das ist vielleicht eine Anfängerfrage, aber ich stell sie trotzdem mal.

Ich frage mich gerade wie die Berechtigungsprüfung in SAP funktioniert, insbesondere bei Objekten, die mit unterschiedlicher Ausprägung in mehreren Rollen vorhanden sind.

Zum Beispiel:

Rolle A enthält das Objekt F_KNA1_BUK mit Aktivität 03 und Buchungskreis 1000

Rolle B enthält das Objekt F_KNA1_BUK mit Aktivität 02 und Buchungskreis 2000

Ein Benutzer hat beide Rollen zugeordnet und die Profile dazu genereiert. Er hat somit die Berechtigung zum Ändern in BUK 2000 und kann in BUK 1000 nur anzeigen.

Ich verstehe, dass innerhalb einer Rolle die Berechtigungen eines Objektes (so sie denn mehrfach vorkommen) addiert werden. Im oberen Fall ist das nicht so? Warum? Weil diese über verschiedenen Rollen zugeordnet sind?

Würde mich sehr freuen, wenn mir hier jemand auf die Sprünge helfen könnte. Gerne auch mit einem Link zu mehr Details.

Viele Grüße

Peter

wenn in einem Berechtigungsobjekt eine Aktivität und ein Org-Objekt kombiniert sind, werden sie nur aufaddiert (egal ob innerhalb einer Rolle oder über mehrere Rollen), wenn die Orgobjekte oder die aktivitäten übereinstimmen, also z.B. 02 in 1000 und 03 in 1000 -> 02+03 in 1000 oder 02 in 1000 und 02 in 2000 -> 02 in 1000+2000, aber 02 in 1000 und 03 in 2000 addieren sich nicht, weil keiner der beiden Schlüssel übereinstimmt.

Gruß

Saute

vielen Dank für die schnelle Antwort. Das macht die Sache schon ein wenig verständlicher für mich.

Ich hatte hierzu gelesen:

Dabei prüft das System wie folgt: Alle Werte innerhalb einer Berechtigung werden mit einem logischen UND geprüft, alle Einzelberechtigungen mit einem logischen ODER.

Mir fehlte dort nur die Definition was ist "innerhalb einer Berechtigung" und was gilt als Einzelberechtigung.

Als Beispiel danach wird aufgeführt:

Obj1-Ausprägung 1:

ACTVT = 02,03

BUKRS = 002

Obj1-Ausprägung 2:

ACTVT = 01

BUKRS = 001

Obj2-Ausprägung 1:

ACTVT = 02,06

BUKRS = 002

Wird das Objekt 1 mit

AUTHORITY-CHECK-OBJECT 'Obj1'

ID 'BUKRS' FIELD '002'

ID 'ACTVT; FIELD '01'

geprüft, dann prüft das System: Hat der Benutzer beim Objekt 1 die Werte ACTVT = 01 und BUKRS = 002 in der Rolle?

Somit trifft das Programm auf:

> ACTVT = 02 und BUKRS = 002 ist in der Rolle => Vergleich falsch

oder ACTVT = 03 und BUKRS = 002 ist in der Rolle => Vergleich falsch

oder ACTVT = 03 und BUKRS = 002 ist in der Rolle => Vergleich falsch

Der Benutzer hat die Berechtigung also nicht.

Prüft das Programm aber das Objekt 1 mit

AUTHORITY-CHECK-OBJECT 'Obj1'

ID 'BUKRS' FIELD '001'

ID 'ACTVT; FIELD '01'

dann prüft das System: 01 und 001 in der Rolle?

Also trifft es auf:

> 02 und 002 ist in der Rolle => Vergleich falsch

> 03 und 002 ist in der Rolle => Vergleich falsch

> 01 und 001 ist in der Rolle => Vergleich ist OK

Der Benutzer hat die Berechtigung!

Kann ich also davon ausgehen, dass immer wenn ein Orgfeld (z.B. $BUKRS, $SPART, $VKORG, $VTWEG, etc.) involviert ist, eine UND Verknüpfung der dazugehörigen Felder abgefragt wird? Das würde für mich passen, da die PFCG über die OrgSet-Funktion keine unterschiedlichen OrgSets für das gleiche Objekt einer Rolle zulässt.

Ich habe das leider nie irgendwo explizit erklärt nachlesen können.

Viele Grüße

Peter

Treten mehrere gleiche Berechtigungs-Objekte innerhalb eines Berechtigungsprofiles (oder einer Rolle) auf, werden diese untereinander mit ODER verknüpft. Genauso bei mehreren Rollen mir dem gleichen Berechtigungsobjekt.