Berechtigung S_TABU_NAM

Berechtigung S_TABU_NAM

Berechtigungsobjekt S_TABU_NAM

SAP hat mit dem Hinweis 1481950 bzw. ab gewissenen SAP_BASIS Releaseständen (7.00 SP 23, 7.01 SP 08, 7.02 SP 06, …. ) das neue Berechtigungsobjekt S_TABU_NAM eingeführt. Dieses neue Berechtigungsobjekt ermöglicht die Zugriffsberechtigung auf Tabellen aus Transaktionen SE16, SM30, SM31, SM34, …. genauer einzuschränken – nämlich auf Eben von Tabellennamen. Die Nutzung wird hier ausdrücklich von  SAP empfohlen. Die Prozess- oder Modulverantwortlichen sollten bei Eigenentwicklungen immer an den Einbau von Berechtigungsprüfungen denken.

Prüfungen von S_TABU_DIS erfolgen immer mit der Zugriffaktivität und der Tabellenberechtigungsgruppe (Feld DICBERCLS). Dabei sind folgende Besonderheiten zu beachten:

  • viele Standard-Tabellen sind keiner Tabellenberechtigungsgruppe zugeordnet. Die Zuordnungen (Tabelle zu Gruppe) sind in der Tabelle TDDAT zu finden. Bei diesen Tabellen wird dann gegen die Berechtigungsgruppe &NC& geprüft. Eine saubere Berechtigungsvergabe auf Tabellen mit dieser Gruppe ist nicht möglich.
  • die Zuordungen von Tabellen zu einer bestimmten Berechtigungsgruppe ist so riesig, dass auch hier keine sinnvolle Berechtigungsvergabe möglich ist.
  • sie definieren eigene Berechtigungsgruppen mit Hilfe der Transaktion SE54. Die Berechtigungsgruppe lässt allerdings nur eine Feldlänge von 4 Zeichen zu und erlaubt somit auch keine optimal Aussteuerung von Tabellenzugriffen in einem Berechtigungskonzept.

Das neue Berechtigungsobjekt S_TABU_NAM enthält die folgenden Felder:

  • ACTVT (Zugriffsaktivität analog zu S_TABU_DIS)
  • TABNAME (zu prüfende Tabelle oder View)

Wie sieht nun die Reihenfolge der Prüfung aus ? Das Programm prüft zunächst auf S_TABU_DIS. Ist diese Prüfung positiv dann wird der Anwender berechtigt. Ist die Prüfung negativ, dann wird zusätzlich auf S_TABU_NAM geprüft. Auch hier -> positiv = berechtigt; negativ = nicht berechtigt.

Funktionsbaustein VIEW_AUTHORITY_CHECK

Die S_TABU_NAM Prüfung ist im Funktionsbaustein VIEW_AUTHORITY_CHECK, welcher von den genannten Transaktionen zur Berechtigungsprüfung aufgerufen wird, hinterlegt. Die Prüfung erfolgt jedoch nur dann, wenn die Prüfung auf die S_TABU_DIS fehlschlägt.

Hinweis

Der Einbau des Hinweises unterliegt gewissen Restriktionen im Hinblick auf bestehende  Berechtigungskonzepte:

  • die Prüfung erfolgt ausschliesslich über den oben genannten Baustein
  • im ABAP-Code hart verbaute Prüfungen auf S_TABU_DIS und hinterlegt Prüfungen zu einer Transaktion in der SE93 oder Tabelle TSTCA werden nicht ersetzt
  • auf S_TABU_DIS kann demzufolge nicht komplett verzichtet werden