Differences

This shows you the differences between two versions of the page.

--- abap:autorisations [2015/05/11 15:54] – [Authority check] ginko
+++ abap:autorisations [2015/07/01 11:54] – ginko
@@ Line 85: / Line 85: @@
   * Si les critères que l'on recherche ne sont pas dispo, regarder les objets maintenus en SU24.
   * Si toujours rien, il faudra faire de nouveaux objets d'autorisation.
+===== Bug analysis =====
+Une différence entre la définition des rôles et les accès réels par les users peut avoir 2 origines :
+  * La génération (la transcription d'un rôle en profile - ''PFCG'', ''SUPC'')
+  * L'assignation (l'entrée correspondant au profile dans la user master data ''USRBF2'', ''UST12'' - ''SU01'', ''PFUD'')
+Pour l'analyse, toujours partir du profile utilisateur (''SU01''). Tester en direct. Tracer avec ''ST01''.
+En cas de problème tenace, activer les traces SQL (toujours en ''ST01'').
+NB :
+  * le menu de l'utilisateur est construit à partir des rôles (tables ''AGR*'') il ne dépend pas des profiles.
+  * Au contraire, la ''SUIM'' lit les profiles.
+=> On peut donc se reposer sur une différence entre menu et ''SUIM'' pour détecter un problème de génération/assignation.
+===== Pseudos AUTHORITY-CHECK =====
+Dans certains cas la trace des authority-checks "ment" : la transaction peut remonter des défauts d'authorisations alors que la trace ne montre que des RC=0. En passant par le MF SUSR_USER_AUTH_FOR_OBJ_GET, le programme peut récupérer des autorisations sans AUTHORITY-CHECK. Ex : la restriction sur la division en MI20.