SAP Security Objects

SAP-Berechtigungen, die für AE SAP-Jobs erforderlich sind, sind von Ihrer jeweiligen Installation und den in der AE verwendeten Funktionen abhängig. Dieses Thema enthält alle Berechtigungsobjekte, die der Systembenutzer für maximale Funktionalität benötigt.

Tipps:

  • Erstellen Sie Ihre Berechtigungen in Übereinstimmung mit Ihren eigenen Namenskonventionen.
  • Um minimale AE-Funktionalität zu verwenden, stellen Sie Ihrem RFC-Benutzer ein Benutzerprofil zur Verfügung, das das Berechtigungsobjekt mit S_BTCH_JOB. Dieses muss die Standard-Berechtigung S_BTCH_ALL beinhalten oder folgende Werte eingetragen haben:
    • Aktivitäten in Jobs: DELE, PLAN, PROT, RELE, SHOW
    • Zusammenfassung von Jobs für eine Gruppe: *

Übersicht über SAP-Berechtigungsobjekte

Die folgende Liste erfordert fundierte Kenntnisse der SAP-Berechtigungskonzepte:

  • S_RFC
    Verbindung zu AE: Wenn der Profilparameter auth/rfc_authority_check gesetzt ist, prüft SAP, ob der RFC-Benutzer berechtigt ist, die entsprechende Funktionsgruppe aufzurufen.
    Feldnamen: ACTVT RFC_, NAME RFC_, TYPE
    Wert: *

  • S_BTCH_JOB
    Batch-Verarbeitungsoptionen für Batch-Jobs
    Verbindung zu AE: Die AE erzeugt SAP-Jobs dynamisch und benötigt die Berechtigung, Jobs zu planen, zu überwachen und freizugeben. Außerdem erstellt die AE Jobs, um BDC-Sitzungen zu verarbeiten, wodurch das standardmäßige Programm RSBDCBTC ABAP verwendet wird.
    Feldnamen: JOBACTION, JOBGROUP
    Wert: *

  • S_BTCH_ADM
    Hintergrundverarbeitung: Background Administrator
    Verbindung zu AE: Zur Ausführung vorhandener SAP-Jobs muss die AE die entsprechenden Jobs ändern. Die AE und Standardschnittstellen verwenden das Standard-Funktionsmodul BP_JOB_MODIFY, um Jobs durchzuführen. Batch-Administratorberechtigung ist erforderlich. Diese Art Berechtigung ist ebenfalls erforderlich, um die Spool-Liste eines Jobs abzurufen, falls dieser nicht vom SAP-System erzeugt wurde.

    Wichtig! S_BTCH_ADM ermöglicht die vom Mandanten unabhängige Auswahl vorhandener Jobs. Wenn die AE JCL-Anweisung R3_ACTIVATE_JOBS mit einem SAP-Systembenutzer verarbeitet wird, der diese Art Genehmigung besitzt, startet die AE möglicherweise Jobs in mehreren SAP-Mandanten, abhängig von den angegebenen Auswahlkriterien (wie beispielsweise denselben Jobnamen in zwei SAP-Mandanten)
    Feldname: BTCADMIN
    Wert: Y

  • S_BTCH_NAM
    Verbindung zu AE : Um Jobs für andere SAP-Benutzer zu erstellen und auszuführen, muss der Systembenutzer berechtigt sein, den Benutzernamen anzugeben.
    Feldname: BTCUNAME
    Wert: *

  • S_SPO_DEV
    Spooler: Device Authorization
    Verbindung zu AE: Um den Druckparameter 'print immediately' in einem Schritt anzugeben, muss der Systembenutzer berechtigt sein, auf das entsprechende Druckgerät zuzugreifen.
    Feldname: SPODEVICE
    Wert: *

  • S_TMS_ACT
    Verbindung zu AE : Um das Deckblatt einer Spool-Liste zurück an die AE zu übertragen, ist es hilfreich, die Parameter der Variante zu sehen, die für die Ausführung des ABAP verwendet wurde. Diese Information ist Teil des Deckblattes.
    Feldnamen: STMSACTION, STMSOBJECT, STMSOWNER
    Wert: *

  • S_XMI_PROD
    Verbindung zu AE : Dieses Objekt wird für die Anmeldung bei der Standard-Schnittstelle verwendet. Externe Anwendungen müssen sich bei der Schnittstelle anmelden, bevor sie deren Funktionen aufrufen können.
    Feldnamen: EXTCOMPANY, EXTPRODUCT, INTERFACE
    Wert: *

  • S_XMI_LOG
    Verbindung zu AE : Für die AE nicht notwendig, aber wenn Sie die Standard-Schnittstelle verwenden, werden Einträge im XMI-Log erstellt (Online-Transaktionscode RZ15). Diese sind nur mit dieser Berechtigung einsehbar und löschbar.
    Feldname: n/a
    Wert: n/a

  • S_WFAR_OBJ
    ArchiveLink-Berechtigungen für den Zugriff auf Dokumente
    Verbindung zuAE: Die AE erlaubt, dass Archivparameter wie Objekttyp, Dokumenttyp usw. angegeben werden. Deshalb können Sie die Druckliste eines ABAP-Programms sofort übertragen. Dies ist nur nützlich, wenn ein optisches Archivsystem für das SAP-System installiert ist.
    Feldnamen: ACTVT, OAARCHIV, OADOCUMENT, OAOBJEKTE
    Wert: *

  • S_WFAR_PRI
    ArchiveLink-Berechtigung für den Zugriff auf Drucklisten
    Verbindung zu AE: Um Drucklisten in einem optischen Archiv zu erstellen, braucht der SAP-Systembenutzer die entsprechende Berechtigung.
    Feldnamen: ACTVT, OAARCHIV, OADOKUMENT, OAOBJEKTE, PROGRAM
    Wert: *

  • S_PROGRAM
    ABAP: Überprüfungen des Programmlaufs
    Verbindung zu AE: Die AE fordert, das dieses Berechtigungsobjekt ABAP-Programme einplant, die Berechtigungsgruppen zugeordnet sind (Berechtigungsfeld P_ACTION = BTCSUBMIT), und verwaltet Varianten (Berechtigungsfeld P_ACTION = VARIANT).

    Die Berechtigung SUBMIT wird für den Kommunikationsbenutzer für das S_PROGRAM-Objekt zusätzlich zu BTCSUBMIT und VARIANT erforderlich (R3_GET_JOB_SPOOL). Weitere Informationen finden Sie im SAP-Hinweis 2269032.
    Feldnamen:

    • P_ACTION
      Werte: BTCSUBMIT, VARIANT, SUBMIT
    • P_GROUP
      Wert: *

  • S_SPO_ACT
    Spool: Aktionen
    Verbindung zu AE: Um Spool-Listen zu übertragen, die nicht vom SAP-Systembenutzer erstellt wurden, muss das Feld SPOACTION die Aktionen BASE und DISP für die entsprechenden Felder erlauben.
    Feldnamen:

    • SPOACTION
      Werte: BASE,DISP
    • SPOAUTH
      Wert: *

  • S_ADMI_FCD
    Systemberechtigungen
    Verbindung zu AE: Zur Übertragung von Spool-Listen, die nicht vom SAP-Systembenutzer erstellt wurden, muss das Feld S_ADMI_FCD mindestens die Aktion SP0R erlauben.
    Feldname: S_ADMI_FCD
    Wert: SP0R

  • S_RS_ISOUR
    Administrator-Workbench - InfoSource (Flexible Update)
    Verbindung zu AE: Nur erforderlich, wenn die Business Warehouse Function BW_ACTIVATE_INFOPACKAGE und Flexible Update verwendet werden.
    Feldnamen: ACTVT, RSAPPLNM, RSISOURCE, RSISRCOBJ
    Wert: *

  • S_RS_ISOUR
    Administrator-Workbench - InfoSource (Direct Update)
    Verbindung zu: Nur erforderlich, wenn die Business Warehouse Function BW_ACTIVATE_INFOPACKAGE und Direct Update verwendet werden.
    Feldnamen: ACTVT, RSAPPLNM, RSISOURCE, RSISRCOBJ
    Wert: *

  • S_DEVELOP ABAP
    Workbench
    Verbindung zu AE: Nur erforderlich, wenn die Business Warehouse Function BW_ACTIVATE_CHAIN verwendet wird.
    Feldnamen: ACTVT, DEVCLASS, OBJNAME, OBJTYPE P_, GROUP
    Wert: *

  • S_RS_ICUBE
    Administrator-Workbench - InfoCube
    Verbindung zu AE: Nur erforderlich, wenn die Business Warehouse Function BW_ACTIVATE_CHAIN verwendet wird.
    Feldnamen: ACTVT, RSICUBEOBJ, RSINFOAREA, RSINFOCUBE
    Wert: *

  • S_RS_ADMWB
    Administrator-Workbench - Objekte
    Verbindung zu AE: Nur erforderlich, wenn die Business Warehouse Functions verwendet werden.
    Feldnamen: ACTVT, RSADMWBOBJ
    Wert: *

  • S_RS_DS
    Verbindung zu AE : Nur erforderlich, wenn die Business Warehouse Functions verwendet werden.

  • S_RS_DTP
    Verbindung zu AE : Nur erforderlich, wenn die Business Warehouse Functions verwendet werden.

  • S_RS_ODSO
    Verbindung zu AE : Nur erforderlich, wenn die Business Warehouse Functions verwendet werden.

  • S_RS_PC
    Verbindung zu AE : Nur erforderlich, wenn die Business Warehouse Functions verwendet werden.

  • S_RZL_ADM
    Verbindung zu AE : Freigabe von Intercepted Jobs (RemoteTaskManager, R3_activate_intercepted_jobs)
    Feldname: ACTVT
    Wert: 01

  • S_TABU_DIS
    Für die Verwendung von SAP Forms, siehe Formularansicht auf der Seite "Prozess"
    Feldnamen:

    • ACTVT
      Wert: 03
    • DICBERCLS
      Wert: SPFL