Abap Forum on Gate²App

[Ellen3429]

Allseits ein gutes Neues

Kann mir Jemand sagen, wie es mit benutzerspezifischen Rechten innerhalb des WAS bestellt ist ??

Situation: Ich habe eine kleine BSP-Appl die mit dem Backend kommuniziert (RFC) . Der WAS fungiert einzig als Kommunikations- bzw. GUI-Schicht. Auf dem Backend sind selbstverständlich Rollen und Rechte definiert, die dann ebenfalls über die BSP-Applikation genutzt werden müssen, sollen.

Nunmehr zur Fragestellung: Muß ich diese Rollen ebenfalls auf dem WAS definieren und dann natürlich auswerten oder greift das Rollen und Rechtesystem des Backend beim Zugriff über RFC auf die z.B. Standard-BAPIS (z.B. Suchen von Dokumenten ) ?

Gruß

Neuwolf

[Alva1590]

Zitat aus Docu:

RFC - Berechtigung
Beim remote-Aufruf eines Funktionsbausteins wird eine automatische Berechtigungsprüfung durchgeführt, wenn der Profilparameter auth/rfc_authority_check auf 1 gesetzt ist. Die Berechtigungsprüfung überprüft über das Berechtigungsobjekt S_RFC, ob der in der Destination festgelegte Benutzer eine RFC-Berechtigung für die Funktionsgruppe des aufgerufenen Funktionsbausteins hat.

Beim remote-Aufruf eines Funktionsbausteins innerhalb des gleichen Systems findet die automatische Berechtigungsprüfung nur bei Ungleichheit von Mandant und Benutzerkennung statt. Über Systemgrenzen hinweg wird die automatische Berechtigungsprüfung nur außerhalb von vertrauenswürdigen Systemen durchgeführt. Die Einstufung eines Systems als Trusted System erfolgt über die Transaktion SMT1.

Die automatische Berechtigungsprüfung erfolgt über impliziten Aufruf des Funktionsbausteins AUTHORITY_CHECK_RFC, der bei fehlender Berechtigung eine der in seiner Schnittstelle definierten Ausnahmen USER_DONT_EXIST oder RFC_NO_AUTHORITY und damit einen Laufzeitfehler auslöst. Es wird empfohlen, den Funktionsbaustein AUTHORITY_CHECK_RFC vor einem remote-Aufruf explizit aufzurufen, um eine eventuelle Ausnahme behandeln zu können. Bei vorliegender Berechtigung liefert der Funktionsbaustein kein explizites Ergebnis, setzt aber wie alle erfolgreich ausgeführten Funktionsbausteine sy-subrc auf 0.

Grundsätzlich kann in der SM59 auch eingestellt werden, ob ein expliziter RFC-User verwendet werden soll, oder der User der sich angemeldet hat. In letzterem Fall wird der angemeldete User (des WAS) auch im Backend angemeldet (was voraussetzt dass dieser user dort vorhanden sein muss). Das Berechtigungskonzept greift dann ensprechend der Rollen und Berechtigungen des Users.

[Ellen3429]

Danke für die prompte Antwort,

nur habe ich - wahrscheinlich liegt es an mir - ein Verständnissproblem.
Anscheinend zumindest

Ich habe in der SM59 das Flag "aktueller User" gesetzt.
Im augerufenen FB sogar einen Authority-Check auf das Berechtigungsobjekt eingebaut.

Ergebnis: Teste ich es direkt im Backen mit dem entsprechenden User so bekomme ich auch einen Fehler zurückgeliefert. Wenn ich es jedoch über den WAS probiere so werden mir alle Dokumente angeboten.

Irgendwie mache ich anscheinend doch noch etwas falsch

Hilfe, wo ist die Lösung

[Alva1590]

Hast Du's mal debuggt? Einfach in den Baustein im Zielsystem (RFC-Baustein im Backend) das hier reinhängen:

http://www.abapforum.com/viewtopic.php?t=91

Dann kannst Du in der SM50 sehen, welchem User der Prozess 'gehört'. Hast Du die Rollen des Benutzers im Backend getestet?
Ausserdem würde ich in der PFCG die Rollen nochmals überprüfen (aktivieren) und über die SU01 einen Benutzerabgleich durchführen um sicherzugehen, dass die Berechtigungen der Rollen auch berücksichtigt werden.