User Tools

Site Tools


abap:autorisations

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
abap:autorisations [2015/05/11 15:54] – [Authority check] ginkoabap:autorisations [2020/01/24 16:59] (current) – [Transactions utiles] ginko
Line 8: Line 8:
   * SU53 : Last authorization check log (voir ce qui manque lors d'un refus d'autorisation)   * SU53 : Last authorization check log (voir ce qui manque lors d'un refus d'autorisation)
   * SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d'autorisation   * SE54 : Génération dialogue de gestion de tables > accès table/vue > Groupes d'autorisation
 +  * SUIM : Navigation/recherche dans le contenu des divers objets d'autorisations
  
 ===== Classes d'objets & objets d'autorisation classiques ===== ===== Classes d'objets & objets d'autorisation classiques =====
Line 85: Line 86:
   * Si les critères que l'on recherche ne sont pas dispo, regarder les objets maintenus en SU24.   * Si les critères que l'on recherche ne sont pas dispo, regarder les objets maintenus en SU24.
   * Si toujours rien, il faudra faire de nouveaux objets d'autorisation.   * Si toujours rien, il faudra faire de nouveaux objets d'autorisation.
 +
 +===== Bug analysis =====
 +Une différence entre la définition des rôles et les accès réels par les users peut avoir 2 origines :
 +  * La génération (la transcription d'un rôle en profile - ''PFCG'', ''SUPC'')
 +  * L'assignation (l'entrée correspondant au profile dans la user master data ''USRBF2'', ''UST12'' - ''SU01'', ''PFUD'')
 +
 +Pour l'analyse, toujours partir du profile utilisateur (''SU01''). Tester en direct. Tracer avec ''ST01''.
 +
 +En cas de problème tenace, activer les traces SQL (toujours en ''ST01'').
 +
 +NB : 
 +  * le menu de l'utilisateur est construit à partir des rôles (tables ''AGR*'') il ne dépend pas des profiles.
 +  * Au contraire, la ''SUIM'' lit les profiles.
 +=> On peut donc se reposer sur une différence entre menu et ''SUIM'' pour détecter un problème de génération/assignation.
 +===== Pseudos AUTHORITY-CHECK =====
 +Dans certains cas la trace des authority-checks "ment" : la transaction peut remonter des défauts d'authorisations alors que la trace ne montre que des RC=0. En passant par le MF SUSR_USER_AUTH_FOR_OBJ_GET, le programme peut récupérer des autorisations sans AUTHORITY-CHECK. Ex : la restriction sur la division en MI20.
abap/autorisations.1431352492.txt.gz · Last modified: 2015/05/11 15:54 by ginko