GoldenLine
Zaloguj się
Monika Zięba

Monika Zięba Kierownik Działu
Programowania i
Rozwoju Aplikacji GA
ZAP

Temat: role/uprawnienia SAP

Witam,

Proszę o podpowiedź jak zbudować rolę, która ograniczy dostęp do 'spro' do konkretnej gałęzi (jednej lub kilku).
I drugie pytanie podobne - jak ograniczyć dostęp do sm30, tak by można było edytować tylko kilka wybranych tabel/wglądów.

Dzięki, pozdrawiam,
Monika
Link do wypowiedziLink
Arkadiusz S.

Arkadiusz S. Kierownik Działu
Systemów
Logistycznych i
Zarządzania Maj...

Temat: role/uprawnienia SAP

musisz sprawdzić jakie transakcje "kryją" się pod konkretnymi działaniami w SPRO i zbudować rolę w oparciu o te transakcje natomiast ograniczenie uprawnień do tabel można zrealizować przez ograniczenie grupy uprawnień do obiektu S_TABU_DIS
Link do wypowiedziLink
Monika Zięba

Monika Zięba Kierownik Działu
Programowania i
Rozwoju Aplikacji GA
ZAP

Temat: role/uprawnienia SAP

Hej,
Dzięki za odpowiedź. Zastanawiam się jeszcze do czego służy tzw. 'Projekt' po odpaleniu spro. Może tu można by w jakiś sposób zarządzać użytkownikami i dostępem do poszczególnych gałęzi spro. Tym bardziej, że w spro nie zawsze są transakcje "na końcu gałęzi".

Pozdrawiam,
Monika
Link do wypowiedziLink
Marcin O.

Marcin O. Konsultant SAP Basis
i Security

Temat: role/uprawnienia SAP

Włącz śledzenie uprawnień dla swojego użytkownika w transakcji ST01 a następnie przeklikaj wymagane gałęzie. Na podstawie logów utworzysz role.
Link do wypowiedziLink
Monika Zięba

Monika Zięba Kierownik Działu
Programowania i
Rozwoju Aplikacji GA
ZAP

Temat: role/uprawnienia SAP

O to jest myśl ... sprawdzę.

Monika
Link do wypowiedziLink
Dariusz M.

Dariusz M. Kadra zarządzająca

Temat: role/uprawnienia SAP

Monika Zięba:
Zastanawiam się jeszcze do czego służy tzw. 'Projekt' po odpaleniu spro. Może tu można by w jakiś sposób zarządzać użytkownikami i dostępem do poszczególnych gałęzi spro.
Projekt na pewno służy do prostego zarządzania projektem - po zdefiniowaniu projektu można przypisywać zasoby, statusy realizacji zadań (=konfiguracji poszczególnych gałęzi).
O ile pamiętam to tam nie ma narzędzi do fizycznego ograniczania dostępu... tzn. można wybrać dowolny zdefiniowany projekt.
Link do wypowiedziLink
Krzysztof B.

Krzysztof B. HCM Consultant / HCM
ABAP Developer

Temat: role/uprawnienia SAP

Arkadiusz Skrzeczkowski:
musisz sprawdzić jakie transakcje "kryją" się pod konkretnymi działaniami w SPRO i zbudować rolę w oparciu o te transakcje natomiast ograniczenie uprawnień do tabel można zrealizować przez ograniczenie grupy uprawnień do obiektu S_TABU_DIS

Arku, a czy poprzez ustawienie odpowiednie S_TABU_DIS nie nadasz dostępu do wszystkich tabel? Tam masz tylko activity oraz authorization_group. W drugiej części autorowi chyba chodziło o zdeterminowanie uprawnienia TableMaintenance dla wybranych tabel.
Link do wypowiedziLink

konto usunięte

Temat: role/uprawnienia SAP

Krzysztof Tomasz B.:
Arkadiusz Skrzeczkowski:
musisz sprawdzić jakie transakcje "kryją" się pod konkretnymi działaniami w SPRO i zbudować rolę w oparciu o te transakcje natomiast ograni
czenie uprawnień do tabel można
zrealizować przez ograniczenie grupy uprawnień do obiektu S_TABU_DIS

Arku, a czy poprzez ustawienie odpowiednie S_TABU_DIS nie nadasz dostępu do wszystkich tabel? Tam masz tylko activity oraz authorization_group. W drugiej części autorowi chyba chodziło o zdeterminowanie uprawnienia TableMaintenance dla wybranych tabel.


a authorization group sie do tabeli nie przypisze?Dominik Kacprzak edytował(a) ten post dnia 04.11.09 o godzinie 20:33
Link do wypowiedziLink
Arkadiusz S.

Arkadiusz S. Kierownik Działu
Systemów
Logistycznych i
Zarządzania Maj...

Temat: role/uprawnienia SAP

Definition
Authorizations for displaying or maintaining tables. The object only controls access using the standard table maintenance tool (transaction SM31), enhanced table maintenance (SM30) or the Data Browser, including access in Customizing.

Defined fields
The object contains the following fields:

-DICBERCLS (Authorization Group)
Authorization for tables grouped by authorization class according to table TDDAT.
Enter the name of the allowed classes. Table classes are defined in table TBRG.
-ACTVT (Activity)
Possible values:
02: Create, change, or delete table entries
03: Display table entries only
BD: Override change lock for Customizing distribution
Link do wypowiedziLink
Krzysztof B.

Krzysztof B. HCM Consultant / HCM
ABAP Developer

Temat: role/uprawnienia SAP

Arkadiusz Skrzeczkowski:
Definition
Authorizations for displaying or maintaining tables. The object only controls access using the standard table maintenance tool (transaction SM31), enhanced table maintenance (SM30) or the Data Browser, including access in Customizing.

Defined fields
The object contains the following fields:

-DICBERCLS (Authorization Group)
Authorization for tables grouped by authorization class according to table TDDAT.
Enter the name of the allowed classes. Table classes are defined in table TBRG.
-ACTVT (Activity)
Possible values:
02: Create, change, or delete table entries
03: Display table entries only
BD: Override change lock for Customizing distribution

http://help.sap.com/saphelp_nw04s/helpdata/en/52/67129...
Link do wypowiedziLink
Filip Nowak

Filip Nowak Partner, GRC
Advisory

Temat: role/uprawnienia SAP

Monika,
jest sposób na stworzenie ról z autoryzacją do konkretnych projektów lub wglądów w spro.

Taka rola nie może posiadać 'regularnych' transakcji biznesowych wiec musza to być role dedykowane, założone tylko w tym celu.

W pfcg po stworzeniu dedykowanej roli, będą na karcie MENU klikasz na utilities / customizing auth. Następnie wybierasz projekt (lub wgląd) a do roli są kopiowane wszystkie transakcje których elementem jest projekt lub dany wgląd,
mam nadzieje że pomogłem,
pozdr,
Filip
Link do wypowiedziLink

konto usunięte

Temat: role/uprawnienia SAP

Podepnę się z jednym pytaniem:

W jakiej tabeli siedzą krótkie opisy pól autoryzacji (auth. fields)? Takie jak BUKRS - "jednostka gospodarcza", WERKS - "zakład", itd. Szukam i nie widzę tego. W SUIM są tylko obiekty, role i profile, pól autoryzacji nie ma. Szukam jeszcze w repozytorium, przekopuję internet, ale nie mogę znaleźć tej tabeli z krótkim opisem. chodzi mi o taki wgląd, który można potem przerzucić do excela.

dzięki i pozdrawiam
Andrzej
Link do wypowiedziLink
Krzysztof B.

Krzysztof B. HCM Consultant / HCM
ABAP Developer

Temat: role/uprawnienia SAP

Andrzej Z.:
Podepnę się z jednym pytaniem:

W jakiej tabeli siedzą krótkie opisy pól autoryzacji (auth. fields)? Takie jak BUKRS - "jednostka gospodarcza", WERKS - "zakład", itd. Szukam i nie widzę tego. W SUIM są tylko obiekty, role i profile, pól autoryzacji nie ma. Szukam jeszcze w repozytorium, przekopuję internet, ale nie mogę znaleźć tej tabeli z krótkim opisem. chodzi mi o taki wgląd, który można potem przerzucić do excela.

dzięki i pozdrawiam
Andrzej

Andrzeju,
przejrzyj sobie kody poniższych modułów funkcyjnych:
PRGN_1250_READ_AUTH_DATA
PRGN_1251_READ_FIELD_VALUES
PRGN_1252_READ_ORG_LEVELS

Powinieneś znaleźć tam to, czego szukasz.
Link do wypowiedziLink
Jan Rey

Jan Rey Project & Program
Manager, focused on
the business
readin...

Temat: role/uprawnienia SAP

Monika Zięba:
[..]
I drugie pytanie podobne - jak ograniczyć dostęp do sm30, tak by
można było edytować tylko kilka wybranych tabel/wglądów.

Dzięki, pozdrawiam,
Monika

Witajcie,

Polityka bezpieczeństwa w wielu organizacjach wymusza blokowanie SM30, gdyż wszelkie reguły ochrony danych wymagane przez SOX można tędy omijać. A jeśli nikt nie chce omijać, to i tak działania pozostają w kategorii nie nadających się do jakiegokolwiek nadzoru.

Wt tekiej sytuacji proponuję wydać równowartość paru dniówek na transactionSHUTTLE firmy Winshuttle. transactionSHUTTLE rejestruje transakcję SAP przez "przeklikanie" pól, odwzorowuje je w kolumnach tabeli MS Excel lub Access (tu dokonujemy potrzebnych operacji na danych), a następnie komenda "run" wpisuje je do SAP - pod kontrolą własnych uprawnień, z logiem i śladem audytorskim, gdy go w tym miejscu włączono.

Obrazek

Podobnie można dokonywać migracji danych do SAP lub ładować zawarte w tabelach dane z zewnątrz.
Warto porównać trzy proste kroki użytkownika transactionSHUTTLE z wymagającą 14 specjalistycznych kroków transakcją LSMW. http://main.hanseaticus.pl/media/Pliki_PL/Alternatywa_....
Co najważniejsze: Nie ma potrzeby instalowania czegokolwiek na serwerze. Cała praca jest prowadzona poprzez login użytkownika SAP, działającego w zakresie swych uprawnień.

Spora oszczędnośc czasu programistów i specjalistów IT oraz możliwość przekazania obsługi danych ich właścicielom powodują, że czas zwrotu inwestycji w programy Winshuttle to 2 - 3 miesiące.

Zainteresowanych zapraszam do kontaktu. Możliwe testowanie przez dwa tygodnie. W tym czasie można zmigrować wiele pakietów danych ;)

Janek

Jan Rey
Dyrektor Doradztwa Strategicznego i Informatycznego
Hanseaticus
Tel.: + 48 602 786 430 | winshuttle@hanseaticus.pl | http://www.hanseaticus.pl
ul. Kochanowskiego 59/8 | PL 80-402 Gdańsk | Biuro w Warszawie: ul. Symfonii 3/11 | PL 02-787 Warszawa
W Polsce Hanseaticus działa jako select consultancy partner firmy Winshuttle Inc.Jan Rey edytował(a) ten post dnia 08.12.09 o godzinie 21:16
Link do wypowiedziLink
Monika K.

Monika K. boso, ale w
ostrogach...

Temat: role/uprawnienia SAP

Cześć, mam za zadanie stworzyć role do zarządzanie użytkownikami z podziałem zadań administracyjnych, ze względu na grupy Użytkowników. Mam również skupić się na obiektach uprawnień dotyczących zarządzania Użytkownikami. Nie mam na to pomysłu. Nie wiem od czego zacząć. Czy może jest ktoś tutaj, kto mógłby mi zobrazować to zadanie?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Poszukuję specjalistów SAP




Wyślij zaproszenie do
Anuluj