Oprávnění: Referenční uživatel

V předchozích částech

Oprávnění: Role

Oprávnění: Profily

jsme rozebrali základy rolí a profilů jako zdroje uživatelských oprávnění. Tématem pro dnešní den je poměrně exotická záležitost, tzv. „referenční uživatel“. Možnost přiřadit uživateli referenčního uživatele najdeme v transakci SU01 na záložce pro role nahoře. Již tohle by nám mělo napovědět, že je tento referenční uživatel relevantní pro oprávnění. Proč by jinak byl umístěn na záložku pro role?

Nepochopení tohoto mechanismu vede v některých organizacích k tomu, že tento mechanismus je chápán jako „šablona pro uživatele“. Jinými slovy, že například všichni uživatelé v oblasti financí mají přiřazeného referenčního uživatele REF_FI, v jehož vlastnostech je popsána adresa pracoviště a podobně. K tomuto účelu referenční uživatel určitě neslouží.

Jestliže má uživatel přiřazeného referenčního uživatele, pak má automaticky přístup ke všem oprávněním, ke kterým má přístup tento referenční uživatel. Tedy k jeho rolím a profilům. Zjednodušeně můžeme říct, že běžný uživatel je zaštítěn (autorizován) svým referenčním uživatelem.

Zvažme následující příklad:

• Definujme referenčního uživatele REF_USER a přiřaďme mu roli REF_USER_ROLE

• Definujme běžného uživatele USER a přiřaďme mu roli USER_ROLE. Ve chvíli, kdy uživateli USER v SU01 záložce pro role přiřadíme referenčního uživatele REF_USER, uživatel USER rázem získává oprávnění ze své role USER_ROLE a z role referenčního uživatele REF_USER_ROLE.

Důležité je uvědomit si, že uživatel najednou získává oprávnění navíc, která bez pozorné kontroly nemusíme vnímat. V novějších verzích SU01 je vedle pole pro referenčního uživatele tlačítko (+), které umožňuje zobrazit dodatečná oprávnění v seznamu rolí níže. Ve starších verzích není možnost vizuálně v seznamu rolí nebo profilů odhalit, že uživatel má k dodatečným oprávněním přístup. Analogicky není tento přístup viditelný třeba v tabulce AGR_USERS se seznamem přiřazených rolí. Proto musíme na dodatečná oprávnění, přiřazená tímto mechanismem, brát zvláštní zřetel.

Jeden z možných způsobů využití mechanismu referenčního uživatele je například výkonová optimalizace pro portálové uživatele. Předpokládejme, že organizace má například 10 000 zákazníků a každý z nich má svého fyzického uživatele v systému SAP. Zároveň předpokládejme, že všichni tito uživatelé potřebují stejná oprávnění. Například 2 role pro každého uživatele. To by znamenalo, že v tabulce přiřazení rolí uživatelům budeme mít 20 000 záznamů, databáze zbytečně nakyne, PFCG_TIME_DEPENDENCY a další programy se tím vším budou muset probírat a tak dále. Především ale každý z těchto 10 000 uživatelů bude mít připravený svůj user-buffer. Jinými slovy například 100 dílčích oprávnění pocházejících z předpokládaných dvou rolí bude nakopírováno 10 000x.

Využitím mechanismu referenčního uživatele nedojde k fyzickému kopírování a získáme výraznou výkonovou úsporu. Pro každého uživatele se ověří vůči jeho authorization bufferu, jestli obsahuje testované oprávnění, a to samé se provede vůči bufferu referenčního uživatele. Jinými slovy pro všech 10 000 uživatelů bude existovat jen jeden buffer, a to ten referenčního uživatele. Tedy za předpokladu, že všechna oprávnění uživatelé budou získávat výhradně od referenčního uživatele a nebudou mít žádná oprávnění fyzicky přiřazena.