abap:autorisations
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
abap:autorisations [2015/03/04 18:03] – ginko | abap:autorisations [2020/01/24 16:59] (current) – [Transactions utiles] ginko | ||
---|---|---|---|
Line 2: | Line 2: | ||
===== Transactions utiles ===== | ===== Transactions utiles ===== | ||
* SU01 : Gestion des utilisateurs (notamment onglets Rôles et Profils) | * SU01 : Gestion des utilisateurs (notamment onglets Rôles et Profils) | ||
+ | * ST01 : Trace des autorisations | ||
* PFCG : Gestion des rôles | * PFCG : Gestion des rôles | ||
* SU21 : Liste des classes d' | * SU21 : Liste des classes d' | ||
- | * SU24 : Objets d' | + | * SU24 : Objets d' |
* SU53 : Last authorization check log (voir ce qui manque lors d'un refus d' | * SU53 : Last authorization check log (voir ce qui manque lors d'un refus d' | ||
* SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d' | * SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d' | ||
+ | * SUIM : Navigation/ | ||
===== Classes d' | ===== Classes d' | ||
Line 13: | Line 15: | ||
* S_TCODE : Contrôle du code transaction lors lancement transaction | * S_TCODE : Contrôle du code transaction lors lancement transaction | ||
===== Authority check ===== | ===== Authority check ===== | ||
+ | Lors d'un authority-check, | ||
+ | |||
+ | Exemple 1 : | ||
+ | * Rôle R1 : Objet O1, Champ C1 = A, Champ C2 = B | ||
+ | * Rôle R2 : Objet O1, Champ C1 = C, Champ C2 = B | ||
+ | |||
+ | => Authority-check : | ||
+ | * Objet O1, C1 = A, C2 = B => Granted (par combinaison A-B) | ||
+ | * Objet O1, C1 = A, C2 = D => Forbidden (La combinsaison A-D n' | ||
+ | |||
+ | Exemple 2 : | ||
+ | * Rôle R1 : Objet O1, Champ C1 = A, Champ C2 = B | ||
+ | * Rôle R1 : Objet O1, Champ C1 = C, Champ C2 = D | ||
+ | * Rôle R2 : Objet O1, Champ C1 = C, Champ C2 = * | ||
+ | |||
+ | => Authority-check : | ||
+ | * Objet O1, C1 = A, C2 = B => Granted (par combinaison A-B) | ||
+ | * Objet O1, C1 = A, C2 = D => Forbidden (La combinsaison A-D n' | ||
+ | * Objet O1, C1 = C, C2 = B => Granted (par combinaison C-*, la combinaison C-D n'est pas considérée comme limitante) | ||
+ | |||
+ | **__NB__ : Cela signifie que si un user porte un mélange de rôles restreint sur un niveau organisationnel et d' | ||
+ | |||
==== Contrôle du code transaction ==== | ==== Contrôle du code transaction ==== | ||
Line 62: | Line 86: | ||
* Si les critères que l'on recherche ne sont pas dispo, regarder les objets maintenus en SU24. | * Si les critères que l'on recherche ne sont pas dispo, regarder les objets maintenus en SU24. | ||
* Si toujours rien, il faudra faire de nouveaux objets d' | * Si toujours rien, il faudra faire de nouveaux objets d' | ||
+ | |||
+ | ===== Bug analysis ===== | ||
+ | Une différence entre la définition des rôles et les accès réels par les users peut avoir 2 origines : | ||
+ | * La génération (la transcription d'un rôle en profile - '' | ||
+ | * L' | ||
+ | |||
+ | Pour l' | ||
+ | |||
+ | En cas de problème tenace, activer les traces SQL (toujours en '' | ||
+ | |||
+ | NB : | ||
+ | * le menu de l' | ||
+ | * Au contraire, la '' | ||
+ | => On peut donc se reposer sur une différence entre menu et '' | ||
+ | ===== Pseudos AUTHORITY-CHECK ===== | ||
+ | Dans certains cas la trace des authority-checks " |
abap/autorisations.1425488605.txt.gz · Last modified: 2015/03/04 18:03 by ginko