Wenn Sie ein Autorisierungsadministrator sind, kennen Sie wahrscheinlich die folgende Situation: Ein Benutzer hat Probleme mit Autorisierungen und benötigt Ihre Hilfe, weil er nicht tun kann, was er will (und muss).
Sie müssen die folgenden Fragen beantworten:
1. Ist die Ursache ein Datenbankberechtigungsproblem oder ein Problem auf der Anwendungsebene oder eine fehlende Analyseberechtigung für eine SAP BW-Query?
2. Welche Berechtigung wäre erforderlich?
Für alle drei Ebenen bietet SAP Autorisierungsablaufverfolgungsfunktionen, die Sie unterstützen:
In SAP Netweaver-Systemen wie dem SAP S/4HANA oder dem SAP BW/4HANA gibt es eine System-Trace-Transaktion speziell für Berechtigungsprüfungen (Transaktion STAUTHTRACE). Die Schnittstelle ist für die Ablaufverfolgung von Berechtigungsprüfungen optimiert und bequemer als die vollständige Systemablaufverfolgungstransaktion ST01. Die Auswertung der Systemablaufverfolgung für Berechtigungsprüfungen kann für den aktuellen Server oder auf allen Servern oder auf ausgewählten Servern eines Systems durchgeführt werden. Wenn Sie die durchgeführten Berechtigungsprüfungen anzeigen, zeigt das System eine zusätzliche Spalte mit dem Namen des Servers an. Darüber hinaus können Sie in der Transaktion SU53 jetzt Autorisierungsfehler eines beliebigen Benutzers sehen.
Diese Traces decken jedoch nicht die Analyseberechtigungen und nicht die Datenbankprüfungen ab. Wenn Sie prüfen möchten, welche Analyseberechtigungen geprüft werden und welche bei der Abfrageausführung gefunden werden oder fehlen, können Sie die Transaktion RSUDO verwenden, die über die Wartungstransaktion RSECAUTH verfügbar ist. Sie müssen angeben, dass Sie ein informatives Protokoll anzeigen möchten, bevor Sie direkt in die Abfrageausführung springen. Beachten Sie, dass das Protokoll nur Abfragen verfolgt, die von dieser Transaktion aus gestartet wurden.
Wenn Sie den SAP-HANA-Datenbank-Trace aktivieren möchten, verwenden Sie am einfachsten das SAP HANA Studio (alternativ das SAP HANA Cockpit):
Über die Administrationskonsole können Sie die Trace-Konfiguration für Ihr SAP-HANA-System öffnen. Suchen Sie für Indexserver und Nameserver nach Autorisierung und ändern Sie dann die Systemablaufverfolgungsstufe mindestens in INFO. Beachten Sie, dass viele Aktivitäten in SAP HANA nicht mit einem klassischen Benutzer, sondern mit technischen Benutzern ausgeführt werden.
Mit all diesen Technologien verfügen Sie über ein gutes Tool-Set, das Ihnen die Informationen liefert, die Sie benötigen, um Ihre Rollen mit fehlenden Berechtigungen zu erweitern.