Les autorisations nécessaires pour Studio varient selon que vous utilisez le module Transaction ou le module Query.
Les modules Studio pour Transaction et Query protègent complètement les fonctions de sécurité SAP®. En aucun cas les modules Transaction et Query remplacent les restrictions d’autorisations SAP qui vous sont appliquées.
Dans la plupart des cas, ces autorisations SAP sont déjà définies. Cependant, si vous avez essayé le module Transaction ou Query et que vous ne pouvez pas l’utiliser ou que vous recevez des messages d’erreur, les informations suivantes peuvent vous aider, ainsi que l’équipe de sécurité, à comprendre l’autorisation SAP requise pour l’utiliser avec les modules Transaction et Query et résoudre le problème.
Transaction : Autorisations SAP requises
Les clients qui exécutent SAP avec la pile 700 Support Pack 24 de base ou une pile supérieure doivent mettre en œuvre le module AFM (Automate Function Module) personnalisé pour que les modes d’enregistrements non-batch fonctionnent.
Autorisation Transaction via SAP GUI :
Le module Transaction ne peut pas exécuter une transaction si vous ne pouvez pas l’exécuter dans SAP GUI. Si vous n’avez pas accès à une transaction, obtenez l’autorisation associée avant l’enregistrement ou exécutez cette transaction dans le module Transaction.
Autorisation RFC (Remote Function Calls) :
le module Transaction effectue des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Transaction.
Pour l’objet d’autorisation S_RFC :
• Champ RFC_TYPE valeur FUGR (groupe de fonctions)
• Champ valeur ACTVT 16 (execute) ou *
• Champ RFC_NAME
Les valeurs suivantes sont requises pour exécuter des fichiers script : SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX
Les valeurs additionnelles suivantes sont requises pour l’enregistrement de fichiers script : SBDR, SCAT, STTM, SDTX
Les valeurs suivantes sont requises pour pouvoir utiliser l’attachement de document : BDS_BAPI, SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT, SWOR, BREL, SOA1, SOC3, SOC8
En outre, l’attachement de document nécessite l’accès à l’objet S_BDS_DS avec toutes les valeurs, à l’exception de lock et delete.
La valeur suivante est requise pour pouvoir utiliser la liste des valeurs SAP (F4) avec les formulaires : SWFMOD_Workflow
Les valeurs suivantes sont requises pour l’aide Addin F4 : RHF4
F4 dans WFM : SIMG, BDL5, SUNI
Ajouter un long texte : STXKS, ALFA, ITOB_BAPI_EQ, ITOB_BAPI_FL, IBAPI_ALM_ORDER, IWOPM, MEWI ,0012, 1022
Module RFM d’outils Automate supplémentaires : 1001MASSUEB
Créer et exécuter : RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU
Pour vérifier qu’un utilisateur est autorisé à utiliser un rFM, le module Transaction vérifie que l’utilisateur dispose de l’autorisation EXECUTE(16) sur le groupe Function. Par conséquent, lorsqu’un module Function s’exécute, il accède aux structures définies aussi dans le groupe Function et l’autorisation pour le groupe Function est donc nécessaire.
La transaction Authority_Check rFM détermine si l’utilisateur est autorisé à utiliser le module Function d’un groupe Function donné.
Les valeurs suivantes sont requises pour WFM 12.x :
- Auto-vérification WFM rfms : /WINSHTLQ/*
- F4 dans WFM : SIMG, BDL5
- Ajouter un long texte : STXKS, ALFA
- Enregistrement dans WFM : SBDR, SCP2
- Enregistrement, format utilisateur dans WFM : RFC1, SU_USER
- Validation WFM -BATG
- Attachement de document : SDC_MIME, OPTA, OPTB, CVBAPI, CVAPI01, ARCHIVOBJECT
- Wrapper RFM spécifique au client supplémentaire - SSRV, BPC3,TSRV, SSRV2
- Appel de fonctionnalité principale de fournisseur via Direct dans WFM : FIN_AP_AR_BANK, 1011, BAPT, 1013, ACC9
- Appel de fonctionnalité principale de fournisseur via Direct dans WFM (uniquement pour S4HANA) : BUBA_3, BUBA_4
- Appel BAPI de calcul des prix dans WFM : WVK8
- Appel de fonctionnalité principale client via Direct dans WFM : SZAK
Autorisations de table :
le module Transaction peut obtenir des journaux, des commentaires étendus, des descriptions de champs et des messages pendant le débogage. Pour cela, l’utilisateur doit avoir accès à certaines tables. L’accès au niveau des tables est contrôlé par l’objet d’autorisation S_TABU_DIS. Transaction doit accéder aux tables suivantes : T100, TFDIR, DD03L, DD04L, TSTCT, D020T et DD03M. Pour activer cet accès, définissez l’autorisation suivante :
Objet d’autorisation : S_TABU_DIS
Groupe d’autorisations de champ (DICBERCLS) = SS, &NC&
Champ Activité (ACTVT) = 03 (affichage uniquement)
Transaction (non-WFM)
Nom de la table | Fonction |
---|---|
TSTCT | Obtention de la description du code de transaction |
D020T | Obtention de la description de l’écran |
DD03M | Obtention de la description de champ |
TFDIR | Vérifier que le mode de débogage est pris en charge |
T100 | Extraction de message |
DD03L | Récupération des types de données correspondant aux champs |
Autorisation de scriptage IU :
outre les appels RFC, le module Transaction permet aussi d’accéder au système SAP en utilisant le mode de scriptage SAP GUI. Pour vérifier si le mode de scriptage GUI est activé, examinez l'extrémité droite de la barre d'état SAP GUI.
Si elle contient une icône zébrée bleu, blanc, rouge, cela implique que le scriptage GUI est activé.
Si l'icône est absente, demandez au personnel de sécurité d'utiliser la transaction RZ11 pour activer le scriptage GUI. Pour l’activer sur le serveur SAP, l’administrateur doit affecter la valeur TRUE au paramètre de profil sapgui/user_scripting sur le serveur d’applications. Pour activer ce paramètre, exécutez la transaction RZ11. Voir la note OSS 480149 pour plus d'informations.
D’autre part, activez le scriptage sur la machine frontale SAP GUI comme suit :
- Ouvrez la boîte de dialogue Options à partir de l’écran principal de l’UI.
- Sélectionnez l’onglet Scriptage, puis cochez la case Activer le scriptage.
Tableau des autorisations SAP
|
Query : Autorisations SAP nécessaires
Autorisation RFC (Remote Function Calls) :
Le module Studio v12 Query exécute des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Query.
Pour les objets d’autorisation S_RFC :
- Champ RFC_TYPE : FUGR (groupe de fonctions)
- Champ ACTVT : 16 (execute) ou *
- Champ RFC_NAME : *
Créer et exécuter : RFCH, RFC1, SRFC, SUSO, SUSR, SYST, SYGU
Valeur F4 – RHF4
Créer et exécuter : SDIFRUNTIME
Enregistrement de code de transaction dans la table SBDR, SDTX, SBDC
InfoSets SQ02 et requêtes SQ01 : INSTALL, AQRC, AQCF
Les valeurs suivantes sont requises pour WFM 12.x :
- Auto-vérification WFM rfms : /WINSHTLQ/*
- Processus LDB via WFM : SDIFRUNTIME, SEU2, SEQ0, ALDB
- Segment orphelin dans WFM : SGWY
- Exécution de Query en arrière-plan dans WFM : BDL3, THFB, RSSG, BTCH
Autorisations de table :
Pour accéder à une table dans le module Query, vous devez disposer d’un accès au niveau table. Dans SAP, l’accès au niveau table est indépendant d’une transaction. Par exemple, il se peut que vous ayez accès à la transaction MM01 qui utilise la table de données de base de l’article (MARA), mais cela ne vous donne pas un accès automatique à la table. L’accès au niveau table est contrôlé par l’objet d’autorisation S_TABU_DIS des tables dépendantes du client et par S_TABU_CLI pour les tables indépendantes du client.
Noms des tables non-WFM Query :
Nom de la table | Fonction |
---|---|
DD02T | Obtenir la description de table SAP |
DD17S | Extraire tous les champs correspondant à la table |
DD03L | Renvoyer une table de données avec l’indicateur de clé de la table |
DD02L | Rechercher le type d’une table |
DD02V | Rechercher le type d’une table et sa description depuis une vue. |
DD27VV | Obtenir tous les champs correspondant d’une vue |
DDFTX | Rechercher une description de champ dans une table |
Objet d’autorisation :
S_TABU_DIS
Champs:
Groupe d’autorisations (DICBERCLS) : &NC&
Activité (ACTVT) : 03 (Affichage)
Par exemple :
La plupart des tables dépendantes du client dans SAP sont affectées à un groupe d’autorisations spécifiques dans la table SAP TDDAT dans le champ CCLASS. Par exemple, la table MARA est affectée au groupe d’autorisations MA.
Pour pouvoir accéder à la table MARA, le groupe d’autorisations MA doit être affecté à votre profil SAP dans l’objet d’autorisation S_TABU_DIS, comme indiqué ci-dessous :
Objet d’autorisation :
S_TABU_DIS
Champs:
Groupe d’autorisation (DICBERCLS) : MA (pour la table MARA)
Activité (ACTVT) : 03 (Affichage)
Remarques
- Chaque table peut appartenir à un groupe d’autorisations différent. Pour pouvoir accéder à des tables différentes, votre profil doit disposer de l’autorisation appropriée pour les groupes concernés.
- Pour les tables indépendantes du client (où le champ « MANDT » ne figure pas), l’objet d’autorisation suivant doit figurer dans votre profil SAP :
Objet d’autorisation :
S_TABU_CLI
Champs:
CLIIDMAINT : X
- Si la table nécessaire ne figure pas dans la table SAP TDDAT, vous pouvez affecter la table au groupe d’autorisations en affectant ce qui suit :
Objet d’autorisation :
S_TABU_DIS
Champs:
Groupe d’autorisations (DICBERCLS) : &NC&
Activité (ACTVT) : 03 (Affichage)