Arkiv

Posts Tagged ‘behörigheter’

Uppdatera SU24 för Z-transaktioner

När man utvecklar egna program är det viktigt att inte missa att lägga in relevanta behörighetskontroller. När detta väl är gjort måste SU24 uppdateras för Z-transaktionen så att behörighetskonceptet hålls ihop och är lätt att underhålla. De behörighetsobjekt som lagts till i programkoden måste också finnas i SU24 så att profilgeneratorn PFCG vet vilka objekt som ska läggas till i rollen när man lägger in Z-transaktionen i menyn i PFCG.

I det här exemplet gäller det en Z-transaktion där man lagt in en behörighetskoll i programkoden.

I SE93 kan jag se att behörighetskollen som lades in tittar efter objekt M_MATE_WRK och V_KONH_VKO:

clip_image002
Bild 1. SE93 – dubbelklicka på program

clip_image004
Bild 2. SE93

clip_image006

Bild 3. SE93

Nu vill jag uppdatera SU24 med dessa objekt på den här transaktionskoden, så att när jag lägger till den i menyn på en roll i PFCG, så lägger den automatiskt till de objekt man behöver för att köra transaktionen.

Starta transaktion SU24 i relevant klient.

Skriv i transaktionskoden och tryck Kör.

clip_image008

Bild 4. SU24

Den här transaktionen är tom sånär som på S_TCODE. Inga objekt föreslås när man lägger till den i PFCG, förutom S_TCODE så man alls kan köra igång transaktionen.

Tryck på ”Display <-> Change” (Ctrl + F1) clip_image010

Lägg till de två objekt som angavs i programkoden, med de värden som angavs där.

clip_image012
Bild 5. SU24

I det här fallet anger jag först M_MATE_WRK i rutan. Klicka ok. Dubbelklicka på objektet som dyker upp.

Jag anger 03 Display som förslagsvärde för fältet ACTVT eftersom det är vad som krävs i programkoden (se bild 2).

clip_image014
Bild 6. SU24

Tryck ok. Sen lägger jag till V_KONH_VKO. Dubbelklicka på objektet som dyker upp:
clip_image016

Bild 7. SU24

Fyll i värdena enligt programkoden igen.

Spara (och ev. transportera).

Nu när jag lägger till transaktionen i PFCG läggs objekten till automatiskt:

clip_image018
Bild 8. PFCG

Fortsätt underhålla rollen som vanligt.

Lite mer om SU24 här.

Läs även andra bloggares åsikter om , , , , ,

Kategorier:howto, jobb, sap Taggar:, , , , ,

Spåra behörighetsproblem med system trace – ST01

När man utvecklar behörighetsroller är chansen stor att man får göra något man inte exakt har gjort förut. Mängden kombinationer av värden på olika behörighetsobjekt kan kännas nära nog oändlig. Standardkollen SU53 är bäst för att avslöja de riktigt små felen. Och i synnerhet när problemet inte egentligen är behörigheter brukar man kunna få nonsenssvar från SU53.

En system trace med ST01 däremot ger mer information och kan i behörighetssammanhang användas både för att bygga upp roller (”vilka behörigheter behövs när jag klickar mig igenom en viss process?”) och för att felsöka vid de första testerna, eller närhelst något faller på ditt bord som folk misstänker är behörighetsrelaterat.

Här följer en grundläggande guide i hur man gör, helt enkelt.

Starta ST01 i den klient där du vill spåra problemet.

clip_image002

Börja med att kryssa i vilka trace components som ska loggas. Jag brukar välja Authorization check samt RFC Calls men de senare är mest relevanta vid portalproblem vad jag vet.

Ställ sedan in general filters.

clip_image004

För att logga en specifik användare, fyll i ”trace for user only”. Tryck ok.

Starta trace:

clip_image006

Användaren som du loggar går in i systemet och gör det som ska loggas. Om jag testar själv brukar jag köra sessionerna simultant.

När du vill titta i loggen, tryck Analysis:
clip_image008

Ange User name för den användare vars logg du vill se. Ange ett tidsfönster i From & To, det bör vara så precist som möjligt. Tryck sen ”kör”:

clip_image010

I loggfilen får du information om alla behörighetskollar som gjorts:

clip_image012

På översta gula raden ser man ”Transaction VD01”, det betyder att behörighetskollen gjordes i transaktionen VD01.

Den ljusgröna raden visar Type = Auth, dvs att det är en behörighetskoll, vilket behörighetsobjekt som kollades, här S_PROJECT, och värdena i fälten som programmet efterlyste. Eftersom raden är ljusgrön istället för mörkgrön vet vi att behörigheten nekades. Mörkgrön betyder att användarens behörighet godkändes.

clip_image014

Exempel på både behörighet given och nekad.

System trace är väldigt användbart för att snabbt lokalisera fel men man måste samtidigt själv utvärdera resultaten man får. Att en viss behörighet inte ges behöver inte nödvändigtvis vara fel. Man måste försöka klura ut vilka behörighetsobjekt som är relevanta i det aktuella fallet. Där hjälper det också att snäva in rapporten så mycket som möjligt tidsmässigt, så att man försöker hitta exakt det ögonblick där något blir fel.

För lite mer detaljer om en behörighetskoll kan man dubbelklicka på den aktuella raden. Man får då upp:
clip_image016
Här ser man i klartext att behörighetskontrollen lyckades.

clip_image018

Vill man spara loggfilen kan man till exempel exportera till Excelfil (spreadsheet) eller som XML.

Läs även andra bloggares åsikter om , , , ,

Evernote & Delicious på jobbet

EvernoteEftersom det inte är högtryck på jobbet precis just nu tar jag mig tid att försöka dokumentera det jag håller på med aningens mer systematiskt. När jag googlar efter lösningar på problem så är det ju fiffigt att spara användbar information någonstans. Tidigare var det med på Delicious (se mina senaste bokmärken i spalten till höger) men numer använder jag oftast Evernote, som sparar hela utdrag till ett konto jag också synkar med min iPhone. Text & foton går lika bra, man kan både spara material i olika ”notebooks” samt tagga det.

Läs även andra bloggares åsikter om , , , , ,

Kategorier:howto, jobb, sap, webb Taggar:, , , , ,

Det mystiska P_ORGIN

Igår byggdes det lite på Compensation Managementroller igen. Min kollega testade en roll i portalen och fick ett meddelande om behörighetsfel. En system trace avslöjade att P_ORGIN efterlyste värdet ”P” på fältet AUTHC. Men i dokumentationen över möjliga värden på AUTHC finns inte P med, så vad det egentligen är tänkt att göra var lite av ett mysterium. Men vem har sagt att det inte är spännande att jobba med SAP? Och med ett P på plats fungerande det bra.

Efter lite googlande hittade jag också meningen med P:t, här.

To create or change records on infotype Compensation Process (0759), two new authorization levels have been added for authorization object P_ORGIN:

  • P, for planning and submitting compensation processes,
  • A, for approving or rejecting compensation processes.

Men det inte den information man får upp i hjälpdokumentationen inne i systemet.

Kategorier:howto, jobb, sap Taggar:, , , , , ,

SAP: Behörigheter för Treasury i TBT1

2009/06/22 2 kommentarer

Nyligen hade jag ett ärende som först verkade galet knivigt. Två användare hade exakt samma roller och parameterinställningar, ändå fungerande någon slags treasury-aktivitet i TX02 för den ena men inte den andra. Jag kan börja med att göra klart att det första jag lärde mig av detta är vikten av att ta reda på att man har all information, och ta fasta på felmeddelandet, snarare än att bara börja jobba utifrån en SU53 som i det här fallet var bifogad. Även om kunden verkar ha panik över felet.

Det visade sig så småningom att rollerna som sådana inte hade nåt med saken att göra, fastän SU53 påstod att den saknade objektet S_PROJECT. Istället reglerades behörigheterna det handlade om i transaktion TBT1 – Trader Authorizations. Här kan man för varje trader reglera behörigheter på nivåerna Contract types > Product categories > Product types > Transaction types.

Så himla lätt när man vet det!

Läs även andra bloggares åsikter om , , , , ,

Kategorier:howto, jobb, sap Taggar:, , , , , , ,

Förvaltning

Mitt senaste uppdrag är förvaltning av roller & behörigheter i cirka fem SAP-klienter hos ett stort företag. Utmaningarna är varierande. Tidigare, i ett implementeringsprojekt, har jag arbetat med specifikt HCM-behörigheter men nu gäller det alla moduler. Häromdagen var jag på jakt efter två objekt för att stänga av möjligheten att editera generell data om kunder och vendors.

Om man inte känner till den aktuella modulen redan kan man börja med att kolla upp vilka behörighetsobjekt som transaktionen använder sig av, i SU24. Där hittade jag F_LFA1_GEN och F_KNA1_GEN för Vendor resp. Customer: Central Data och det lät ju relevant. Jag kollade vidare upp varje objekt i SUIM > Authorization object (namnsök) för att hitta dokumentation om objektet. Med ”Where used” funktionen hittade jag en roll som verkade lämplig att kopiera, begränsade objekten till endast display och det verkade fungera bra. Jag får hoppas kunden tycker samma i acceptanstesten.

Idag var det svåraste jag gjorde att kopiera en liten deriverad roll och anpassa fyra organisationsnivåer. Från ”1111” till ”1112” typ. 🙂

Kategorier:howto, jobb, teknik Taggar:, , , , , ,