Hallo zusammen,

wir fangen gerade an, Z-Transaktionen für eingeschränkte Reports oder für Ausführen von fix hinterlegten Programmen zu bauen.
Die Z-Transaktion kommt in eine passende Rolle und damit können die User mit Rollenzuweisung die neue TAC auch verwenden (getestet, funktioniert so...)

Berechtigungseinschränkungen sind an sich nicht notwendig, da die jeweiligen Transaktionen bereits entsprechend eingeschränkt sind (bspw. durch nicht änderbare Variante).
Oder übersehen wir hierbei etwas und die Vergabe von weiteren Berechtigungsobjekten ist sinnvoll?

Auch verstehe ich in dem Zusammenhang nicht, ob und vor allem wofür ich s_tcode brauche.
Der User kann die TAC doch nur ausführen, wenn ich Sie ihm vorher in eine seiner Rollen gepackt habe. Oder gibt es da noch Hintertürchen?

Für Erklärungen rund um Berechtigungen für Z-Transaktionen bin ich Euch sehr dankbar.

Viele Grüße
Simone

Hallo Simone,

du musst erst mal unterscheiden zwischen Rolle und Profil.

Du hast die TA in die Rolle (Benutzermenü) reingepackt und dadurch wird der Eintrag im Profil unter s_tcode gesetzt.

Berechtigungsprüfungen laufen gegen das Profil (und dessen Berechtigungspbjekte über die weiter eingeschränkt werden kann) und nicht nur über die TA-Zuordnungen in der Rolle.

Die Rolle ist eher nur eine Holfestellung zum Generieren der Profile.

Weitere Berechtigungsobjekte musst du der Z-Transaktion nur dann noch zuweisen, wenn außer auf die TA auch noch z.B. auf ein werk eingeschränkt werden soll.

Gruß

Saute

---

Guten Morgen Saute,

und danke für die Antwort.
Der Unterschied zwischen Rolle und Profil ist an sich schon klar, da habe ich mich nur zu ungenau ausgedrückt.

Es ist so, dass die Z-TAC automatisch in s_tcode aufgenommen wird, sobald ich sie in die Rolle hänge.
Nur über die su24 gibt es keine Berechtigungsobjekte für die Z-TAC, eben nicht einmal s_tcode.
Von daher war meine Überlegung, ob man mit dieser Konstellation über irgendeinen anderen Weg nicht vielleicht die Transaktion aufrufen kann, ohne dass sie in den zugewiesenen Rollen / Profilen ist.

Das nötige Wissen beim Endanwender mal vorausgesetzt, wäre das ja dann ein Sicherheitsrisiko oder zumindest ein unberechtigter Zugriff.

Gruß
Simone

Hallo,

falls der Transaktion ein Report zugrunde liegt, können Anwender (wenn sie es denn dürfen) diesen per SA38 starten.

Damit kann ich ggf. eine Transaktion ausführen, die ich ansonsten nicht ausführen könnte. Lösung: keine SA38 oder Reportberechtigungsgruppe.

Auswertungen kann man über SE16 oder Quickview / Query nachbilden, das setzt aber Fachkenntnisse über den Zusammenhang der Tabellen

voraus.

Gruß

Hallo,

eine Möglichkeit, damit die Berechtigung nicht im Rollenmenü erscheint und der User sie somit nicht sieht wäre, manuell das Berechtigungsobjekt S_TCODE anzulegen und die Transaktion hinzuzufügen. Allerdings ist sie dann im Profil erhalten.

Gruß