Autorisations SAP nécessaires, Studio v11
Les autorisations nécessaires pour Studio v11 varient selon que vous utilisez le module Transaction ou le module Query.
Les modules Studio v11pour Transaction et Query protègent complètement les fonctions de sécurité SAP®. En aucun cas les modules Transaction et Query remplacent les restrictions d'autorisations SAP qui vous sont appliquées.
Dans la plupart des cas, ces autorisations SAP sont déjà définies. Cependant, si vous avez essayé le module Transaction ou Query et que vous ne pouvez pas l'utiliser ou que vous recevez des messages d'erreur, les informations suivantes peuvent vous aider, ainsi que l'équipe de sécurité, à comprendre l'autorisation SAP requise pour l'utiliser avec les modules Transaction et Query et résoudre le problème.
Transaction : autorisations SAP requises
Les clients qui exécutent SAP avec la pile 700 Support Pack 24 de base ou une pile supérieure doivent mettre en oeuvre le module WFM (Winshuttle Function Module) personnalisé pour que les modes d'enregistrements non-batch fonctionnent.
Autorisation Transaction via l'UI SAP :
le module Transaction ne peut pas exécuter une transaction si vous ne pouvez pas l'exécuter dans l'UI SAP. Si vous n'avez pas accès à une transaction, obtenez l'autorisation associée avant l'enregistrement ou exécutez cette transaction dans le module Transaction.
Autorisation RFC (Remote Function Calls) :
le module Transaction effectue des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Transaction.
Pour l'objet d'autorisation S_RFC :
• Champ RFC_TYPE Valeur FUGR (groupe de fonctions)
• Champ ACTVT Valeur 16 (execute) ou *
• Champ RFC_NAME
Les valeurs suivantes sont requises pour exécuter des fichiers script : SYST, SRFC, SUSR, RFC1, RFCH, SBDC, ATSV, STTF, SDTX
Les valeurs additionnelles suivantes sont requises pour l'enregistrement de fichiers script : SBDR, SCAT, STTM, SDTX
Les valeurs suivantes sont requises pour pouvoir utiliser l'attachement de document : BDS_BAPI
En outre, l'accès à l'objet S_BDS_DS est nécessaire avec toutes les valeurs, à l'exception de lock et delete.
La valeur suivante est requise pour pouvoir utiliser la liste des valeurs SAP (F4) avec les formulaires : SWFMOD_Workflow
Les valeurs suivantes sont requises pour l'aide Addin F4 : RHF4
Les valeurs suivantes sont requises pour WFM v11 :
Auto-vérification WFM rfms : /WINSHTLQ/*
F4 dans WFM : SIMG, BDL5
Enregistrement dans WFM : SBDR, SCP2
Enregistrement, format utilisateur dans WFM: RFC1, SU_USER
Exécution de Query en arrière-plan dans WFM : BDL3, THFB
Appel BAPI de calcul des prix dans WFM : WVK8
Appel de fonctionnalité principale de fournisseur via Direct dans WFM : FIN_AP_AR_BANK, 1011, BAPT, 1013
Appel de fonctionnalité principale client via Direct dans WFM : SZAK
InfoSet SQ02, requêtes SQ01 dans WFM : AQCF
Pour vérifier qu'un utilisateur est autorisé à utiliser un rFM, le module Transaction vérifie que l'utilisateur dispose de l'autorisation EXECUTE(16) sur le groupe Function. Par conséquent, lorsqu'un module Function s'exécute, il accède aux structures définies aussi dans le groupe Function et l'autorisation pour le groupe Function est donc nécessaire.
La transaction Authority_Check rFM détermine si l'utilisateur est autorisé à utiliser le module Function d'un groupe Function donné.
Autorisations de table :
le module Transaction peut obtenir des journaux, des commentaires étendus, des descriptions de champs et des messages pendant le débogage. Pour cela, l'utilisateur doit avoir accès à certaines tables. L'accès au niveau des tables est contrôlé par l'objet d'autorisation S_TABU_DIS. Transaction doit accéder aux tables suivantes : T100, TFDIR, DD03L, DD04L, TSTCT, D020T et DD03M. Pour activer cet accès, définissez l'autorisation suivante :
Objet d'autorisation : S_TABU_DIS
Groupe d’autorisations de champ (DICBERCLS) = SS, &NC&
Champ Activité (ACTVT) = 03 (affichage uniquement)
Transaction (non-WFM)
Nom de table | Fonction |
TSTCT | Obtention de la description du code de transaction |
D020T | Obtention de la description de l'écran |
DD03M | Obtention de la description de champ |
TFDIR | Vérifier que le mode de débogage est pris en charge |
T100 | Extraction de message |
DD03L | Récupération des types de données correspondant aux champs |
Autorisation de scriptage IU :
outre les appels RFC, le module Transaction permet aussi d'accéder au système SAP en utilisant le mode de scriptage IU SAP. Pour déterminer si le mode de scriptage IU est activé, vérifiez la partie droite de la barre d'état de l'IU SAP.
Si l'icône d'enseigne de coiffeur est présente dans la barre d'état, cela implique que le mode est activé.
Si l'icône est absente, demandez à l'équipe de sécurité d'utiliser la transaction RZ11 pour activer le scriptage IU. Pour l'activer sur le serveur SAP, l'administrateur doit affecter la valeur TRUE au paramètre de profil sapgui/user_scripting sur le serveur d'applications. Pour activer ce paramètre, exécutez la transaction RZ11. Voir la note OSS 480149 pour plus d'informations.
D'autre part, activez le scriptage sur la machine frontale GUI SAP comme suit :
- Ouvrez la boîte de dialogue Options depuis l'écran principal de l'UI.
- Sélectionnez l'onglet Scriptage, puis cochez la caseActiver le scriptage.
Tableau des autorisations SAP
Groupe de fonctions |
Instance |
Mode |
Description |
SBDC | Exécuter Exécuter étape par étape |
Batch | |
Enregistrer | Scriptage IU pour le portail Ep | ||
Exécuter | Scriptage IU pour le portail Ep | ||
ATSV | Exécuter | Mode Batch | |
SUSR | Enregistrer | ||
Exécuter | |||
SBDR | Enregistrer | Batch | |
Enregistrer | Non-batch sans contrôles | ||
Enregistrer | Non-batch avec contrôles | ||
STTM | Enregistrer | Non-batch avec contrôles | |
SCAT | Enregistrer | Non-batch avec contrôles | |
STTF | Exécuter | Non-batch avec contrôles | |
Exécuter | Non-batch sans contrôles | ||
RFC1 | Enregistrer | TOUT | Vérifier la présence de module de fonction avant de les appeler |
Exécuter | TOUT | ||
RFC1 | Exécuter | Non-batch | |
SDTX | Enregistrer | TOUT | |
Exécuter | TOUT | ||
RHF4 | Aucun | Aucun | Aide F4 Module complémentaire |
/winshtl/txafugr | Enregistrer | TOUT | Leur existence est vérifiée, puis ils sont appelés. |
Exécuter | TOUT | ||
/winshtl/txufugr | Enregistrer | TOUT | Leur existence est vérifiée, puis ils sont appelés. |
Exécuter | TOUT | ||
SYST | Connexion | ||
SRFC | |||
RFCH | |||
Tableau | Instance | Mode | Commentaires |
TSTCT | Enregistrer | TOUT sauf scriptage IU | Description du code de transaction |
D020T | Enregistrer | TOUT sauf scriptage IU | |
DD03M | Enregistrer | TOUT | |
TFDIR | Exécuter étape par étape mode |
TOUT | Appelé pour les éditions antérieures à 45 |
T100 | Exécuter | TOUT sauf scriptage IU | |
Exécuter | BAPI avec journal étendu |
Query : autorisations SAP nécessaires
Autorisation RFC (Remote Function Calls) :
Le module Studio v11 Query exécute des appels RFC vers SAP. Vous devez disposer de cet accès supplémentaire. Dans la majorité des cas, vous avez déjà reçu ces autorisations. Les objets suivants avec les valeurs indiquées doivent figurer dans votre profil utilisateur SAP pour utiliser le module Query.
Pour les objets d'autorisation S_RFC :
- Champ RFC_TYPE : FUGR (groupe de fonctions)
- Champ ACTVT : 16 (execute) ou *
- Champ RFC_NAME : *
Créer et exécuter : RFCH, RFC1, SRFC,SUSO,SUSR,SYST
Valeur F4 – RHF4
Créer et exécuter : SDIFRUNTIME
Enregistrement de code de transaction dans la table SBDR, SDTX, SBDC,
InfoSets SQ02 et requêtes SQ01 : INSTALL, AQRC
Les valeurs suivantes sont requises pour WFM v11 :
Auto-vérification WFM rfms : /WINSHTLQ/*
Processus LDB via WFM : SDIFRUNTIME
Segment orphelin dans WFM : SGWY
Autorisations de table :
Pour accéder à une table dans le module Query, vous devez disposer d'un accès au niveau table. Dans SAP, l'accès au niveau table est indépendant d'une transaction. Par exemple, il se peut que vous ayez accès à la transaction MM01 qui utilise la table de données de base de l'article (MARA), mais cela ne vous donne pas un accès automatique à la table. L'accès au niveau table est contrôlé par l'objet d'autorisation S_TABU_DIS des tables dépendantes du client et par S_TABU_CLI pour les tables indépendantes du client.
Noms des tables non-WFM Query :
Nom de table |
Fonction |
DD02T | Obtenir la description de table SAP |
DD17S | Extraire tous les champs correspondant à la table |
DD03L | Renvoyer une table de données avec l'indicateur de clé de la table |
DD02L | Rechercher le type d'une table |
DD02V | Rechercher le type d'une table et sa description depuis une vue. |
DD27VV | Obtenir tous les champs correspondant d'une vue |
DDFTX | Rechercher une description de champ dans une table |
Objet d'autorisation :
S_TABU_DIS
Champs :
Groupe d'autorisations (DICBERCLS) : &NC&
Activité (ACTVT) : 03 (Affichage)
Par exemple :
La plupart des tables dépendantes du client dans SAP sont affectées à un groupe d'autorisations spécifiques dans la table SAP TDDAT dans le champ CCLASS. Par exemple, la table MARA est affectée au groupe d'autorisations MA.
Pour pouvoir accéder à la table MARA, le groupe d'autorisations MA doit être affecté à votre profil SAP dans l'objet d'autorisation S_TABU_DIS, comme indiqué ci-dessous :
Objet d'autorisation :
S_TABU_DIS
Champs :
Groupe d'autorisation (DICBERCLS) : MA (pour la table MARA)
Activité (ACTVT) : 03 (Affichage)
Remarques
- Chaque table peut appartenir à un groupe d'autorisations différent. Pour pouvoir accéder à des tables différentes, votre profil doit disposer de l’autorisation appropriée pour les groupes concernés.
- Pour les tables qui ne dépendent pas du client (où le champ MANDT ne figure pas), l'objet d'autorisation suivant doit figurer dans votre profil SAP :
Objet d'autorisation :
S_TABU_CLI
Champs :
CLIIDMAINT : X
- Si la table nécessaire ne figure pas dans la table SAP TDDAT, vous pouvez affecter la table au groupe d'autorisations en affectant ce qui suit :
Objet d'autorisation :
S_TABU_DIS
Champs :
Groupe d'autorisations (DICBERCLS) : &NC&
Activité (ACTVT) : 03 (Affichage)