Transaction - Erforderliche SAP-Berechtigungen (1)

Winshuttle TRANSACTION schützt die SAP®-Sicherheitsfunktionen umfassend. TRANSACTION kann auf gar keinen Fall die für Sie geltenden SAP-Berechtigungseinschränkungen übersteuern. Mithilfe dieses Dokuments können Sie und Ihr Sicherheitsteam die für die Arbeit mit TRANSACTION erforderlichen SAP-Berechtigungen besser verstehen. In den meisten Fällen bestehen diese SAP-Autorisierungen bereits. Falls Sie TRANSACTION bereits ausprobiert haben, es aber trotzdem nicht nutzen können, oder Ihnen Fehlermeldungen angezeigt werden, dann unterstützt Sie dieses Dokument bei der Lösung dieses Problems.

SAP-Kunden, die SAP mit Supportpackage-Stack 24 oder höher betreiben, müssen den individuellen Winshuttle Funktionsbaustein implementieren, damit das Aufzeichnen im Direct-Input-Modus funktioniert.

Berechtigungsvergabe für TRANSACTION über SAP GUI

TRANSACTION kann keine Transaktionen ausführen, solange Sie die betreffende Transaktion nicht im SAP GUI ausführen dürfen. Wenn Sie auf eine bestimmte Transaktion keinen Zugriff haben, dann müssen Sie zuerst die Berechtigung erhalten, bevor Sie in der Lage sind diese Transaktion in TRANSACTION aufzuzeichnen oder auszuführen.

Zur Verwendung von Datumsformaten in Formularen ist außerdem die Berechtigung für die Transaktion SU3 erforderlich.

Berechtigungen für Remote Function Calls (RFC)

TRANSACTION sendet RFC-Aufrufe an SAP. Diese zusätzliche Zugriffsart muss Ihnen zugewiesen werden. In den meistens Fällen wurden Ihnen diese Berechtigungen bereits zugewiesen. Zur Arbeit mit TRANSACTION sollten die angegebenen Werte für die folgenden Objekte in Ihrem SAP-Benutzerprofil gesetzt sein.

Für das Berechtigungsobjekt S_RFC

• Feld RFC_TYPE Wert FUGR (Funktionsgruppe)

• Feld ACTVT Wert 16 (ausführen) oder *

• Feld RFC_NAME

Die folgenden Werte sind für das Ausführen von Shuttle-Dateien erforderlich: SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX

Die folgenden zusätzlichen Werte sind für das Aufzeichnen von Shuttle-Dateien erforderlich: SBDR, SCAT, STTM, SDTX

Die folgenden Werte sind für das Anhängen von Dokumenten erforderlich: BDS_BAPI

Zusätzlich ist der Zugriff auf das Objekt S_BDS_DS mit allen Werten außer Sperren und Löschen erfoderlich.

Der Folgende Wert ist zur Verwendung der SAP-Wertehilfe (F4) in Formularen nötig: SWFMOD_Workflow

Zur Prüfung, ob ein Benutzer über die Berechtigung für einen gegebenes rFB verfügt, validiert TRANSACTION, ob der Benutzer die AUSFÜHREN (16)-Erlaubnis für die Funktionsgruppe hat. Wenn ein Funktionsbaustein ausgeführt wird, greift dieser ebenfalls auf die in der Funktionsgruppe definierten Strukturen zu. Deshalb ist die Berechtigung für die Funktionsgruppe erforderlich.

Der rFB Authority_Check validiert, ob der Benutzer zur Nutzung des Funktionsbausteins einer bestimmten Funktionsgruppe berechtigt ist.

Berechtigungen auf Tabellenebene

TRANSACTION kann Protokolle, erweiterte Kommentare, Feldbeschreibungen und Meldungen aus dem Debugging-Prozess abrufen. Damit dies funktioniert, muss der Benutzer Zugriff auf bestimmte Tabellen erhalten. Der Zugriff auf Tabellenebene wird über das Berechtigungsobjekt S_TABU_DIS gesteuert. TRANSACTION benötigt den Zugriff auf die folgenden Tabellen: T100, TFDIR, DD03L, DD04L, TSTCT, D020T, und DD03M. Um den Zugriff einzuräumen, vergeben Sie die folgenden Berechtigungen:

Berechtigungsobjekt: S_TABU_DIS

Feldberechtigungsgruppe (DICBERCLS) = SS, &NC&

Feldaktivität (ACTVT) = 03 (nur Anzeige)

Berechtigungen für GUI-Scripting

Ergänzend zu RFCs, bietet TRANSACTION auch den Zugriff auf das SAP-System über den SAPGUI-Scripting-Modus. Zum Überprüfen, ob das GUI-Scripting aktiviert ist, sehen auf der rechten Seite der SAP-Statusleiste nach.

Wenn das Barbierstab-Symbol auf Ihrer Statusleiste angezeigt wird, dann ist das GUI-Scripting aktiviert.

Falls Sie das Symbol nicht sehen können, dann bitten Sie Ihr Sicherheitsteam, das GUI-Scripting mithilfe der Transaktion RZ11 zu aktivieren. Zum Aktivieren des GUI-Scriptings auf dem SAP-Server, muss der Administrator auf dem Applikationsserver den Profilparameter sapgui/user_scripting auf WAHR setzen. Fürhen Sie die Transaktion RZ11 aus, um diesen Parameter zu aktivieren. Weitere Informationen hierzu finden Sie im OSS-Hinweis 480149.

Stellen Sie zusätzlich das Scripting im SAP-Frontend wie folgt ein:

  1. Öffnen Sie das Fenster Optionen im Hauptbild des GUIs.

  2. Wählen Sie die Registerkarte Scripting und markieren Sie anschließend das Kontrollkästchen Scripting aktivieren.

Funktionsgruppe

Remote-Funktionsbaustein

Instanz

Modus

Beschreibung

SBDC

ABAP4_CALL_TRANSACTION

Ausführen

Schrittweise Ausführen

Batch

 

 

 

Aufzeichnen

GUI-Scripting für EP

 

 

 

Ausführen

GUI-Scripting für EP

 

ATSV

ABAP4_CALL_TRANSACTION

Ausführen

Batch-Modus

 

SUSR

AUTHORITY_CHECK

Aufzeichnen

 

 

 

 

Ausführen

 

 

SUBDR

BDC_RECORD_TRANSACTION

Aufzeichnen

Batch

 

 

 

Aufzeichnen

Direct-Input ohne Controls

 

 

 

Aufzeichnen

Direct-Input mit Controls

 

STTM

CAT_CONTROLS_GET_DATA

Aufzeichnen

Direct-Input mit Controls

 

STTM

CAT_CONTROLS_INIT

Aufzeichnen

Direct-Input mit Controls

 

STTM

CAT_DATAPROV_GET_DATA

Aufzeichnen

Direct-Input mit Controls

 

STTM

CAT_DATAPROV_INIT

Aufzeichnen

Direct-Input mit Controls

 

SCAT

CAT_SET_CATTAKTIV

Aufzeichnen

Direct-Input mit Controls

 

STTF

CAT_TCD_CAL

Ausführen

Direct-Input mit Controls

 

 

 

Ausführen

Direct-Input ohne Controls

 

RFC1

RFC_GET_FUNCTION_INTERFACE

Aufzeichnen

ALLE

Vor Aufruf des FBs prüfen, ob dieser vorhanden ist

 

 

Ausführen

ALLE

 

RFC1

RFC_GET_STRUCTURE_DEFINITION

Ausführen

Direct-Input

 

SDTX

RFC_READ_TABLE

Aufzeichnen

ALLE

 

 

 

Ausführen

ALLE

 

RHF4

RHF4_RFC_FIELD_VALUE_REQUEST

Keine

Keine

F4-Wertehilfe

/winshtl/txafugr

_WINSHTL_TXA_RFC_READ_ACCESS

Aufzeichnen

ALLE

Zuerst wird geprüft, ob diese vorhanden sind, erst dann werden sie aufgerufen

 

 

Ausführen

ALLE

 

/winshtl/txafugr

_WINSHTL_TXU_RFC_WRITE_AUDIT

Aufzeichnen

ALLE

Zuerst wird geprüft, ob diese vorhanden sind, erst dann werden sie aufgerufen

 

 

Ausführen

ALLE

 

SYST

 

Anmeldung

 

 

SRFC

RFC_PING

 

 

 

RFCH

RFC_GET_UNICODE_STRUCTURE

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tabellenliste

Instanz

Modus

Kommentare

 

TSTCT

Aufzeichnen

Alle außer GUI-Scripting

Beschreibung des Transaktionscodes

 

D020T

Aufzeichnen

Alle außer GUI-Scripting

 

 

DD03M

Aufzeichnen

ALLE

 

 

TFDIR

Schrittweise ausführen

Modus

ALLE

Aufgerufen für alle SAP-Releases vor 4.5

 

T100

Ausführen

Alle außer GUI-Scripting

 

 

 

Ausführen

BAPI mit erweitertem Protokoll