top of page
bg_02_short.png

SONNENBERGER AKADEMIE

Oprávnění: Role

  • Obrázek autora: Johana Zelinska
    Johana Zelinska
  • 4. 5. 2023
  • Minut čtení: 2

Aktualizováno: 13. 5. 2023

Uživatelé v aplikačním serveru ABAP získávají oprávnění třemi způsoby – z přiřazených rolí, profilů a

potenciálně z referenčního uživatele. Tématem první části jsou role, protože je to dnes nejobvyklejší

moderní způsob, jak jako uživatel získat oprávnění.


Role se vytváří v transakci PFCG a přiřazují uživatelům právě v PFCG nebo na záložce pro role

v transakci SU01 pro administraci uživatelů. Vyjmenujme v rychlosti nejdůležitější předpoklady pro

to, aby uživatel získal oprávnění skrze roli:


  • Role musí obsahovat nějaká oprávnění, aby je získal také uživatel. Jinými slovy role musí v transakci PFCG a záložce „Authorizations“ mít definované nějaké autorizační objekty, pole a hodnoty polí.

  • Role musí mít vygenerovaný profil. Hovoříme sice o tom, že uživatel získává oprávnění z role, ale technicky to funguje tak, že oprávnění definovaná v roli se vygenerují do profilu, který fyzicky poskytne tato oprávnění uživateli. Kontrolu stavu profilu pro konkrétní roli můžeme provést v transakci SUPC.

  • Kontrolu profilu role lze provést rovněž přímo v transakci PFCG, v záložce „Authorizations“.

  • Role musí být uživateli organizačně přiřazena – musí být viditelná v transakci SU01 na záložce role.

  • Kontrolu přiřazení profilu role uživateli lze provést v transakci SU01, v záložce „Profiles“. Profily vygenerované pro role jsou označeny červeno bílou ikonkou terče (ICON_GENERATE) a mají automaticky vygenerovaný popisek. Manuální profily, o kterých bude řeč později, nemají ikonku žádnou, případně (jako například SAP_ALL) ikonku pro kompozitní profil.

  • Role musí být uživateli také fyzicky přiřazena – například v prostředí centrální administrace uživatelů (CUA) je možné, že role je uživateli v centrálním systému organizačně přiřazena, ale přenos informace do satelitního systému ještě neproběhl, takže role uživateli v satelitním systému není ještě přiřazena fyzicky. Jestliže chcete vizuálně zkontrolovat, že jsou oprávnění z konkrétní role fyzicky dostupná uživateli, využijte transakci SU56.

  • Jestliže je přiřazení role časově omezeno, je potřeba, aby byla platnost přiřazení dnes aktuální, jinak role není uživateli přiřazena fyzicky (oprávnění role nejsou obsaženy v authorization bufferu uživatele, transakce SU56), ale pouze organizačně (v transakcích SU01 a PFCG vidíme, že role je pro uživatele v nějakém časovém rozpětí relevantní). Využijte program PFCG_TIME_DEPENDENCY pro kontrolu toho, že jsou všechny organizační přiřazení fyzicky zpracována.

  • Jen pro úplnost dodejme, že rozlišujeme běžné role a tzv. kompozitní role. Kompozitní role je vlastně skupina rolí, jejichž přiřazení nebo odebrání probíhá společně. Kompozitní role neobsahují žádná oprávnění, pouze odkazují na běžné role, které obsahují technická oprávnění. Význam kompozitních rolí je organizační.

Nezapomeňte si přečíst také pokračování:



Nejnovější příspěvky

Zobrazit vše
Oprávnění: Referenční uživatel

V předchozích částech Oprávnění: Role Oprávnění: Profily jsme rozebrali základy rolí a profilů jako zdroje uživatelských oprávnění....

 
 
 
Oprávnění: Profily

V předchozí části Uživatelé a typy oprávnění I.: Role jsme rozebrali základy rolí jako zdroje uživatelských oprávnění. Nyní je čas...

 
 
 

Comentarios

Sonnenberger, @ Copyright 2023 | Provozovatel: Sonnenberger, +420 607 010 020, info@sonnenberger.cz

  • LinkedIn
bottom of page