Транзакция для просмотра ролей в SAP и настройки ролей портала

Транзакция для просмотра ролей в SAP и настройки ролей портала ТЭК

Записки SAP Basis консультанта.

Как вы уже, наверное, слышали, в SAP системе (AS ABAP её части) для разграничения доступа пользователей к тем или иным функциям системы используется концепция ролей и полномочий.

Минимальный набор операций для того или иного бизнес-процесса выделяется в роль, которая имеет описание и меню, в котором могут быть транзакции, отчеты или внешние ссылки. Для каждой роли генерируется профиль полномочий, который содержит набор полномочий (или  разрешений) минимально достаточных для выполнения набора операций, для которого создана роль (Рис. 1). Про генерацию профиля я писал в этом посте.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис. 1. Роли и полномочия в SAP системе.

Роли присваиваются пользователям, после чего пользователи получают, указанный в них, набор полномочий.

Присвоенный пользователю набор полномочий в SAP системе можно посмотреть в транзакции SU56 (Рис. 2).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис. 2. Список присвоенных пользователю полномочий.

Проверка полномочий в SAP системе производится в 2 этапа:

  • Проверка на запуск транзакции.
  • Проверка на полномочия для тех или иных действий с объектом (просмотр, создание, удаление, изменение и т.п.) в транзакции.

Покажу на примере.

Пользователь пытается запустить транзакцию SM04 и получает уведомление об отсутствии полномочий на запуск транзакции (Рис. 3).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис. 3. Сообщение об отсутствии полномочий на запуск транзакции SM04.

Для анализа недостающих полномочий необходимо в поле запуска транзакции набрать транзакцию SU53 (Рис. 4).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис. 4. Анализ недостастающих полномочий в транзакции SU53.

Как видно из снимка экрана, сообщение об ошибке это результат неудачной проверки первого типа — на запуск транзакции, в данном случае SM04.

Стоит отметить, что все полномочия в SAP системе

У вас уже есть учетная запись?

В статье рассмотрены инструменты решения проблем, возникающих из-за неполноты прав пользователя при выполнении транзакции. В статье описано использование в качестве таких инструментов транзакция SU53 и процедура трассировки полномочий пользователя. С помощью трассировки полномочий удаётся определить недостающие права пользователя для выполнения транзакций и отследить, какие объекты полномочий проверяются при выполнении пользователем той или иной операции в системе.

Использование транзакции SU53

Транзакция SU53 показывает результаты проверки системой полноты полномочий пользователя в последней неуспешной транзакции. На экран выводится информация о неполноте полномочий для последнего объекта, на операцию с которым недостаточно прав у пользователя, код соответствующей операции и значение параметра – ограничения выборки. Это удобная транзакция для случая, когда система сообщает о том, что необходимых полномочий у пользователя нет, но не конкретизирует, каких именно полномочий и для каких объектов нет.

Для демонстрационных примеров я создам двух пользователей в системе:

В своих примерах я буду использовать функциональность GuiXT, где в файле rsession.txtсодержится скрипт, выводящий имя пользователя в заголовок окна SAP (Примечание. Вход в систему осуществляется на русском языке):

Благодаря этому скрипту, несмотря на то, что будет запущено несколько окон SAPот имени разных пользователей, легко будет определить, окно какого пользователя активно в данный момент (без обращения к информационному табло системы в правом нижнем углу экрана). Более того, будет удобнее использовать сочетание клавиш Alt+Tab, так как в строке заголовка окна выводится имя пользователя – «владельца экрана», к окну которого планируется перейти (Рис.1).

Про торги:  Работа в СевКомНефтегаз, вакансии в ЯНАО

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.1 Использование файла rsession.txt надстройки GuiXTдля обозначения пользователя – «владельца экрана»

В примере демонстрируется возможность определения объекта неполноты полномочий с помощью транзакции SU53 в случае, когда система при выполнении какой-либо транзакции сообщает об отсутствии или неполноте полномочий (без указания объектов неполноты).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Система выдаст следующее сообщение «У вас нет полномочий на транзакцию ME2L» (Рис.3).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.3 Сообщение об отсутствующих полномочиях на транзакцию ME2L

В подобных случаях следует использовать транзакцию SU53, которая показывает, для какого именно объекта у пользователя отсутствуют полномочия. Для запуска используем команду /nSU53 (Рис.4), тем самым мы закрываем текущее окно и переходим к просмотру данных полномочий пользователя.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.4 Запуск /nSU53 для получения анализа последней проверки полномочий системой

Мы увидим, что ошибка вызвана отсутствием полномочий на объект M_BEST_EKO (закупочная организация в заказе на поставку), а если быть точнее, то отсутствуют права на операцию 03 (просмотр) для объекта полномочий M_BEST_EKO (Рис.5).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.5 Отсутствуют права на объект полномочий M_BEST_EKO

Для обеспечения пользователя необходимым объёмом полномочий можно или отредактировать имеющуюся у пользователя роль, или добавить пользователю дополнительную роль, обладающую соответствующим объёмом  прав. Решение принимает по ситуации консультант направления совместно с консультантом по базису. Технология добавления и исправления полномочий и ролей – отдельная тема.

Покажем, что добавление отсутствующих полномочий согласно информации транзакции SU53 (см. Пример 1) не гарантирует пользователю возможность успешного выполнения  транзакции (в данном примере –  ME2L) после добавления полномочий.

Ещё раз запустим транзакцию ME2L, указав в качестве параметра запуска отчета закупочную организацию 1000.. Транзакция отобразит селекционный экран отчёта ME2L. Однако при попытке запуска отчёта система снова выдаст неинформативное сообщение «Из-за отсутствия полномочий список неполный» (Рис.6).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.6 Попытка запуска выполнения отчета ME2L

Запустим транзакцию /nSU53.  Получим информацию об отсутствии прав на операцию 08 (Просмотр документов изменений) для  объекта M_BEST_BSA (Вид документа в заказе на поставка).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.7 Отсутствие полномочия на объект M_BEST_BSA (Вид документа в заказе на поставку)

Покажем, что  отслеживания недостающих полномочий с помощью транзакции SU53 – трудоёмкий процесс.

Выполним транзакцию ME2L ещё раз. Мы получим такое же сообщение об отсутствующих полномочий как в примере 2 (Рис.6), и снова запустим транзакцию /nSU53 . Теперь мы получим информацию о неполноте полномочий, но уже для другого объекта (Рис.8): M_BEST_EKG(группа закупок в заказе на поставку).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рис.8 Отсутствуют права на объект полномочий M_BEST_EKG

Итерацию запуска транзакции SU53 и коррекцию прав  приходится повторять до тех пор, пока транзакция выполнится без сообщения об ошибке (отчёт выполнится без ошибок).Как видно, это – может быть весьма трудоёмким процессом.

Покажем, что при отсутствии полномочий на несколько объектов полномочий (а именно: отсутствие авторизации на просмотр заказов на закупку по закупочным организациям, отличным от 1000; отсутствие полномочий на GUI-операции) в транзакции SU53 будут показываться различные результаты в зависимости от формата вывода отчета.

В статье представлены азы и изюминки настроек портальных ролей. Эти знания будут полезны как консультантам, начинающим изучение этой функциональности, так и опытным специалистам, которые смогут здесь найти дополнительные «фишки».

Про торги:  Комплект химических реактивов "ТРТ-311к"

Преамбула

Концепция синхронизации и присвоения ролей

Создание портальных ролей загрузкой из источника

Создание IVIEW импортом из транзакций

Опции отображения GUI интерфейса

Поиск недостающего IVIEW в роли

Копирование IVIEW в роль из контента портала

Копирование роли в роль

Невидимые IVIEW в роли

Предварительный просмотр IVIEW

Настройка открытия IVIEW в новом окне

Введение

Для работы с системами SAP ERP, SRM, BW одним пользователем удобно использовать единый web-интерфейс. Кроме того, web-интерфейс является популярным в настоящее время и имеет много других преимуществ. Классический WEB-интерфейс пользователей состоит из точек входа, папок вертикального меню и IVIEW (пунктов меню).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 1. Пример портального меню

Концепция синхронизации и присвоения ролей

Роли в системах ERP, SRM, BW включают в себя полномочия на операции с объектами системы и меню для GUI-интерфейса. Роли портала включают только пункты меню. Пользователю нужно синхронно присваивать как роль в системе ERP (SRM, BW), так и соответствующую портальную роль. Для удобства присвоения и исключения противоречий используется следующая концепция:

  • Роли в сиcтеме SRM автоматически создают на портале портальные группы. Между ними есть связь.
  • Каждой портальной группе на портале присваивается соответствующая портальная роль (вручную однократно при создании портальной роли).
  • Для бизнес-ролей, которые не используют функциональность SRM создаются фиктивные роли в SRM для связки с портальными ролями.
  • Пользователю присваивают роль в SRM в любом случае. При этом присваивается портальная группа и роль автоматически. Для варианта с бизнес-ролью №3 этого достаточно, а для вариантов с бизнес-ролью №1 или с бизнес-ролью №2 кроме фиктивных ролей SRM надо присвоить еще соответственную роль ERP/BW. (См. таблицу 1).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Таблица 1. Связь ролей (ERP, BW, SRM) с портальными

Создание портальных ролей загрузкой из источника

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 2. Создание портальной роли. Шаг 1 меню создания роли.

Далее задается описание и ID объекта.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 3. Создание портальной роли. Шаг 2 ввод имени роли.

После этого роль появляется в папке. Ее можно открыть на редактирование в контекстном меню.

Обратите внимание, если роль будет создана на русском языке, то при входе в систему на английском, многие опции будут недоступны для редактирования, также и наоборот.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 4. Открытие роли для редактирования. Внимание! Рисунок обрезан сверху!

После открытия роли на редактирование, требуется перейти в расширенный режим.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 5. Переход в расширенный режим редактирования роли.

После перехода в расширенный режим для роли будет представлена структура папок и IVIEW, которые можно редактировать (добавлять, удалять, переименовывать, менять расположение, изменять свойства объектов).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 6. Вид объектов портальной роли в расширенном режиме.

Создание IVIEW импортом из транзакций

Для создания новых IVIEW существует много способов. Один из простых и распространенных – загрузка IVIEW из дистанционного источника непосредственно в роль. Такой способ применяют для создания IVIEW на основе существующих транзакций ERP, в том числе Z-транзакций. Например, требуется добавить IVIEW (транзакцию) из ERP «Просмотр кредитора» XK03. При этом предположим, что эта транзакция требуется для непосредственного вызова из меню (видимая) и она не будет встречаться в других портальных ролях (импорт сразу в роль без создания шаблона).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 7. Создание IVIEW из источника. Шаг 1 выбор места и способа создания IVIEW.

Про торги:  Техническое обслуживание автомотрис

На следующем шаге нужно выбрать систему (SAP ECC), написать код искомой транзакции (XK03), Выбрать тип приложения (Транзакция) и нажать кнопку поиска (Go).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 8. Создание IVIEW из источника. Шаг 2 опции поиска IVIEW.

При корректном выборе система находит искомую IVIEW. Далее требуется перевести ее в правую таблицу «Выбранные приложения», а после нажать кнопку «Начать загрузку» (Start Upload).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 9. Создание IVIEW из источника. Шаг 3 выбор IVIEW для загрузки.

После загрузки индикатор «Progress» показывает 100% завершение. Далее требуется нажать кнопку «Finish» и мастер загрузки закроется, возвращаясь в интерфейс редактирования роли.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 10. Создание IVIEW из источника. Шаг 4 завершение загрузки.

Теперь в нашей портальной роли в папке «Partner» появилось новое IVIEW «Display vendor (centrally)».

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 11. Создание IVIEW из источника. Шаг 5 результат создания IVIEW.

Если пользователю присвоить данную роль, то при выборе этого IVIEW в своем меню будет вызвана соответствующая порталу система ERP и в ней откроется транзакция XK03. При этом подразумевается, что у пользователя в соответствующей роли ERP имеются полномочия на эту транзакцию. Добавление новых объектов не требует сохранения роли. Сохранение требуется при изменении свойств объектов (IVIEW, папок).

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 12. Создание IVIEW из источника. Результат отображения.

Опции отображения GUI интерфейса

В предыдущем разделе «Создание портальных ролей загрузкой из источника» получилось добавить транзакцию XK03 в меню пользователя и запустить ее. Однако ее вид не совсем удобен для пользователей, привыкших к GUI-интерфейсу. Это свойство можно исправить, установив следующую опцию. Для редактирования опций IVIEW надо выделить ее и нажать кнопку «Открыть».

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 13. Редактирование свойств IVIEW для GUI интерфейса. Шаг 1 Открыть свойства.

В следующем окне надо выбрать «Все» свойства, при этом отобразится полный список свойств,  и нажать «Изменить свойства».

Транзакция для просмотра ролей в SAP и настройки ролей портала

Рисунок 14. Редактирование свойств IVIEW для GUI интерфейса. Шаг 2 выбрать все и перейти в редактирование.

Выбирается свойство «Тип SAP-GUI» и устанавливается значение «SAP GUI для Windows» вместо стоявшего по умолчанию «SAP GUI для HTML». После этого требуется сохранить измененное значение параметра, а потом закрыть интерфейс редактирования свойств этого IVIEW.

Короткая заметка о том, как можно найти всех пользователей с определенной ролью и затем всем выбранным пользователям присвоить другую роль. Поехали!

Найдем всех пользователей с определенной ролью.

Транзакция для просмотра ролей в SAP и настройки ролей портала

Транзакция для просмотра ролей в SAP и настройки ролей портала

Запускаем отчет и получаем список пользователей с выбранной ролью:

Транзакция для просмотра ролей в SAP и настройки ролей портала

Копируем список пользователей.

Массово присвоим роль.

Для массового присвоения ролей запускаем транзакцию SU10, и нажимаем на кнопку Адресные данные (Address Data):

Транзакция для просмотра ролей в SAP и настройки ролей портала

Транзакция для просмотра ролей в SAP и настройки ролей портала

Вставляем скопированных пользователей по кнопке, выделенной ниже:

Транзакция для просмотра ролей в SAP и настройки ролей портала

На экране транзакции выделяем выбранных пользователей и жмем на кнопку Скопировать (Transfer):

Транзакция для просмотра ролей в SAP и настройки ролей портала

На следующем экране кнопка-иконка Изменить (Change):

Транзакция для просмотра ролей в SAP и настройки ролей портала

Выбираем вкладку Роли (Roles), выбираем что хотим сделать, добавить (Add) или удалить (Remove) роль, вставляем саму роль:

Транзакция для просмотра ролей в SAP и настройки ролей портала

жмем на кнопку-иконку Сохранить:

Транзакция для просмотра ролей в SAP и настройки ролей портала

Поздравляю, мы сделали массовое присвоение ролей!

Для закрепления материала видео демонстрация всего проделанного, только в данном случае мы не присвоим массово роль, а наоборот, массово удалим роль у пользователей:

При удалении роли стоит отметить, что если дата начала и дата удаления роли совпадать не будут, как это показано в видео, то роль будет не удалена, а ограничена:

Транзакция для просмотра ролей в SAP и настройки ролей портала

Удачных настроек ;).

Оцените статью
ТЭК Торги