare, Feldbeschreibungen und Meldungen aus dem Debugging-Prozess abrufen. Damit dies funktioniert, muss der Benutzer Zugriff auf bestimmte Tabellen erhalten. Der Zugriff auf Tabellenebene wird über das Berechtigungsobjekt S_TABU_DIS gesteuert. Transaction benötigt Zugriff auf die folgenden Tabellen: T100, TFDIR, DD03L, DD04L, TSTCT, D020T und DD03M. Um diesen Zugriff zu aktivieren, richten Sie bitte die folgende Berechtigung ein:
Berechtigungsobjekt: S_TABU_DIS
Feldberechtigungsgruppe (DICBERCLS) = SS, &NC&
Feldaktivität (ACTVT) = 03 (nur Anzeige)
Transaktion (nicht-WFM)
Tabellenname | Zweck |
---|---|
TSTCT | Beschreibung von Transaktionscode anzeigen |
D020T | Beschreibung des Bildschirms anzeigen |
DD03M | Feldbeschreibung anzeigen |
TFDIR | Überprüfen, ob der Debugging-Modus unterstützt wird |
T100 | Extrahieren von Meldungen |
DD03L | Datentypen für die entsprechenden Felder abrufen |
Berechtigungen für GUI-Scripting:
Zusätzlich zu den RFC-Aufrufen bietet das Transaction Modul auch Zugriff auf das SAP-System mithilfe des SAP-GUI-Scripting-Modus. Am rechten Ende der SAP-GUI-Statusleiste können Sie überprüfen, ob GUI-Scripting aktiviert ist.
Wenn Sie das Barber-Pole-Symbol in der Statusleiste Ihres Bildschirms sehen, ist GUI-Scripting aktiviert.
Falls Sie das Symbol nicht sehen können, dann bitten Sie Ihr Sicherheitsteam, das GUI-Scripting mithilfe der Transaktion RZ11 zu aktivieren. Zum Aktivieren des GUI-Scriptings auf dem SAP-Server, muss der Administrator auf dem Applikationsserver den Profilparameter sapgui/user_scripting auf WAHR setzen. Führen Sie die Transaktion RZ11 aus, um diesen Parameter zu aktivieren. Weitere Informationen hierzu finden Sie im OSS-Hinweis 480149.
Zusätzlich aktivieren Sie Scripting bitte folgendermaßen im SAP-GUI-Frontend:
- Öffnen Sie das Dialogfeld „Optionen“ im Hauptbildschirm der GUI.
- Wählen Sie die Registerkarte „Scripting“ und aktivieren Sie anschließend das Kontrollkästchen „Scripting aktivieren“.
Tabelle mit SAP-Berechtigungen
|
Query: Erforderliche SAP-Berechtigungen
Berechtigungen für Remote Function Calls (RFC-Aufrufe):
Das Studio v12 Query Modul sendet RFC-Aufrufe an SAP. Diese zusätzliche Zugriffsart muss Ihnen zugewiesen werden. In den meistens Fällen wurden Ihnen diese Berechtigungen bereits zugewiesen. Damit Sie mit dem Query Modul arbeiten können, müssen die folgenden Objekte mit den angegebenen Werten in Ihrem SAP-Benutzerprofil vorhanden sein.
Für S_RFC-Berechtigungsobjekte:
- • Feld RFC_TYPE: FUGR (Funktionsgruppe)
- • Feld ACTVT: 16 (Ausführen) oder *
- Feld RFC_NAME: *
Erstellen und Ausführen: RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU
F4-Wert – RHF4
Erstellen und Ausführen: SDIFRUNTIME
T-Code-Aufzeichnung zu Tabelle SBDR, SDTX, SBDC
InfoSets SQ02 und Abfragen SQ01: INSTALL, AQRC, AQRF
Die folgenden Werte sind für WFM 12.x erforderlich:
- WFM RFMs Selbstprüfung: /WINSHTLQ/*
- LDB verarbeitet mit WFM: SDIFRUNTIME, SEU2, SEQ0, ALDB
- Löschen von verwaisten Datenabschnitten in WFM: SGWY
- Query Ausführung im Hintergrund in WFM: BDL3, THFB, RSSG, BTCH
Berechtigungen auf Tabellenebene:
Um im Query Modul auf eine bestimmte Tabelle zugreifen zu können, benötigen Sie den Zugriff auf Tabellenebene. Die Zugriffsberechtigung auf Tabellenebene ist in SAP unabhängig von den Transaktionen. So haben Sie z. B. möglicherweise Zugriff auf die Transaktion MM01, bei der die Materialstammtabelle (MARA) verwendet wird, automatischen Zugriff auf diese Tabelle haben Sie dadurch aber nicht. Der Zugriff auf Tabellenebene wird über das Berechtigungsobjekt S_TABU_DIS für mandantenabhängige Tabellen und S_TABU_CLI für mandantenunabhängige Tabellen gesteuert.
Nicht-WFM Tabellennamen abfragen:
Tabellenname | Zweck |
---|---|
DD02T | SAP-Tabellenbeschreibung abrufen |
DD17S | Alle Felder zur entsprechenden Tabelle abrufen |
DD03L | Gibt eine Datentabelle mit Schlüsselflag für jeweilige Tabelle zurück |
DD02L | Nach Tabellentyp suchen |
DD02V | Nach Tabellentyp und Beschreibung aus Ansicht suchen. |
DD27VV | Alle Felder für entsprechende Anzeige abrufen |
DDFTX | Tabelle für Feldbeschreibung suchen |
Berechtigungsobjekt:
S_TABU_DIS
Felder:
Berechtigungsgruppe (DICBERCLS): &NC&
Aktivität (ACTVT): 03 (Anzeigen)
Beispiel:
Nahezu jede mandantenabhängige Tabelle in SAP ist einer bestimmten Berechtigungsgruppe in dem Feld CCLASS der SAP-Tabelle TDDAT zugewiesen. Beispiel: Die Tabelle MARA ist der Berechtigungsgruppe MA zugewiesen.
Um Zugriff auf die Tabelle MARA zu erhalten, muss die Berechtigungsgruppe MA im Berechtigungsobjekt S_TABU_DIS Ihrem SAP-Profil zugewiesen werden (siehe unten):
Berechtigungsobjekt:
S_TABU_DIS
Felder:
Berechtigungsgruppe (DICBERCLS): MA (Für Tabelle MARA)
Aktivität (ACTVT): 03 (Anzeigen)
Hinweise
- Jede Tabelle kann einer anderen Berechtigungsgruppe angehören. Damit Sie auf verschiedene Tabellen zugreifen können, muss in Ihrem Profil die jeweilige Berechtigung für die entsprechende Gruppe enthalten sein.
- Bei clientunabhängigen Tabellen (bei denen das Feld MANDT nicht in der Tabelle enthalten ist), benötigen Sie das folgende Autorisierungsobjekt in Ihrem SAP-Profil:
Berechtigungsobjekt:
S_TABU_CLI
Felder:
CLIIDMAINT: X
- Falls die benötigte Tabelle nicht in der SAP-Tabelle TDDAT aufgeführt ist, können Sie die entsprechende Berechtigungsgruppe über folgende Einträge zuweisen:
Berechtigungsobjekt:
S_TABU_DIS
Felder:
Berechtigungsgruppe (DICBERCLS): &NC&
Aktivität (ACTVT): 03 (Anzeigen)