Zeilenorientierte SAP-Berechtigungen – S_TABU_LIN

In diesem Artikel möchte ich Dir gerne die zeilenbezogene Berechtigungen anhand des Berechtigungsobjektes S_TABU_LIN näher vorstellen.

Das Berechtigungsobjekt S_TABU_LIN ist eine wesentliche Komponente für zeilenorientierte SAP-Berechtigungen. Es ermöglicht, eine Zugriffskontrolle auf Zeilenebene zu implementieren, wenn Du auf Tabellen über Standard-Transaktionscodes wie SM30 und SM31 zugreifst. Es ist auch wichtig zu beachten, dass das Berechtigungsobjekt S_TABU_LIN immer zusätzlich zu, nicht anstelle, der Prüfung des Berechtigungsobjektes S_TABU_DIS überprüft wird.

Um die zeilenbezogene Berechtigung in SAP ERP bzw. SAP S/4HANA anhand des Objektes S_TABU_LIN einzurichten, sind folgende Schritte notwendig:

1. Organisationskriterien definieren
2. Attribute definieren
3. Tabellenfelder definieren
4. Organisationskriterium aktivieren

Organisationskriterien definieren

Um die Tabelle S_TABU_LIN in das Berechtigungskonzept zu integrieren, ist der erste Schritt die Konfiguration eines Organisationskriteriums mit der Transaktion SPRO. Du kannst entweder von SAP bereitgestellte Organisationskriterien verwenden oder eigene erstellen. Unter folgendem Pfad kannst Du ein Organisationskriterium definieren: ABAP Platform > Application Server > Systemadministration > Benutzer und Berechtigungen > Zeilenbezogene Berechtigungen > Organisationskriterien definieren. Achte vor allem darauf, dass die Tabelle mandantenunabhängig ist.

In diesem Abschnitt definierst Du mandantenunabhängig Organisationskriterien für das Einrichten von Zeilenberechtigungen. Diese können in allen Anzeige- und Pflegetransaktionen für Customizingdaten verwendet werden. Du ordnest einem Organisationskriterium ein oder mehrere Tabellen-Schlüsselfelder zu, über die Du die Zugriffsberechtigung auf eine oder mehrere Tabellen anhand betriebswirtschaftlicher Kriterien steuern kannst. So kannst Du einzelne betriebswirtschaftliche Arbeitsbereiche wie Organisationseinheiten (z. B. Land, Werk, Buchungskreis) einem Benutzer oder einer Benutzergruppe zuordnen. Ein Benutzer bekommt dann nur die Daten zur Anzeige, für die eine Berechtigung ausgeprägt ist.

Die Berechtigungsprüfung der Pflegetransaktion prüft zunächst die vorhandenen Berechtigungsobjekte S_TABU_CLI und S_TABU_DIS. Ist diese Prüfung erfolgreich, wird geprüft, ob für Schlüsselfelder der Tabelle Organisationskriterien definiert wurden. Wenn ja, wird geprüft, ob eine Berechtigung für Werte bzw. Wertebereiche der betreffenden Felder vorliegt. Es werden nur die Felder angezeigt, für die die gesamte Berechtigungsprüfung erfolgreich war.

Stelle vor allem sicher, dass das Kontrollkästchen „tabellenübergreifend“ nicht aktiviert ist, da das Organisationskriterium nur für von uns verwaltete Tabellen überprüft wird, nicht für alle Tabellen.

Attribute definieren

Mit dem neuen Organisationskriterium ausgewählt, doppelklicke auf die Option „Attribute“. Auf diesem Bildschirm kannst Du Attribute für das Organisationskriterium erstellen. Außerdem kannst Du diese Attribute als das 1. bis 8. Attribut festlegen, die den Berechtigungsfeldern in S_TABU_LIN entsprechen.

Tabellenfelder definieren

Schließlich, nachdem das Attribut erstellt wurde, musst Du die Tabellen/Ansichten festlegen, die für das Organisationskriterium überprüft werden sollen. Dafür klickst Du doppelt auf den Knoten „Tabellenfelder“ und wählst „Neue Einträge“. Anschließend fügst Du die View/Tabelle und das Tabellenfeld hinzu.

Bitte beachte, dass SAP ERP bzw. SAP S/4HANA derzeit nur eine Tabelle oder Ansicht pro Attribut erlaubt. Daher musst Du, wenn Du mehrere Tabellen durch S_TABU_LIN sichern möchtest, für jede ein neues Organisationskriterium erstellen.

Sobald diese Konfigurationen vorgenommen wurden, kannst Du die Einträge speichern. Das System wird Dich nach einem Transportauftrag zur Speicherung der geänderten Objekte fragen. Du hast nun erfolgreich ein Organisationskriterium erstellt.

Organisationskriterium aktivieren

Bevor S_TABU_LIN und das Organisationskriterium jedoch während des Tabellenzugriffs angewendet werden, musst Du es aktivieren. Die Aktivierung des Kriteriums ist ein einfacher Vorgang. Du rufst hierfür folgenden Pfad in der Transaktion SPRO auf: ABAP Platform > Application Server > Systemadministration > Benutzer und Berechtigungen > Zeilenbezogene Berechtigungen > Organisationskriterien aktivieren. Setze einfach das Kontrollkästchen „aktiv“ und speichere Deine Einträge.

Mit dieser vorläufigen Einrichtung kannst Du nun das Berechtigungsobjekt S_TABU_LIN in Deinen Rollen integrieren, um Tabellen basierend auf dem Organisationskriterium zu sichern.

Es ist wichtig zu bedenken, dass S_TABU_LIN nur für Standard-SAP-Tabellenwartungstransaktionen überprüft wird. Benutzerdefinierter Code, der auf Tabellen zugreift, unterliegt standardmäßig keiner Zugriffskontrolle auf Zeilenebene. ABAP-Entwickler können jedoch manuell eine Berechtigungsprüfung für S_TABU_LIN in solchen Fällen hinzufügen.