SAP Security Objects

Abhängig von Ihrer speziellen Installation und den Funktionen, die Sie in Ihrem Automic Automation-System verwenden, sind für AESAP-Jobs mehrere SAP-Berechtigungen erforderlich. Dieses Thema enthält alle Berechtigungsobjekte, die der Systembenutzer für maximale Funktionalität benötigt.

Tipps:

• Erstellen Sie Ihre Berechtigungen in Übereinstimmung mit Ihren eigenen Namenskonventionen.
• Um minimale AE-Funktionalität zu verwenden, stellen Sie Ihrem RFC-Benutzer ein Benutzerprofil zur Verfügung, das das Berechtigungsobjekt mit S_BTCH_JOB. Dieses muss die Standard-Berechtigung S_BTCH_ALL beinhalten oder folgende Werte eingetragen haben:
  • Aktivitäten in Jobs: DELE, PLAN, PROT, RELE, SHOW
  • Zusammenfassung von Jobs für eine Gruppe: *

Übersicht über SAP-Berechtigungsobjekte

Die folgende Liste erfordert fundierte Kenntnisse der SAP-Berechtigungskonzepte:

• S_RFC
  Verbindung zu AE: Wenn der Profilparameter auth/rfc_authority_check gesetzt ist, prüft SAP, ob der RFC-Benutzer berechtigt ist, die entsprechende Funktionsgruppe aufzurufen.
  Feldnamen: ACTVT RFC_, NAME RFC_, TYPE
  Wert: *

• S_BTCH_JOB
  Batch-Verarbeitung: Operationen für Batch-Jobs
  Verbindung zu AE: Die AE erzeugt SAP-Jobs dynamisch und benötigt die Berechtigung, Jobs zu planen, zu überwachen und freizugeben. Außerdem erstellt die AE Jobs, um BDC-Sitzungen zu verarbeiten, wodurch das standardmäßige Programm RSBDCBTC ABAP verwendet wird.
  Feldnamen: JOBACTION, JOBGROUP
  Wert: *

• S_BTCH_ADM
  Hintergrundverarbeitung: Background Administrator
  Verbindung zu AE: Zur Ausführung vorhandener SAP-Jobs muss die AE die entsprechenden Jobs ändern. Die AE und Standardschnittstellen verwenden das Standard-Funktionsmodul BP_JOB_MODIFY, um Jobs durchzuführen. Batch-Administratorberechtigung ist erforderlich. Sie benötigen diesen Berechtigungstyp auch, um die Spool-Liste eines Jobs abzurufen, wenn der SAP-Systembenutzer nicht der Ersteller des Jobs ist.

  Wichtig! S_BTCH_ADM ermöglicht die vom Mandanten unabhängige Auswahl vorhandener Jobs. Wenn die Script-Anweisung R3_ACTIVATE_JOBS mit einem SAP-Systembenutzer verarbeitet wird, der diesen Berechtigungstyp besitzt, startet die AE möglicherweise Jobs in mehreren SAP-Mandanten, abhängig von den angegebenen Auswahlkriterien (wie beispielsweise derselbe Jobnamen in zwei SAP-Mandanten).
  Feldname: BTCADMIN
  Wert: Y

• S_BTCH_NAM
  Verbindung zu AE : Um Jobs für andere SAP-Benutzer zu erstellen und auszuführen, muss der Systembenutzer berechtigt sein, den Benutzernamen anzugeben.
  Feldname: BTCUNAME Wert: *

• S_BTCH_NA1
  Batch-Verarbeitung: Benutzername und Programm
  Verbindung zu AE: Ab SAP 7.5.2 ist dieses Berechtigungsobjekt eine Erweiterung des Objekts S_BTCH_NAM. Zusätzlich zum Benutzernamen wird bei diesem Test auch der Reportname geprüft. Die Prüfung von S_BTCH_NA1 ist daher nur erfolgreich, wenn Benutzer A berechtigt ist, das Programm xyz für Benutzer B zu planen.
  Feldname: BTCUNAME, PROGNAME
  Wert: *

• S_SPO_DEV
  Spooler: Device Authorization
  Verbindung zu:AE: Um den Druckparameter 'print immediately' in einem Schritt anzugeben, muss der Systembenutzer berechtigt sein, auf das entsprechende Druckgerät zuzugreifen.
  Feldname: SPODEVICE
  Wert: *

• S_TMS_ACT
  Verbindung zu AE : Um das Deckblatt einer Spool-Liste an die AE zu übertragen, zeigen Sie die Parameter der Variante an, die für die ABAP-Ausführung verwendet wird. Diese Art von Informationen finden Sie auf dem Deckblatt.
  Feldnamen: STMSACTION, STMSOBJECT, STMSOWNER
  Wert: *

• S_TOOLS_EX
  Tools Performance Monitor
  Verbindung zu AE:Berechtigung, um externe Statistikdatensätze in Überwachungstools anzuzeigen.
  Feldname: AUTH
  Wert: *

• S_XMI_PROD
  Verbindung zu AE : Verwenden Sie dieses Objekt, um sich bei der Standard-Schnittstelle anzumelden. Bevor externe Anwendungen die Funktionen einer externen Schnittstelle aufrufen können, müssen sie sich bei der Schnittstelle anmelden.
  Feldnamen: EXTCOMPANY, EXTPRODUCT, INTERFACE
  Wert: *

• S_XMI_LOG
  Verbindung zu AE : Für die AE nicht notwendig, aber wenn Sie die Standard-Schnittstelle verwenden, werden Einträge im XMI-Log erstellt (Online-Transaktionscode RZ15). Sie benötigen diese Berechtigung, um sie anzeigen oder das Log löschen zu können.
  Feldname: n/a
  Wert: n/a

• S_WFAR_OBJ
  ArchiveLink-Berechtigungen für den Zugriff auf Dokumente
  Verbindung zu AE: Die AE erlaubt, dass Archivparameter wie Objekttyp, Dokumenttyp usw. angegeben werden. Deshalb können Sie die Druckliste eines ABAP-Programms sofort übertragen. Dies ist nur nützlich, wenn ein optisches Archivsystem für das SAP-System installiert ist.
  Feldnamen: ACTVT, OAARCHIV, OADOCUMENT, OAOBJEKTE
  Wert: *

• S_WFAR_PRI
  ArchiveLink-Berechtigung für den Zugriff auf Drucklisten
  Verbindung zu AE: Um Drucklisten in einem optischen Archiv zu erstellen, braucht der SAP-Systembenutzer die entsprechende Berechtigung.
  Feldnamen: ACTVT, OAARCHIV, OADOKUMENT, OAOBJEKTE, PROGRAM
  Wert: *

• S_PROGRAM
  ABAP: Überprüfungen des Programmlaufs
  Verbindung zu AE: Die AE fordert, das dieses Berechtigungsobjekt ABAP-Programme einplant, die Berechtigungsgruppen zugeordnet sind (Berechtigungsfeld P_ACTION = BTCSUBMIT), und verwaltet Varianten (Berechtigungsfeld P_ACTION = VARIANT).

  Der Kommunikationsbenutzer benötigt die SUBMIT-Berechtigung für das S_PROGRAM-Objekt und BTCSUBMIT & VARIANT T (R3_GET_JOB_SPOOL). Weitere Informationen finden Sie im SAP-Hinweis 2269032.
  Feldnamen:

  • P_ACTION
    Werte: BTCSUBMIT, VARIANT, SUBMIT
  • P_GROUP
    Wert: *

• S_SPO_ACT
  Spool: Aktionen
  Verbindung zu AE: Das Feld SPOACTION muss die Aktionen BASE und DISP zulassen, damit die Benutzer Spool-Listen übertragen können, die der SAP-Systembenutzer nicht erstellt hat.
  Feldnamen:

  • SPOACTION
    Werte: BASE,DISP
  • SPOAUTH
    Wert: *

• S_ADMI_FCD
  Systemberechtigungen
  Verbindung zu AE: Das Feld S_ADMI_FCD muss mindestens die Aktion SP0R zulassen, damit Spool-Listen übertragen werden können, die der SAP-Systembenutzer nicht erstellt hat.
  Feldname: S_ADMI_FCD
  Wert: SP0R

• S_RS_ISOUR
  Administrator-Workbench – InfoSource (Flexible Update)
  Verbindung zu AE: Diese Berechtigung benötigen Sie nur, wenn Sie das Script-Element BW_ACTIVATE_INFOPACKAGE Business Warehouse und Flexible Update verwenden.
  Feldnamen: ACTVT, RSAPPLNM, RSISOURCE, RSISRCOBJ
  Wert: *

• S_RS_ISOUR
  Administrator-Workbench – InfoSource (Direct Update)
  Verbindung zu: Diese Berechtigung benötigen Sie nur, wenn Sie das Script-Element BW_ACTIVATE_INFOPACKAGE Business Warehouse und Direct Update verwenden.
  Feldnamen: ACTVT, RSAPPLNM, RSISOURCE, RSISRCOBJ
  Wert: *

• S_DEVELOP ABAP
  Workbench
  Verbindung zu AE: Diese Berechtigung benötigen Sie nur, wenn Sie das Script-Element BW_ACTIVATE_CHAIN Business Warehouse verwenden.
  Feldnamen: ACTVT, DEVCLASS, OBJNAME, OBJTYPE P_, GROUP
  Wert: *

• S_RS_ICUBE
  Administrator-Workbench - InfoCube
  Verbindung zu AE: Diese Berechtigung benötigen Sie nur, wenn Sie das Script-Element BW_ACTIVATE_CHAIN Business Warehouse verwenden
  Feldnamen: ACTVT, RSICUBEOBJ, RSINFOAREA, RSINFOCUBE
  Wert: *

• S_RS_ADMWB
  Administrator-Workbench - Objekte
  Verbindung zu AE: Nur erforderlich, wenn die Business-Warehouse-Funktionen verwendet werden.
  Feldnamen: ACTVT, RSADMWBOBJ
  Wert: *

• S_RS_DS
  Verbindung zu AE : Nur erforderlich, wenn die Business-Warehouse-Funktionen verwendet werden.

• S_RS_DTP
  Verbindung zu AE : Nur erforderlich, wenn die Business-Warehouse-Funktionen verwendet werden.

• S_RS_ODSO
  Verbindung zu AE : Nur erforderlich, wenn die Business-Warehouse-Funktionen verwendet werden.

• S_RS_PC
  Verbindung zu AE : Nur erforderlich, wenn die Business-Warehouse-Funktionen verwendet werden.

• S_RZL_ADM
  Verbindung zu AE : Freigabe von Intercepted Jobs (RemoteTaskManager, R3_activate_intercepted_jobs)
  Feldname: ACTVT
  Wert: 01

• S_TABU_DIS
  Für die Verwendung von SAP Forms, siehe Formularansicht auf der Seite "Prozess"
  Feldnamen:

  • ACTVT
    Wert: 03
  • DICBERCLS
    Wert: SPFL