Bitte beachten Sie auch die Ausführungen des Kapitels Anwenderberechtigungen (MN10640).

Mit dem Programm "Berechtigungen verwalten" (MN10810) werden sämtliche oxaion-Berechtigungen verwaltet: Firmen-, Programm-, Funktions-, Feld-, Daten-, Tabellen- und Belegberechtigungen, die über die Tabelle FRDCLS zur Verfügung gestellt werden.


 

Vorgehensweise

Die Berechtigungsvergabe erfolgt entweder für eine Berechtigungsklasse oder für einen einzelnen Anwender.
Ein Berechtigungseintrag für eine Kennwortidentifikation hat Vorrang gegenüber einem Berechtigungseintrag für eine Berechtigungsklasse.
Es ist zu beachten, dass die Berechtigungsklasse über das Programm "Firmenspezifische Benutzeroptionen verwalten" (MN10710R) auch firmenspezifisch einem Anwender zugeordnet sein kann.

Zum Erfassen eines Berechtigungsobjektes dient folgende Eingabe:


Gültige Berechtigungsobjekte wurden in Tabelle FRDCLS definiert.


Die Berechtigungsvergabe kann durch die Angabe einer Firmennummer optional auch firmenspezifisch erfolgen.
Dies gilt jedoch nicht für Firmenberechtigungen - diese sind immer firmenübergreifend. Werden Berechtigungen firmenspezifisch für eine Masterfirma vergeben (z. B. Adressen oder Sachkonten), so gelten diese Berechtigungen nicht automatisch für die abhängigen Firmen, sondern müssen für die abhängigen Firmen ebenfalls definiert werden.




Berechtigungsobjekte haben eine bestimmte Berechtigungen, eine Berechtigungsgrenze und bestimmte Transaktionen.

Die Berechtigung Zulassen bzw. Verweigern muss immer angegeben werden.


Ausprägung

Ergebnis

Berechtigung

Zulassen

Es liegt eine Berechtigung vor


Verweigern

Es liegt keine Berechtigung vor

Transaktionen:

markiert

Transaktion möglich


Nicht markiert

Transaktion nicht möglich


Die Vergabe der Transaktionen ist nur bei der Berechtigung „Zulassen" sinnvoll. Bei „Verweigern" haben sie keine Auswirkung.
Über die Berechtigungsgrenze wird festgelegt, in welchem Rahmen das Berechtigungsobjekt greift. Die Art der Berechtigungsgrenze ist je nach Berechtigungsobjekten unterschiedlich.

Firmenberechtigung FIRM

Die Berechtigungen zum Umgang mit Firmen verteilen sich auf mehrere Programme:

"Allgemeine Benutzeroptionen verwalten" (MN10640)

Definieren der Art und Weise wie die Prüfung der Firmenberechtigung für einen Anwender erfolgen soll.

"Firmenspezifische Benutzeroptionen verwalten" (MN10710)

Bestimmte Werte aus den Allgemeinen Benutzeroptionen können hier firmenspezifisch überschrieben werden

"Berechtigungen verwalten" (MN10810)

Berechtigungen zum Anmelden in einer Firma definieren


Durch das Erstellen eines Firmenberechtigungsobjektes kann für einen Anwender oder eine Benutzergruppe eine Firmenberechtigung definiert werden.

Voraussetzung dafür, dass für einen Anwender überhaupt eine Firmen-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Firmenberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640).


Selektive Berechtigung: Die Berechtigungen müssen über das Programm "Berechtigungen verwalten" (MN10810) für das Berechtigungsobjekt FIRM definiert werden.

Bei der Definition des Berechtigungsobjekts ist die Berechtigungsrichtung zu berücksichtigen:

EBerechtigung zulassen (E=eingeschlossen) 
ABerechtigung verweigern (A=ausgeschlossen)



Ein Eintrag in diesem Programm kommt erst dann zum Tragen, wenn für einen Anwender im Programm "Benutzeroptionen verwalten" (MN10640) das Feld Firmenberechtigung auf Selektiv steht. 

Im obigen Beispiel ist der Anwender in der Fa. 190 nicht zum Löschen und Ändern berechtigt. 


Bei der Firma handelt es sich immer um die Anmeldefirma, nicht um die Firma des aktuellen Datensatzes!

Programmberechtigung *PGM

Durch das Erstellen eines Programmberechtigungsobjektes können für einen Anwender oder eine Benutzergruppe Berechtigungen an Programmen definiert werden.

Voraussetzung dass für einen Anwender überhaupt eine Programm-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Programmberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640).

Selektive Berechtigung: Die Berechtigungen müssen über das Programm "oxaion-Berechtigungen verwalten" (MN10810R) für das Berechtigungsobjekt FIRM definiert werden.

Im Beispiel soll ein Programmberechtigungsobjekt für den Anwender mit der Ident-Nummer 79 so vergeben werden, dass der Anwender in der Firma 969 die Programme US11* bis US117* aufrufen darf. Er darf aber innerhalb dieser Grenzen keine Datensätze löschen.

Bei den Berechtigungen Zulassen und Verweigern handelt es sich um eine Definitionshilfe für den betrachteten Programmbereich.

ZulassenVerweigernZulassen
AR*US11-US117999*VK*

Im obigen Beispiel wird also folgendes definiert:

Für die Programm US11* bis US117999 dürfen in der Firma 969 alle Transaktionen ausgeführt werden, außer dem Löschen. Alle anderen Programme z. B. AR*, VK* dürfen nicht genutzt werden.
Wird die obige Regel dahingehend abgeändert, dass die Berechtigung Verweigern ausgewählt wird, hat das zur Folge, dass ein Anwender für alle Programme zugelassen, die sich außerhalb der durch die Ober- und Untergrenzen festgelegten Bereiche befinden. Innerhalb nicht.

Aufruf des Programmes US11648 ist nicht möglich:

Tabellenberechtigung


Die Berechtigungen zum Umgang mit Tabellen verteilen sich auf mehrere Programme:

"Allgemeine Benutzeroptionen verwalten" (MN10640)Berechtigungsstufe zum Verwalten von Tabellen und Berechtigung zum Verwalten der Tabellenarten einem Anwender zuweisen.
"Tabellenarten verwalten" (TB12200)Zugriffsmechanismen und Steuerungsfunktionen definieren und Berechtigungsstufe der einzelnen Tabellen definieren.
"Berechtigungen verwalten" (MN10810)Berechtigungen auf Tabellensatzebene definieren.


Es gibt zwei Stufen, um die Verwaltungsberechtigung von Tabellen zu steuern.

  1. Berechtigungsstufe Tabellen
  2. Berechtigungsobjekte


Reihenfolge der Berechtigungsprüfungen:
Zunächst wird geprüft, ob die Tabellenberechtigungsstufe des Anwenders die Bewertungsstufe der Tabelle erreicht. Erst danach erfolgt die tabellen- und transaktionsbezogene Berechtigungsprüfung über die Berechtigungsobjekte.

Nachfolgende Ebenen der Berechtigungsprüfung sind auf Ebene der Berechtigungsobjekte möglich.

Berechtigungsobjekt *TBL

Über das Berechtigungsobjekt TBL kann über *alle Tabelleneinträge einer oder mehrerer Tabellen die Verwaltungsrechte vergeben werden.

Beispiel: Für die Tabelle FRD118 werden für alle Tabelleneinträge in der Firma 100 eine Berechtigungsklasse QSAUS nur die Transaktion Erfassen, Ändern und Anzeigen erlaubt.:


Für den Anwender hat diese Regel beim Verarbeiten anderer Tabellen keine Auswirkungen.

Berechtigungsobjekt *TBL<Tabellenname>

Mit dem Programm "Berechtigungen verwalten" (MN10810) können einzelne Tabelleneinträge für die allgemeine Benutzung gesperrt werden. Es ist möglich, Sachbearbeiter aufgrund ihrer Berechtigungsklasse oder ihrer Kennwort-ID gezielt für die Bearbeitung von einzelnen Tabelleneinträgen zuzulassen oder zu sperren. Die Berechtigungsklasse wird dem Sachbearbeiter über die Benutzeroptionen zugeordnet.
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Tabellensatzebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm "Benutzeroptionen verwalten" (MN10640).


Beispiel:
Ein Anwender darf sich aus der Tabelle FRD110 die Sätze AA bis B49 nur in der Firma 190 Anzeigen lassen. Andere Sätze dieser Tabelle kann er sich nicht anzeigen lassen. Andere Tabellen sind hiervon nicht betroffen. Folgender Datensatz muss hierfür angelegt werden:


Beim Aufruf der Tabellenverwaltung erhält er nun folgendes Bild:


Ruft dieser Anwender ein Programm auf, in dem er eine Mengeneinheit eingeben kann, bekommt er die eingeschränkte Auswahl angezeigt:

Berechtigungsstufe Tabellen (MN10640)

Hier wird angegeben, welche Tabellen ein Anwender verwalten darf. In der Satzartentabelle ist jeder Tabelle eine Bewertungskennziffer zugeordnet, die zwischen 1 und 9 liegen kann. Ein Anwender darf nur dann eine Tabelle verändern, wenn seine ihm hier zugeordnete Berechtigungsstufe größer oder gleich der Kennziffer dieser Tabelle ist.


Wird hier die Berechtigungsstufe 0 vergeben, so darf der Anwender keine Tabelle verwalten. Zum Verwalten der Satzartentabelle ist die Berechtigungsstufe 9 erforderlich.Derzeit existieren folgende Ausprägungen:

1

Reine Plausibilität, keine Steuerung, keine Veränderung von Datenbeständen.

2

Steuerungsfunktion ohne Datenveränderung.

3

Steuerungsfunktion mit Datenveränderung.

4

Steuerungsfunktion mit abhängigen Tabellen.

5

Komplexe Steuerungen. Die Änderung von Tabellen, welche mit 5 klassifiziert sind, setzt genauere Systemkenntnisse voraus.

Änderungsberechtigung Tabellenarten

Neben den Angaben bei den Benutzerberechtigungen werden die Berechtigungsprüfungen für Tabellen auch in den "Tabellenarten" (TB12200) gesteuert.

Der Inhalt dieses Feldes steuert, ob ein Anwender das Programm TB12200, mit dem die Datei TTYPEP (Tabellenarten) verwaltet wird, im Änderungsmodus aufrufen darf. In dieser Datei sind die Zugriffsmechanismen und Steuerungsfunktionen für alle vorhandenen Tabellen hinterlegt.

Da die Verwaltung dieser Datei tiefgreifende Systemkenntnisse voraussetzt, sollten nur ausgewählte Personen Verwaltungsrechte haben. Der Zugriff über ein besonderes Berechtigungskennzeichen geregelt.

Tabellenarten (TB12200)

Mit diesem Programm wird die Tabellenartendatei TTYPEP verwaltet. Jeder Tabellenart wird hier eine Berechtigungsstufe zugewiesen, diese kann kundenindividuell angepasst werden.

Mit dem Setzen des entsprechenden Parameters Änderungsberechtigung Tab.arten kann über die Benutzeroptionen verwalten ein Bearbeiten der Tabellenarten unterbunden werden.


Bei der Tabellenart werden folgende Definitionen vorgenommen, die für die Berechtigungsprüfung von Bedeutung sind::

Berechtigungsprüfung:Dieses Kennzeichen gibt an, ob für die Tabelle die Berechtigungsprüfung auf Satzebene (MN10810) durchgeführt werden soll. Dieses Kennzeichen hat keinen Einfluss auf andere Berechtigungsprüfungen für Tabellen.
Berechtigungsstufe:Jeder Anwender darf nur Tabellen ändern, deren Berechtigungsstufe (MN10640) nicht höher als die in den Benutzeroptionen hinterlegte Berechtigungsstufe für Tabellen ist.


Tabellenberechtigungsprüfungen in Batch-Programmen

In Batch-Jobs in der Regel keine Berechtigungsprüfung mehr für Tabelleneinträge statt, da dies zu ungewollten Effekten oder im schlimmsten Fall zu falschen Ergebnissen führen konnte.

Datenberechtigung


Mit dem Programm Berechtigungen verwalten (MN10810) können einzelne Datensätze für eine allgemeine Benutzung gesperrt werden. Es wird definiert, wie die Datenberechtigungsprüfung für einen Anwender auszusehen hat. Hat ein Anwender nicht die entsprechende Berechtigung, so wird er mit einer entsprechenden Meldung zurückgewiesen.
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Datenebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm Benutzeroptionen verwalten (MN10640) auf der Lasche Berechtigungen I.

Masterberechtigung:

Der Anwender hat volle Zugriffsrechte. Es erfolgt für die entsprechende Gruppe keine Berechtigungsprüfung.

Selektive Berechtigung:

Die Berechtigungen müssen über das Programm oxaion-Berechtigungen verwalten (MN10810) für das betreffende Berechtigungsobjekt definiert werden. Es gelten alle Berechtigungsobjekte

(z. B. Tabellenberechtigungen, Berechtigungen für spezielle Länder) mit Ausnahme von FIRM und *PGM.

Gruppenprofil:

Es gilt die Ausprägung (Master oder Selektiv) aus den Benutzeroptionen des Gruppenprofils.


Diese Möglichkeit ist bei einer ausgewählten Anzahl von Stammdateien wie z. B. Artikelstamm, Adressen, Lagerort, Personenkontenart und Steuerschlüssel realisiert. Die Prüfung erfolgt über Klassen aus FRDCLS (Klassen).

Über das Berechtigungsfeld des Programms Berechtigungen verwalten (MN10810) kann die Berechtigungsprüfung (Feld zur Prüfung bestimmen) der Klasse gesteuert werden. So kann man beim Aufruf eines Artikels darüber steuern, ob über die Ident-Nummer, die Satznummer oder zum Beispiel über die Artikelgruppe die Berechtigung geprüft werden soll.



Zum Ermitteln des Feldnamens ist wie folgt zu verfahren:

SchrittBeschreibungDetail
Feldinformationen aufrufenAuf dem in Frage kommenden Feld (hier Artikelgruppe) mittels ALT+rechte Maustaste klicken.

''Feldinformationen anzeigen'' im sich öffnenden Fenster auswählen:

Klasse ermittelnDie Klasse zum gewählten Feld kann abgelesen werden.


Für einen Anwender oder eine Benutzerklasse sollte die gleichzeitige Verwendung der Berechtigungsrichtungen Einschließlich / Ausschließlich vermieden werden!

Beispiele zur Vergabe von Datenberechtigungen

Arbeitsplatz APNR

Mit dem Berechtigungsobjekt APNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Arbeitsplätze definiert werden. Diese werden dann auch nur zum Verwalten aufgelistet.

Beispiel

Voraussetzung:

Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Arbeitsplätzen (Klasse APNR) muss als Berechtigungsfeld den Wert PZAPNR haben.

Anforderung:

Ein Anwender soll aus der Menge aller Arbeitsplätze nur solche angezeigt bekommen, die mit D* und mit F* beginnen.

Weiter soll er die Arbeitsplätze die mit Drehen* beginnen, außer Anzeigen auch Ändern und Erfassen dürfen. Außerhalb dieses Bereiches soll der Anwender also keine Arbeitsplätze verwalten dürfen.



Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt APNR für den Anwender die Berechtigungen nach der Vorgaben vergeben. Dabei werden die generischen Angaben Vorgaben als Berechtigung von / bis erfasst und dazu die erlaubten Aktionen ausgewählt.

Ergebnis 1:

Ruft der Anwender die Arbeitsplatz Verwaltung (PA12090) auf, bekommt er nur eine aus den obigen Regeln resultierende Auswahl angezeigt. Möchte er einen Arbeitsplatz beginnend mit F* ändern wird er mit einer Fehlermeldung abgewiesen.

Ergebnis 2:

Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen ein Arbeitsplatz ausgewählt werden kann.

So werden beim Aufruf des Matchcode Arbeitsplätze (hier Kapazitätseinheit) nur die Arbeitsplätze angeboten, für die der Anwender auch anzeigeberechtigt ist



Artikelnummer IDNR

Berechtigung über "sprechende" Artikelnummern

Mit dem Berechtigungsobjekt IDNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Artikelnummer definiert werden. Diese werden dann auch nur zur Auswahl angeboten.
Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen eine Artikelnummer verwendet wird (z. B. Artikelverwaltung oder Auftragsverwaltung im Verkauf).

Beispiel "sprechende" Artikelnummern

Voraussetzung:

Der Eintrag in der Tabelle FRDCLS zur Berechtigungsprüfung der  hierzu, muss wie folgt aussehen:

Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Artikelnummer (Klasse IDNR) muss als Berechtigungsfeld den Wert TLIDNR haben.

Anforderung:

Ein Anwender soll aus der Menge aller Artikel nur solche angezeigt bekommen, die mit EP* beginnen. Diese darf der Anwender auch ändern.



Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR für den Anwender die Berechtigungen nach der Vorgaben vergeben. Dabei werden die generischen Angaben Vorgaben als Berechtigung von erfasst und dazu die erlaubten Aktion ausgewählt.

Ergebnis:

Der Anwender hat in Artikel verwalten (US17090) die vorgegebenen Rechte und Aktionen zur Verfügung und bspw. beim Versuch einen Artikel zu löschen mit einer Fehlermeldung abgewiesen.

Berechtigung über nicht "sprechende" Artikelnummern

Liegen keine "sprechenden" Artikelnummern vor, so kann es sinnvoll sein jeden Datensatz mit einem Berechtigungsobjekt auf der Maske "Freigabe" zu versehen (Benutzerklasse Satz / TLBKSA). Dabei erhält natürlich nicht jeder Artikelstamm ein eigenes Berechtigungsobjekt. Es wird vielmehr eine Gruppenbildung geben, die dann für mehrere Artikelstämme gilt.

Beispiel nicht "sprechende" Artikelnummern

Voraussetzung:

  • Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Artikelnummer (Klasse IDNR) muss als Berechtigungsfeld den Wert TLBKSA haben.


  • Unter der Lasche Freigabe müssen die Artikel mit einem Wert im Felder Berechtigungsgruppe versehen werden. Damit werden die Artikel gruppiert in Artikel gleicher Berechtigungen.

Das Dateifeld enthält einen dreistelligen alphanumerischen Wert. Mit Hilfe von Berechtigungsobjekten können dann verschiedene Bearbeitungsarten zugelassen werden.

Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR die Berechtigungen nach den Vorgaben vergeben als Berechtigung von / bis die vergebenen Werte aus der Berechtigungsgruppe verwendet.


Berechtigungen über Artikelgruppe

Beispiel Artikelgruppe

Voraussetzung:

  • Der Eintrag in FRDCLS (Klassen) zu der Berechtigung bei Artikelnummer (Klasse IDNR) muss als Berechtigungsfeld den Wert TLTLGR haben.

Anforderung:

Ein Anwender soll aus der Menge aller Artikel nur solche angezeigt bekommen, die zur Artikelgruppe BB zählen. Diese darf der Anwender auch ändern.


Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt IDNR die Berechtigungen zu den Artikelgruppen nach den Vorgaben als Berechtigung von / bis angelegt.

Ergebnis:

Es werden nun nur noch die Artikel der Artikelgruppe BB angezeigt. Wird nun eine nicht berechtigte Transaktion gewählt (z. B. Kopieren) wird dies mit einer Fehlermeldung abgewiesen.

Adressen PKNR

Mit dem Berechtigungsobjekt PKNR kann die Adressberechtigung gesteuert werden. Man definiert die erlaubten Transaktionen innerhalb eines definierten Bereichs. Außerhalb des Bereichs hat der Anwender oder die Benutzergruppe automatisch nur noch Anzeige-Berechtigung.

Eine Berechtigungsregel für das Berechtigungsobjekt PKNR wird automatisch auf die Unterklassen KDNR (Kundennummer) und LINR (Lieferantennummer) übertragen.

Bei einer Vergabe von Berechtigungen für das Objekt PKNR hat dies somit auch Auswirkungen auf andere Programme, die ebenfalls ''adressabhängig'' sind, das heißt, die definierten Regeln kommen auch dort zum Tragen.


Wichtig!

Die Prüfung erfolgt auf der im Adress-Verwaltungsprogramm einer Adresse zugewiesenen Berechtigungsgruppe und nicht auf der Adresse selbst. 

Eine wichtige Rolle spielen deshalb bei der Adressberechtigung auch die Einstellungen in VRLU03 (Vorlaufdaten für die Adressverwaltung). Hier kann ein Default angegeben werden, der bei der Neuanlage einer Adresse in die Adressberechtigungsklasse eingestellt wird. Wird hier auch der Sonderwert *ADRGRP angegeben, so wird die Adressberechtigungsklasse aus der Adressgruppe übernommen.

Im Programm Adressgruppen verwalten (US14900) kann je Adressgruppe eine Berechtigungsgruppe hinterlegt werden. Die Berechtigungsgruppe kann auch direkt bei den Adressen auf der Lasche Matchcode, Postfach zugeordnet werden:

Beispiel 1

Anforderung:

Ein Anwender soll für die Adressen, die der Berechtigungsgruppe A1 zugewiesen wurden, in der Firma 190 nur Anzeige Berechtigung haben.


Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt PKNR die Berechtigungen zur Berechtigungsgruppe nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt

Ergebnis:

Ruft der Anwender eine Adresse außerhalb seiner Berechtigung auf, wird diese Aktion mit einer Fehlermeldung abgewiesen.



Beispiel 2

Anforderung:

Für einen Anwender wird eine Regel angelegt, die ihm nur die Verwaltung von Adressen mit Berechtigungsgruppe ungleich A1 (Richtung A).


Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt PKNR die Berechtigungen zur Berechtigungsgruppe nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt.

Ergebnis:

Nachfolgend ruft dieser Anwender das Programm Einkaufsbelege verwalten auf und möchte die Belege eines Lieferanten sehen der der Berechtigungsgruppe A1 zugeordnet ist. Die Aktion wird mit einer Fehlermeldung abgewiesen.

Das geschieht auch beim entsprechenden Aufruf des Kundenstamms oder des Geschäftspartnerexplorers.


Lagerorte LAGO

Mit dem Berechtigungsobjekt LAGO können für einen Anwender oder einer Gruppe die jeweils verwendbaren Lagerorte definiert werden. Es wird definiert, welche verwendet oder welche nicht verwendet werden können. Diese werden dann auch nur zur Auswahl angeboten.

Diese Berechtigungsvergabe wirkt sich in den Programmen aus, in denen ein Lagerort verwendet wird (z. B. Artikelstammverwaltung oder Auftragsverwaltung im VKS) und im Verwaltungsprogramm für die Lagerorte selbst.

Beispiel

Anforderung:

Für einen Anwender sollen folgende die Berechtigungen gelten (die Lagerorte sind dabei die Schlüsselwert der Lagerorte):

  1. Nur Lagerorte die direkt oder indirekt benannt sind sollen verwaltet werden können.
  2. Bei den Lagerorten 0000001 - 00000028 soll Anzeigen / Inaktivieren / Reaktivieren erlaubt sein.
  3. Bei den Lagerorten 00000MH - 0000240 soll Anzeigen / Ändern erlaubt sein.
  4. Bei den Lagerorten 0000241 – 0000777 soll Anzeigen erlaubt sein.

Lösung:

Über Berechtigungen verwalten (MN10810) werden für das Belegberechtigungsobjekt LAGO die Berechtigungen nach den Vorgaben als Berechtigung von / bis angelegt und die erlaubte Aktion ausgewählt.


Funktionsberechtigung *FCT


Anwender und Berechtigungsklassen können über die Vergabe von Funktionsberechtigung für ausgewählte Menüs und/oder Untermenüs zugelassen bzw. ausgeschlossen werden. Dies ist also auch letztendlich eine Form der Programmberechtigungsvergabe.

Funktionsberechtigungen werden über das Berechtigungsobjekt *FCT definiert.

Im ersten Schritt müssen in den betreffenden Menü- und Untermenüs im Programm "Menüverwaltung" (MN10192) das Feld ''Funktionsberechtigung'' nach Wunsch gepflegt werden, z. B. durch den Eintrag ISM beim Menü ISM (Statistik):



Dann müssen die betroffenen Menükomponenten durch Anlegen eines Berechtigungsobjektes *FCT und einer geeigneten Berechtigungsklasse zusammengefasst werden. Als Beispiel wurde hier die Berechtigungsklasse MAWI verwendet:


In den Benutzeroptionen muss bei den Anwendern, für die diese Berechtigung ziehen soll die Programmberechtigung auf ''Selektiv'' stehen:


Die Zuweisung der Anwender zu einer Funktionsberechtigung erfolgt über den Eintrag der entsprechenden Berechtigungsklasse in den Benutzeroptionen.


Das Startmenü eines Anwenders wird dynamisch angepasst. Es werden nur die Menüs angezeigt, innerhalb der zulässigen Berechtigungsgrenzen liegen:


Hier werden zum Beispiel die Menüs Finanzbuchhaltung und Anlagenbuchhaltung oder Betriebsabrechnung nicht zur Auswahl angeboten.
Weiter sollte der Parameter ''Programme direkt aufrufen'' auf "Nein" stehen, da es sich ja um eine Programmberechtigung handelt:


Ein Belegberechtigungsobjekt steuert die Zugriffsberechtigung für Belege allgemein oder in einem Anwendungsgebiet. Es kann einem Anwender zugeordnet sein, sodass jeder von diesem Anwender erzeugte Beleg automatisch dieses Berechtigungsobjekt erhält, oder es kann bei der Erfassung eines Beleges explizit angegeben werden. Alle Zugriffe auf einen solchen Beleg unterliegen einer Berechtigungsprüfung.

Die Belegberechtigungsobjekte sind in der Tabelle FRDBBO zu hinterlegen. Über den List-Button kann eine Auflistung der gültigen Belegberechtigungsobjekte angefordert werden.
Ein Belegberechtigungsobjekt und die zugehörige Steuerung wird über das Programm "Benutzeroptionen verwalten" (MN10640) (Jobsteuer./Ben.kl.) einem Anwender zugeordnet.

Wenn erforderlich kann auch pro Anwendung ein Belegberechtigungsobjekt hinterlegt werden.

Über das Feld Steuerung Belegberechtigungsobjekt wird angegeben, ob die Angabe eines Belegberechtigungsobjektes für diesen Anwender bei der Erfassung eines Belegs zwingend ist, falls in dem Nummernkreiskennzeichen der jeweiligen Anwendung eine benutzerspezifische Pflichtsteuerung vorgegeben wurde.

Der hier anzugebende Steuerparameter wirkt sich für den jeweiligen Nummernkreis nur bei der Ausprägung "J" aus. Wird das Feld markiert, so muss dieser Anwender bei der Erfassung eines beliebigen Belegs ein Belegberechtigungsobjekt angeben. In diesem Fall sollte dem Anwender ein Default für ein Belegberechtigungsobjekt zugeordnet werden, damit das Belegberechtigungsobjekt nicht explizit eingegeben werden muss. Wird das Feld nicht markiert, so ist die Angabe eines Belegberechtigungsobjektes für diesen Anwender optional möglich.

Ob ein Belegberechtigungsobjekt zwingend anzugeben ist, wird primär über die Nummernkreiskennzeichen gesteuert.

Ob und wie für ein Belegartenkennzeichen mit Objektberechtigungen gearbeitet wird, wird über folgende Tabellen je Anwendungsgebiet gesteuert:

EKS

Tabelle FRD014, Parameter 15 und 16

VKS

Tabelle FRD161, Parameter 16 und 17


Bei der Definition eines Belegberechtigungsobjektes im Programm "Berechtigungen verwalten" (MN10810) wird gegen die Tabelle FRDBBO geprüft.

Beispiel:
Für einen Anwender ist in den Benutzeroptionen bzgl. der Belegberechtigung folgendes hinterlegt:

Es handelt sich hier also um eine Zugriffsberechtigung für Belege im Allgemeinen, also über alle Anwendungsgebiete hinweg.

Es können nun zum Beispiel in Tabelle FRD014 (Belegarten EKS) die Parameter für die Belegart BE (Bestellungen) bezüglich der Berechtigungsobjekte so gepflegt werden, dass eine Objekt-Angabepflicht besteht und dass das in den Benutzeroptionen hinterlegte Objekt automatisch beim Erfassen einer Bestellung herangezogen wird:

Diese Angaben können je Belegart unterschiedlich sein.

Des Weiteren wurde eine Belegberechtigung (*BLG) so vergeben, dass der Anwender nur die Belege mit Belegberechtigungsobjekt X01 auswählen kann und alle Transaktionen ausführen darf:

Über alle Anwendungen hinweg hat der Anwender für die Belege X01 an allen Transaktionen die Rechte.

Erfasst dieser Anwender nun eine Bestellung wird das Feld Belegberechtigungsobjekt automatisch mit X01 vorbelegt:

Ruft ein Anwender die Bestellverwaltung auf, sieht er die obige Bestellungen nicht, wenn er nur Berechtigung für das Belegberechtigungsobjekt EKS hat, aber nicht für X01. Um eine Belegberechtigung auf ein Anwendungsgebiet spezifizieren zu können, kann beim Anlegen eines Objektes das Kürzel für das Anwendungsgebiet angegeben werden.

Soll sich die obige Regel also nur auf VKS beziehen, so müsste man ein Objekt mit dem Namen *BLGVKS anlegen.

Neben dem übergreifenden Belegberechtigungsobjekt steht optional in den Benutzeroptionen das Belegberechtigungsobjekt für die jeweiligen Anwendungsgebiete zur Verfügung. Wird hier ein Wert angegeben, so wird dieser ausschließlich in den Programmen dieser Anwendung verwendet; ansonsten wird das übergreifende Belegberechtigungsobjekt benutzt.

Die Vorgehensweise beim Arbeiten mit den anwendungsbezogenen Belegberechtigungen ist entsprechend der mit der allgemeinen.


Methodenberechtigung *METHOD

Feldberechtigung übergreifend *RFLD


Mit dem Berechtigungsobjekt *RFLD ist es möglich für einen Anwender oder für eine ganze Gruppe von Anwendern firmenspezifisch in der Anwendung Felder zu verbergen oder zu schützen.

Nachfolgend soll für einen Anwender das Feld Artikelgruppe (TLGR) geschützt werden und das Feld Zeichnungsdatum (ZGDT) in der gesamten Anwendung nicht angezeigt werden.



Beim Aufruf eines Artikels bekommt der Anwender auf Grund der obigen Regeln das Zeichnungsdatum nicht mehr angezeigt. Die Zeile, die sich normalerweise zwischen Zeichnungsnummer und –format befindet, wird gänzlich ausgeblendet.
Weiter ist die Artikelgruppe auch nicht mehr änderbar.

Dokumentenberechtigung *DMS / Archivierung


Das in oxaion integrierte Dokumentenmanagementsystem erfordert eine dedizierte Berechtigungsvergabe: Für jedes Dokument oder für jeden Ordner müssen für den einzelnen Anwender oder für eine Benutzergruppe Berechtigungen vergeben werden können

Jedes Dokument besitzt einen Eigner. Dieser Eigner kann über die Eigenschaften im Kontextmenü eingesehen und mit Masterberechtigung geändert werden.



Grundsätzlich wird der Eigner mit dem Anwender vorbelegt, welcher das Dokument oder den Ordner im Dokumente-Knoten anlegt. Wird ein Eigner in einem Ordner hinterlegt oder ist bereits hinterlegt und es wird ein neues Dokument dem Ordner hinzugefügt, vererbt sich der Eigner nicht, sondern der Sachbearbeiter, welcher das Dokument in den Dokumente ablegt wird als Eigner eingestellt.



Ein Eigner hat das Recht ein Berechtigungsobjekt zu hinterlegen, zu ändern oder zu löschen. Über dieses Berechtigungsobjekt kann der Eigner zum Teil selbst die Berechtigungen für die einzelnen Personen steuern.
Neben dem Eigner gibt es noch Anwender, welche grundsätzlich berechtigt werden können, alle Dokumente zu verwalten. Um einem Anwender solche Berechtigungen zuzuweisen muss in den Benutzeroptionen die Berechtigung für Dokumente aktiviert werden.



Wird diese Berechtigung in den Benutzeroptionen vergeben, wirkt sich diese wie eine Masterberechtigung auf alle hinterlegten Dokumente aus!


Neben dem Eigner ist es außerdem möglich, auch ein Berechtigungsobjekt zu vergeben. Über dieses Berechtigungsobjekt lassen sich dedizierte Berechtigungen für die Neuanlage, das Ändern, das Kopieren und das Löschen von Dokumenten vergeben. Es ist ebenfalls steuerbar, ob ein Anwender ein Dokument versionieren oder archivieren darf. Die Berechtigungen werden im Programm "Berechtigungen verwalten" (MN10810) mit dem Berechtigungsobjekt *DMS hinterlegt.

Beispiel: Ein Anwender soll für die Dokumente innerhalb einer definierten Grenze nicht löschen dürfen:

Beispiel: Ein Anwender soll Ordner innerhalb einer definierten Grenze nur erfassen:


Explorer-Knotenberechtigung *NODE


Mit dem Berechtigungsobjekt *NODE ist möglich in Programm-Explorer Berechtigungen für Knoten zu vergeben. Der Knoten ist dann für einen Anwender verborgen, er kann ihn also nicht auswählen.

Zum Beispiel kann man einem Anwender im Artikelstamm-Explorer den Knoten Produktionsdaten (UTLST4) entziehen. Folgende Regel muss hierfür erstellt werden:



Nach dem aktivieren der Regel wirkt sich das für Anwender wie folgt aus:

VorherNachher


Zum Ermitteln des Knotennamens muss der betroffene Knoten ausgewählt und der blaue Punkt geöffnet werden

Die Knoten-Information liefert den Namen:

Grundsatzfragen

Wo werden Berechtigungen geprüft

Firmenberechtigung

Die Firmenberechtigung wird bei der Anmeldung und dort auch beim Matchcode für die Firmen explizit geprüft. Im weiteren Ablauf ist dann das Firmenfeld in die übliche Prüfung der Datenrechte eingebunden.

Programmberechtigung

Die Berechtigung für den Programmaufruf wird geprüft

  • durch Programm oxaion-Menü aufbauen (MN10209J)
  • Beim Aufbau der Menüs (falls ein Berechtigungsprogramm hinterlegt ist)
  • Bei der direkten Eingabe eines Menübefehles
  • Bei "Senden An"
  • durch Programm Folgemaske auswählen US60302J
  • Beim Aufbau des Menübaumes/der Tabelle der Folgemasken für das Auskunftssystem


Die Transaktionsberechtigung für das Programm (Ändern/Löschen …) wird beim Programmstart ermittelt.

Datenberechtigung

Die direkte Prüfung der Datenrechte erfolgt:

  • In den ..._get-Modulen (rtv… und get…) mit den jeweiligen Transaktionen (*READ, *GET …..)
  • In den ...Check-Modulen (cky… ) mit den jeweiligen Transaktionen (*NEW, …)


Die Prüfung für die Auflistungen ist direkt ins Listframework eingebunden. Dort wird der SQL-Befehl ggf. um die Bedingungen für die Berechtigung ergänzt (Listprogram - firstlist - setRecordAuthority).

Wie wird geprüft

Beim Start einer neuen Sitzung werden alle relevanten Berechtigungsdaten (MN10810) einmalig geladen.

Relevant sind alle Daten mit

  • Kennwortidentifikation leer oder = aktuelle Kennwortidentifikation
  • Berechtigungsklasse = leer oder
  • Berechtigungsobjekt = FIRM und Berechtigungsklasse = Berechtigungsklasse Firmen (aus den Benutzeroptionen)
  • Berechtigungsobjekt = *PGM und Berechtigungsklasse = Benutzerklasse Programme (aus den Benutzeroptionen)
  • Alle anderen Berechtigungsobjekte und Berechtigungsklasse = Berechtigungsklasse (aus den Benutzeroptionen)
  • Firma = leer oder = aktuelle Firma


Diese Daten werden in der Reihenfolge sortiert:

  • Firma absteigend
  • Kennwortidentifikation
  • Benutzerklasse
  • Einschließlich / Ausschließlich
  • Einzelwert/von-bis

Einzelprüfungen (in den …_get-Modulen)

Bei der Einzelprüfung werden nun diese Daten in der angegeben Reihenfolge abgearbeitet.

Wird ein zutreffender Satz gefunden (Inhalt des Berechtigungsobjektes liegt in den angegebenen Grenzen) so wird

  • Bei der Auswahl "Zulassen" der Funktionswert der Transaktionsberechtigung zurück geliefert
  • Bei der Auswahl "Verweigern" der Wert "nicht berechtigt" zurück geliefert


Falls kein zutreffender Satz gefunden wurde, so wird,

  • Beim Wert "Verweigern" der Funktionswert der Transaktionsberechtigung mit den ersten ausschließlichen Datenkennzeichen zurück geliefert
  • Im anderen Fall wird "nicht berechtigt" zurück geliefert


Im Allgemeinen wird als Feldinhalt für die Prüfung der Inhalt des Feldes selbst verwendet (z. B. Ländernummer). Es kann aber über die Klasse ein abhängiges Feld einer anderen Tabelle definiert werden. In diesem Fall wird der Inhalt des abhängigen Feldes für die Prüfung verwendet
(Adressberechtigungsklasse PKADBK für Klasse PKNR)

Erweiterungen der Abfrage in Listprogrammen

Auch hier wird die Liste der relevanten Daten in der angegeben Reihenfolge abgearbeitet.

Für jede "Zulassen "Prüfung wird eine Bedingung der Form hinzugefügt:

"and (case when Feld is null then 1 when Feld = "then 1 when Feld between von and bis then 1 else 0) = 1"


Für jede "Verweigern" Prüfung wird eine Bedingung der Form hinzugefügt:

"and (case when Feld is null then 1 when Feld = "then 1 when Feld between von and bis then 0 else 1) = 1"


Im Allgemeinen wird hier für "Feld" das eigentliche Datenfeld verwendet. Es kann aber über die Klasse ein abhängiges Feld einer anderen Tabelle definiert werden (z. B. das Berechtigungsobjekt PKADBK der Adressen Klasse PKNR).

Dann wird ggf. noch eine Join-Verknüpfung der Abfrage angefügt und das abhängige Feld dafür eingesetzt
 

Transaktionsrechte

TransaktionKennzeichenArt
5*READ, *DROPPED, *LOADCOPY, " " Anzeigeberechtigung
2*GET, *PUT, *OPENÄnderungsberechtigung
1*COPY, *NEW, *PUTNEW, *PUTCOPYNeuanlageberechtigung
3
Kopierberechtigung
4*DELLöschberechtigung
6
Inaktivieren
7
Reaktivieren
Alle anderen
Anzeigeberechtigung


Was wird geprüft

Einzelprüfungen

Bei den Einzelprüfungen (get… rtv…) werden alle Felder des aktuellen Datensatzes, für deren Klassen Berechtigungsdaten hinterlegt sind, geprüft.

Da nun innerhalb der chk-Methoden wiederum Prüfungen mit rtv-Methoden durchgeführt werden, können durchaus unangenehme Nebeneffekte auftreten.

Beispiel :
Anwender NOAUT hat nur Rechte an der Firma 190, darf also andere Firmen nicht einmal ansehen. Dieser Anwender verwaltet nun Artikelstammsatz xy. Dieser Artikelstammsatz xy hat auch einen Disponenten. Dieser Disponent wird via rtvMkenw geprüft.
Nun hat dieser Disponent in seinen Benutzeroptionen als Standardfirma die Firma 990 hinterlegt

  • Der Anwender NOAUT hat an diesem Disponent keine Rechte
  • Der Anwender NOAUT darf den Artikelstammsatz xy nicht verwalten.


Listprogramme

Bei den Listprogrammen werden für jedes Feld der aktuellen Datei, für dessen Klasse Berechtigungsdaten hinterlegt sind, die Bedingungen hinzugefügt (ggf. mit zusätzlichen Joins). Dasselbe geschieht auch für zusätzliche Prüfungen, die via extRtv… definiert sind.
Auch das kann analog den Einzelprüfungen dieselben unerwünschten Nebeneffekte haben.


























  • Keine Stichwörter