Ginko's Work

User Tools

Site Tools

Trace:
abap:autorisations

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
abap:autorisations [2015/03/04 18:03] ginkoabap:autorisations [2015/05/11 15:54] – [Authority check] ginko
Line 2: Line 2:
 ===== Transactions utiles ===== ===== Transactions utiles =====
   * SU01 : Gestion des utilisateurs (notamment onglets Rôles et Profils)   * SU01 : Gestion des utilisateurs (notamment onglets Rôles et Profils)
 +  * ST01 : Trace des autorisations
   * PFCG : Gestion des rôles   * PFCG : Gestion des rôles
   * SU21 : Liste des classes d'objet d'autorisations   * SU21 : Liste des classes d'objet d'autorisations
-  * SU24 : Objets d'autorisation+  * SU24 : Objets d'autorisation proposés par tcode
   * SU53 : Last authorization check log (voir ce qui manque lors d'un refus d'autorisation)   * SU53 : Last authorization check log (voir ce qui manque lors d'un refus d'autorisation)
   * SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d'autorisation   * SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d'autorisation
Line 13: Line 14:
   * S_TCODE : Contrôle du code transaction lors lancement transaction   * S_TCODE : Contrôle du code transaction lors lancement transaction
 ===== Authority check ===== ===== Authority check =====
 +Lors d'un authority-check, le noyau vérifie que le profile du user bénéficie d'au moins un set de valeur (un objet d'autorisation avec ses valeurs) compatible avec les valeurs demandées, quelque soit le rôle d'où il vient, y compris si des sets plus restrictifs existent. (Autrement dit, peu importe que la transaction soit affectée à tel ou tel rôle : un authority-check balaie tous les objets d'autorisations portés par le profile, peu importe leur origine.)
 +
 +Exemple 1 :
 +  * Rôle R1 : Objet O1, Champ C1 = A, Champ C2 = B
 +  * Rôle R2 : Objet O1, Champ C1 = C, Champ C2 = B
 +
 +=> Authority-check :
 +  * Objet O1, C1 = A, C2 = B  => Granted (par combinaison A-B)
 +  * Objet O1, C1 = A, C2 = D  => Forbidden (La combinsaison A-D n'existe pas)
 +
 +Exemple 2 :
 +  * Rôle R1 : Objet O1, Champ C1 = A, Champ C2 = B
 +  * Rôle R1 : Objet O1, Champ C1 = C, Champ C2 = D
 +  * Rôle R2 : Objet O1, Champ C1 = C, Champ C2 = *
 +
 +=> Authority-check :
 +  * Objet O1, C1 = A, C2 = B  => Granted (par combinaison A-B)
 +  * Objet O1, C1 = A, C2 = D  => Forbidden (La combinsaison A-D n'existe pas)
 +  * Objet O1, C1 = C, C2 = B  => Granted (par combinaison C-*, la combinaison C-D n'est pas considérée comme limitante)
 +
 +**__NB__ : Cela signifie que si un user porte un mélange de rôles restreint sur un niveau organisationnel et d'autres non limités (avec un ''*''), TOUS les objets portés par les rôles non limités prendront le pas sur leurs équivalents limités.**
 +
 ==== Contrôle du code transaction ==== ==== Contrôle du code transaction ====
  
abap/autorisations.txt · Last modified: 2020/01/24 16:59 by ginko