Bitte beachten Sie auch die Ausführungen des Kapitels Anwenderberechtigungen (MN10640).

Mit dem Programm "Berechtigungen verwalten" (MN10810) werden sämtliche oxaion-Berechtigungen verwaltet: Firmen-, Programm-, Funktions-, Feld-, Daten-, Tabellen- und Belegberechtigungen, die über die Tabelle FRDCLS zur Verfügung gestellt werden.

Vorgehensweise

Die Berechtigungsvergabe erfolgt entweder für eine Berechtigungsklasse oder für einen einzelnen Anwender.
Ein Berechtigungseintrag für eine Kennwortidentifikation hat Vorrang gegenüber einem Berechtigungseintrag für eine Berechtigungsklasse.
Es ist zu beachten, dass die Berechtigungsklasse über das Programm "Firmenspezifische Benutzeroptionen verwalten" (MN10710R) auch firmenspezifisch einem Anwender zugeordnet sein kann.

Zum Erfassen eines Berechtigungsobjektes dient folgende Eingabe:

Gültige Berechtigungsobjekte wurden in Tabelle FRDCLS definiert.

Die Berechtigungsvergabe kann durch die Angabe einer Firmennummer optional auch firmenspezifisch erfolgen.
Dies gilt jedoch nicht für Firmenberechtigungen - diese sind immer firmenübergreifend. Werden Berechtigungen firmenspezifisch für eine Masterfirma vergeben (z. B. Adressen oder Sachkonten), so gelten diese Berechtigungen nicht automatisch für die abhängigen Firmen, sondern müssen für die abhängigen Firmen ebenfalls definiert werden.

Berechtigungsobjekte haben eine bestimmte Berechtigungsrichtung, eine Berechtigungsgrenze und bestimmte Transaktionen.

Die Berechtigungsrichtung Einschließlich / Ausschließlich muss immer angegeben werden.

Die Vergabe der Transaktionen ist nur bei der Berechtigungsrichtung „Einschließlich" sinnvoll. Bei „Ausschließlich" haben sie keine Auswirkung.
Über die Berechtigungsgrenze wird festgelegt, in welchem Rahmen das Berechtigungsobjekt greift. Die Art der Berechtigungsgrenze ist je nach Berechtigungsobjekten unterschiedlich.

Firmenberechtigung FIRM

Die Berechtigungen zum Umgang mit Firmen verteilen sich auf mehrere Programme:

Durch das Erstellen eines Firmenberechtigungsobjektes kann für einen Anwender oder eine Benutzergruppe eine Firmenberechtigung definiert werden.

Voraussetzung dafür, dass für einen Anwender überhaupt eine Firmen-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Firmenberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640).

Selektive Berechtigung: Die Berechtigungen müssen über das Programm "Berechtigungen verwalten" (MN10810) für das Berechtigungsobjekt FIRM definiert werden.

Bei der Definition des Berechtigungsobjekts ist die Berechtigungsrichtung zu berücksichtigen:

Ein Eintrag in diesem Programm kommt erst dann zum Tragen, wenn für einen Anwender im Programm "Benutzeroptionen verwalten" (MN10640) das Feld Firmenberechtigung auf Selektiv steht. 

Im obigen Beispiel ist der Anwender in der Fa. 190 nicht zum Löschen und Ändern berechtigt. 

Programmberechtigung *PGM

Durch das Erstellen eines Programmberechtigungsobjektes können für einen Anwender oder eine Benutzergruppe Berechtigungen an Programmen definiert werden.

Voraussetzung dass für einen Anwender überhaupt eine Programm-Berechtigungsprüfung durchgeführt wird, ist die Auswahl Selektiv für Programmberechtigung im Programm "Allgemeine Benutzeroptionen verwalten" (MN10640).

Selektive Berechtigung: Die Berechtigungen müssen über das Programm "oxaion-Berechtigungen verwalten" (MN10810R) für das Berechtigungsobjekt FIRM definiert werden.

Im Beispiel soll ein Programmberechtigungsobjekt für den Anwender mit der Ident-Nummer 79 so vergeben werden, dass der Anwender in der Firma 969 die Programme US11* bis US117* aufrufen darf. Er darf aber innerhalb dieser Grenzen keine Datensätze löschen.

Bei den Berechtigungsrichtung Einschließlich und Ausschließlich handelt es sich um eine Definitionshilfe für den betrachteten Programmbereich.

Im obigen Beispiel wird also folgendes definiert:

Für die Programm US11* bis US117999 dürfen in der Firma 969 alle Transaktionen ausgeführt werden, außer dem Löschen. Alle anderen Programme z. B. AR*, VK* dürfen nicht genutzt werden.
Wird die obige Regel dahingehend abgeändert, dass die Richtung auf Ausschließlich gedreht wird, hat das zur Folge, dass ein Anwender für alle Programme zugelassen, die sich außerhalb der durch die Ober- und Untergrenzen festgelegten Bereiche befinden. Innerhalb nicht.

Aufruf des Programmes US11648 ist nicht möglich:

Tabellenberechtigung

Die Berechtigungen zum Umgang mit Tabellen verteilen sich auf mehrere Programme:

Es gibt zwei Stufen, um die Verwaltungsberechtigung von Tabellen zu steuern.

1. Berechtigungsstufe Tabellen
2. Berechtigungsobjekte

Reihenfolge der Berechtigungsprüfungen:
Zunächst wird geprüft, ob die Tabellenberechtigungsstufe des Anwenders die Bewertungsstufe der Tabelle erreicht. Erst danach erfolgt die tabellen- und transaktionsbezogene Berechtigungsprüfung über die Berechtigungsobjekte.

Nachfolgende Ebenen der Berechtigungsprüfung sind auf Ebene der Berechtigungsobjekte möglich.

Berechtigungsobjekt *TBL

Über das Berechtigungsobjekt TBL kann über *alle Tabelleneinträge einer oder mehrerer Tabellen die Verwaltungsrechte vergeben werden.

Beispiel: Für die Tabelle FRD118 werden für alle Tabelleneinträge in der Firma 100 eine Berechtigungsklasse QSAUS nur die Transaktion Erfassen, Ändern und Anzeigen erlaubt.:

Für den Anwender hat diese Regel beim Verarbeiten anderer Tabellen keine Auswirkungen.

Berechtigungsobjekt *TBL<Tabellenname>

Mit dem Programm "Berechtigungen verwalten" (MN10810) können einzelne Tabelleneinträge für die allgemeine Benutzung gesperrt werden. Es ist möglich, Sachbearbeiter aufgrund ihrer Berechtigungsklasse oder ihrer Kennwort-ID gezielt für die Bearbeitung von einzelnen Tabelleneinträgen zuzulassen oder zu sperren. Die Berechtigungsklasse wird dem Sachbearbeiter über die Benutzeroptionen zugeordnet.
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Tabellensatzebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm "Benutzeroptionen verwalten" (MN10640).

Beispiel:
Ein Anwender darf sich aus der Tabelle FRD110 die Sätze AA bis B49 nur in der Firma 190 Anzeigen lassen. Andere Sätze dieser Tabelle kann er sich nicht anzeigen lassen. Andere Tabellen sind hiervon nicht betroffen. Folgender Datensatz muss hierfür angelegt werden:

Beim Aufruf der Tabellenverwaltung erhält er nun folgendes Bild:

Ruft dieser Anwender ein Programm auf, in dem er eine Mengeneinheit eingeben kann, bekommt er die eingeschränkte Auswahl angezeigt:

Berechtigungsstufe Tabellen (MN10640)

Hier wird angegeben, welche Tabellen ein Anwender verwalten darf. In der Satzartentabelle ist jeder Tabelle eine Bewertungskennziffer zugeordnet, die zwischen 1 und 9 liegen kann. Ein Anwender darf nur dann eine Tabelle verändern, wenn seine ihm hier zugeordnete Berechtigungsstufe größer oder gleich der Kennziffer dieser Tabelle ist.

Wird hier die Berechtigungsstufe 0 vergeben, so darf der Anwender keine Tabelle verwalten. Zum Verwalten der Satzartentabelle ist die Berechtigungsstufe 9 erforderlich.Derzeit existieren folgende Ausprägungen:

Änderungsberechtigung Tabellenarten

Neben den Angaben bei den Benutzerberechtigungen werden die Berechtigungsprüfungen für Tabellen auch in den "Tabellenarten" (TB12200) gesteuert.

Der Inhalt dieses Feldes steuert, ob ein Anwender das Programm TB12200, mit dem die Datei TTYPEP (Tabellenarten) verwaltet wird, im Änderungsmodus aufrufen darf. In dieser Datei sind die Zugriffsmechanismen und Steuerungsfunktionen für alle vorhandenen Tabellen hinterlegt.

Da die Verwaltung dieser Datei tiefgreifende Systemkenntnisse voraussetzt, sollten nur ausgewählte Personen Verwaltungsrechte haben. Der Zugriff über ein besonderes Berechtigungskennzeichen geregelt.

Tabellenarten (TB12200)

Mit diesem Programm wird die Tabellenartendatei TTYPEP verwaltet. Jeder Tabellenart wird hier eine Berechtigungsstufe zugewiesen, diese kann kundenindividuell angepasst werden.

Mit dem Setzen des entsprechenden Parameters Änderungsberechtigung Tab.arten kann über die Benutzeroptionen verwalten ein Bearbeiten der Tabellenarten unterbunden werden.

Bei der Tabellenart werden folgende Definitionen vorgenommen, die für die Berechtigungsprüfung von Bedeutung sind::

Datenberechtigung

Mit dem Programm "Berechtigungen verwalten" (MN10810) können einzelne Datensätze für eine allgemeine Benutzung gesperrt werden. Es wird definiert, wie die Datenberechtigungsprüfung für einen Anwender auszusehen hat. Hat ein Anwender nicht die entsprechende Berechtigung, so wird er mit einer entsprechenden Meldung zurückgewiesen.
Voraussetzung dafür, dass überhaupt für einen Anwender eine Berechtigungsprüfung auf Datenebene erfolgt, ist die Auswahl Selektiv für Datenberechtigung im Programm "Benutzeroptionen verwalten" (MN10640).

Diese Möglichkeit ist bei einer ausgewählten Anzahl von Stammdateien wie z. B. Teilestamm, Adressen, Lagerort, Personenkontenart und Steuerschlüssel realisiert. Die Prüfung erfolgt über Klassen.
Die zur Verfügung stehenden Klassen sind der  Tabelle FRDCLS zu entnehmen.

Über das Berechtigungsfeld des Programms MN10810 kann die Berechtigungsprüfung (Feld zur Prüfung bestimmen) der Klasse gesteuert werden. So kann man beim Aufruf eines Teils darüber steuern, ob über die Ident-Nummer, die Satznummer oder zum Beispiel über die Teilegruppe die Berechtigung geprüft werden soll.

Zum Ermitteln des Feldnamens ist wie folgt zu verfahren: Auf dem in Frage kommenden Feld (hier Teilegruppe) mittels ALT+rechte Maustaste klicken.

''Feldinformationen anzeigen'' im sich öffnenden Fenster auswählen:

Die Klasse zum gewählten Feld kann abgelesen werden:

Beispiele zur Vergabe von Datenberechtigungen

Arbeitsplatz APNR

Mit dem Berechtigungsobjekt APNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Arbeitsplätze definiert werden. Diese werden dann auch nur zum Verwalten aufgelistet.

Beispiel:
Ein Anwender soll aus der Menge aller Arbeitsplätze nur solche Angezeigt bekommen die mit D* und mit F* beginnen. Weiter soll er die Arbeitsplätze, die mit Drehen* beginnen, außer Anzeigen auch Ändern und Erfassen dürfen. Außerhalb dieses Bereiches soll der Anwender also keine Arbeitsplätze verwalten dürfen:

Der Eintrag in der Tabelle FRDCLS zu der Berechtigung bei Arbeitsplätzen (Klasse LAGO) muss wie folgt aussehen:

Ruft der Anwender die Arbeitsplatz Verwaltung auf, bekommt er nur eine aus den obigen Regeln resultierende Auswahl angezeigt. Möchte er einen Arbeitsplatz beginnend mit F* ändern wird er mit einer Fehlermeldung abgewiesen.

Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen ein Arbeitsplatz ausgewählt werden kann.

So wird beim Aufruf des Matchcode Arbeitsplätze (hier Kapazitätseinheit) nur die Arbeitsplätze angeboten, für die der Anwender auch anzeigeberechtigt ist

Teilenummer IDNR

Mit dem Berechtigungsobjekt IDNR können für einen Anwender oder eine Gruppe von Anwendern die jeweils verwendbaren Teilenummern definiert werden. Diese werden dann auch nur zur Auswahl angeboten.
Diese Berechtigungsvergabe wirkt sich auch in den Programmen aus, in denen eine Teilenummer verwendet wird (z. B. Teilestammverwaltung oder Auftragsverwaltung im VKS).

Der Anwender darf in obigem Beispiel in der Firma 190 nur mit den Teilen EP* arbeiten und hat nur die Transaktionsrechte Anzeigen und Ändern.
Der Eintrag in der Tabelle FRDCLS zur Berechtigungsprüfung der Teilenummer (Klasse IDNR) hierzu, muss wie folgt aussehen:

Es wird also auf die Teilenummer und nicht etwa auf die Zeichnungsnummer geprüft.
Versucht er mit dieser Einstellung ein Teil zu löschen erhält er folgende Nachricht:

Liegen keine "sprechenden" Teilenummern vor, so kann es sinnvoll sein jeden Datensatz mit einem Berechtigungsobjekt auf der Maske "Freigabe" zu versehen (Benutzerklasse Satz / TLBKSA). Dabei erhält natürlich nicht jeder Teilestamm ein eigenes Berechtigungsobjekt. Es wird vielmehr eine Gruppenbildung geben, die dann für mehrere Teilestämme gilt.

Soll hinter einer Klasse also nicht das eigentliche Haupt-Schlüsselfeld, sondern die Benutzerklasse Satz verwendet, so muss auch die Tabelle FRDCLS angepasst werden.
Hierzu muss in der Tabelle FRDCLS für die Klasse IDNR im Berechtigungsfeld der Eintrag TLBKSA eingestellt werden:

Das Dateifeld enthält einen dreistelligen alphanumerischen Wert. Mit Hilfe von Berechtigungsobjekten können dann verschiedene Bearbeitungsarten zugelassen werden:
In einem weiteren Beispiel soll die Berechtigungsvergabe über die Teilegruppe erfolgen. Hierzu muss in der Tabelle FRDCLS im Berechtigungsfeld TLTLGR eingetragen werden.

Die gewünschte Regel muss erfasst werden, hier nur Anzeigen und Ändern von Teilen mit Teilegruppe BB erlaubt:

Beim Aufruf des Teilestamms werden nun nur noch die Teile der Teilegruppe BB angezeigt. Wird nun eine nicht berechtigte Transaktion gewählt (z. B. Kopieren) wird folgende Nachricht angezeigt:

Adressen PKNR

Mit dem Berechtigungsobjekt PKNR kann die Adressberechtigung gesteuert werden. Man definiert die erlaubten Transaktionen innerhalb eines definierten Bereichs. Außerhalb des Bereichs hat der Anwender oder die Benutzergruppe automatisch nur noch Anzeige-Berechtigung.  Eine Berechtigungsregel für das Berechtigungsobjekt PKNR wird automatisch auf die Unterklassen KDNR (Kundennummer) und LINR (Lieferantennummer) übertragen.

Wichtig! Die Prüfung erfolgt auf der im Adress-Verwaltungsprogramm einer Adresse zugewiesenen Berechtigungsgruppe und nicht auf der Adresse selbst.

Hier kann ein Default angegeben werden, der bei der Neuanlage einer Adresse in die Adressberechtigungsklasse eingestellt wird. Wird hier auch der Sonderwert *ADRGRP angegeben, so wird die Adressberechtigungsklasse aus der Adressgruppe übernommen.

Im Programm "Adressgruppen verwalten" (US14900) kann je Adressgruppe eine Berechtigungsklasse hinterlegt werden. Mögliche Einträge müssen in der Tabelle FRDADB hinterlegt sein. In nachfolgendem Beispiel wird der Adressgruppe LF die Adressberechtigungsklasse S1 zugewiesen.

Die Berechtigungsgruppe kann auch direkt den Adressen zugeordnet werden:

Beispiel 1:
Ein Anwender soll für die Adressen, die der Berechtigungsgruppe A1 zugewiesen wurden, in der Firma 190 nur Anzeige Berechtigung haben. Es muss folgende Regel für das Berechtigungsobjekt PKNR erstellt werden:

Ruft der Anwender eine Adresse mit Adressberechtigung auf erhält er folgende Meldung:

Bei einer Vergabe von Berechtigungen für das Objekt PKNR hat dies auch Auswirkungen auf andere Programme, die ebenfalls ''adressabhängig'' sind, das heißt, die definierten Regeln kommen auch dort zum Tragen.

Beispiel 2:
Für einen Anwender wird eine Regel angelegt, die ihm nur die Verwaltung von Adressen mit Berechtigungsgruppe ungleich A1 (Richtung A):

Nachfolgend ruft dieser Anwender das Programm Einkaufsbelege verwalten auf und möchte die Belege eines Lieferanten sehen der der Berechtigungsgruppe A1 zugeordnet ist. Er wird abgewiesen:

Das geschieht auch beim entsprechenden Aufruf des Kundenstamms oder des Geschäftspartnerexplorers.


Ohne Berechtigungsvergabe:

Nach der Vergabe der Berechtigung für den Anwender wird die Adresse der Firma Yamato nicht mehr aufgelistet

Lagerorte LAGO

Mit dem Berechtigungsobjekt LAGO können für einen Anwender oder einer Gruppe die jeweils verwendbaren Lagerorte definiert werden. Es wird definiert, welche verwendet oder welche nicht verwendet werden können. Diese werden dann auch nur zur Auswahl angeboten.

Durch die drei obigen Regeln wird folgendes für den Anwender bewirkt:

1. Anzeigen / Inaktivieren / Reaktivieren von Lagerort 0000001 - 00000028
2. Anzeigen / Ändern von Lagerort 00000MH - 0000240
3. Anzeigen von Lagerort 0000241 – 0000777
4. Lagerorte außerhalb dieser Bereiche werden nicht angezeigt

Diese Berechtigungsvergabe wirkt sich in den Programmen aus, in denen ein Lagerort verwendet wird (z. B. Teilestammverwaltung oder Auftragsverwaltung im VKS) und im Verwaltungsprogramm für die Lagerorte selbst.

Funktionsberechtigung *FCT

Anwender und Berechtigungsklassen können über die Vergabe von Funktionsberechtigung für ausgewählte Menüs und/oder Untermenüs zugelassen bzw. ausgeschlossen werden. Dies ist also auch letztendlich eine Form der Programmberechtigungsvergabe.

Funktionsberechtigungen werden über das Berechtigungsobjekt *FCT definiert.

Im ersten Schritt müssen in den betreffenden Menü- und Untermenüs im Programm "Menüverwaltung" (MN10192) das Feld ''Funktionsberechtigung'' nach Wunsch gepflegt werden, z. B. durch den Eintrag ISM beim Menü ISM (Statistik):

Dann müssen die betroffenen Menükomponenten durch Anlegen eines Berechtigungsobjektes *FCT und einer geeigneten Berechtigungsklasse zusammengefasst werden. Als Beispiel wurde hier die Berechtigungsklasse MAWI verwendet:

In den Benutzeroptionen muss bei den Anwendern, für die diese Berechtigung ziehen soll die Programmberechtigung auf ''Selektiv'' stehen:

Die Zuweisung der Anwender zu einer Funktionsberechtigung erfolgt über den Eintrag der entsprechenden Berechtigungsklasse in den Benutzeroptionen.

Das Startmenü eines Anwenders wird dynamisch angepasst. Es werden nur die Menüs angezeigt, innerhalb der zulässigen Berechtigungsgrenzen liegen:

Hier werden zum Beispiel die Menüs Finanzbuchhaltung und Anlagenbuchhaltung oder Betriebsabrechnung nicht zur Auswahl angeboten.
Weiter sollte der Parameter ''Programme direkt aufrufen'' auf "Nein" stehen, da es sich ja um eine Programmberechtigung handelt:

Ein Belegberechtigungsobjekt steuert die Zugriffsberechtigung für Belege allgemein oder in einem Anwendungsgebiet. Es kann einem Anwender zugeordnet sein, sodass jeder von diesem Anwender erzeugte Beleg automatisch dieses Berechtigungsobjekt erhält, oder es kann bei der Erfassung eines Beleges explizit angegeben werden. Alle Zugriffe auf einen solchen Beleg unterliegen einer Berechtigungsprüfung.

Die Belegberechtigungsobjekte sind in der Tabelle FRDBBO zu hinterlegen. Über den List-Button kann eine Auflistung der gültigen Belegberechtigungsobjekte angefordert werden.
Ein Belegberechtigungsobjekt und die zugehörige Steuerung wird über das Programm "Benutzeroptionen verwalten" (MN10640) (Jobsteuer./Ben.kl.) einem Anwender zugeordnet.

Wenn erforderlich kann auch pro Anwendung ein Belegberechtigungsobjekt hinterlegt werden.

Über das Feld Steuerung Belegberechtigungsobjekt wird angegeben, ob die Angabe eines Belegberechtigungsobjektes für diesen Anwender bei der Erfassung eines Belegs zwingend ist, falls in dem Nummernkreiskennzeichen der jeweiligen Anwendung eine benutzerspezifische Pflichtsteuerung vorgegeben wurde.

Der hier anzugebende Steuerparameter wirkt sich für den jeweiligen Nummernkreis nur bei der Ausprägung "J" aus. Wird das Feld markiert, so muss dieser Anwender bei der Erfassung eines beliebigen Belegs ein Belegberechtigungsobjekt angeben. In diesem Fall sollte dem Anwender ein Default für ein Belegberechtigungsobjekt zugeordnet werden, damit das Belegberechtigungsobjekt nicht explizit eingegeben werden muss. Wird das Feld nicht markiert, so ist die Angabe eines Belegberechtigungsobjektes für diesen Anwender optional möglich.

Ob ein Belegberechtigungsobjekt zwingend anzugeben ist, wird primär über die Nummernkreiskennzeichen gesteuert.

Ob und wie für ein Belegartenkennzeichen mit Objektberechtigungen gearbeitet wird, wird über folgende Tabellen je Anwendungsgebiet gesteuert:

Bei der Definition eines Belegberechtigungsobjektes im Programm "Berechtigungen verwalten" (MN10810) wird gegen die Tabelle FRDBBO geprüft.

Beispiel:
Für einen Anwender ist in den Benutzeroptionen bzgl. der Belegberechtigung folgendes hinterlegt:

Es handelt sich hier also um eine Zugriffsberechtigung für Belege im Allgemeinen, also über alle Anwendungsgebiete hinweg.

Es können nun zum Beispiel in Tabelle FRD014 (Belegarten EKS) die Parameter für die Belegart BE (Bestellungen) bezüglich der Berechtigungsobjekte so gepflegt werden, dass eine Objekt-Angabepflicht besteht und dass das in den Benutzeroptionen hinterlegte Objekt automatisch beim Erfassen einer Bestellung herangezogen wird:

Diese Angaben können je Belegart unterschiedlich sein.

Des Weiteren wurde eine Belegberechtigung (*BLG) so vergeben, dass der Anwender nur die Belege mit Belegberechtigungsobjekt X01 auswählen kann und alle Transaktionen ausführen darf:

Über alle Anwendungen hinweg hat der Anwender für die Belege X01 an allen Transaktionen die Rechte.

Erfasst dieser Anwender nun eine Bestellung wird das Feld Belegberechtigungsobjekt automatisch mit X01 vorbelegt:

Ruft ein Anwender die Bestellverwaltung auf, sieht er die obige Bestellungen nicht, wenn er nur Berechtigung für das Belegberechtigungsobjekt EKS hat, aber nicht für X01. Um eine Belegberechtigung auf ein Anwendungsgebiet spezifizieren zu können, kann beim Anlegen eines Objektes das Kürzel für das Anwendungsgebiet angegeben werden.

Soll sich die obige Regel also nur auf VKS beziehen, so müsste man ein Objekt mit dem Namen *BLGVKS anlegen.

Neben dem übergreifenden Belegberechtigungsobjekt steht optional in den Benutzeroptionen das Belegberechtigungsobjekt für die jeweiligen Anwendungsgebiete zur Verfügung. Wird hier ein Wert angegeben, so wird dieser ausschließlich in den Programmen dieser Anwendung verwendet; ansonsten wird das übergreifende Belegberechtigungsobjekt benutzt.

Die Vorgehensweise beim Arbeiten mit den anwendungsbezogenen Belegberechtigungen ist entsprechend der mit der allgemeinen.

Feldberechtigung übergreifend *RFLD

Mit dem Berechtigungsobjekt *RFLD ist es möglich für einen Anwender oder für eine ganze Gruppe von Anwendern firmenspezifisch in der Anwendung Felder zu verbergen oder zu schützen.

Nachfolgend soll für einen Anwender das Feld Teilegruppe (TLGR) geschützt werden und das Feld Zeichnungsdatum (ZGDT) in der gesamten Anwendung nicht angezeigt werden.

Beim Aufruf eines Teils bekommt der Anwender auf Grund der obigen Regeln das Zeichnungsdatum nicht mehr angezeigt. Die Zeile, die sich normalerweise zwischen Zeichnungsnummer und –format befindet, wird gänzlich ausgeblendet.
Weiter ist die Teilegruppe auch nicht mehr änderbar.

Dokumentenberechtigung *DMS / Archivierung

Das in oxaion integrierte Dokumentenmanagementsystem erfordert eine dedizierte Berechtigungsvergabe: Für jedes Dokument oder für jeden Ordner müssen für den einzelnen Anwender oder für eine Benutzergruppe Berechtigungen vergeben werden können

Jedes Dokument besitzt einen Eigner. Dieser Eigner kann über die Eigenschaften im Kontextmenü eingesehen und mit Masterberechtigung geändert werden.

Grundsätzlich wird der Eigner mit dem Anwender vorbelegt, welcher das Dokument oder den Ordner im Dokumente-Knoten anlegt. Wird ein Eigner in einem Ordner hinterlegt oder ist bereits hinterlegt und es wird ein neues Dokument dem Ordner hinzugefügt, vererbt sich der Eigner nicht, sondern der Sachbearbeiter, welcher das Dokument in den Dokumente ablegt wird als Eigner eingestellt.

Ein Eigner hat das Recht ein Berechtigungsobjekt zu hinterlegen, zu ändern oder zu löschen. Über dieses Berechtigungsobjekt kann der Eigner zum Teil selbst die Berechtigungen für die einzelnen Personen steuern.
Neben dem Eigner gibt es noch Anwender, welche grundsätzlich berechtigt werden können, alle Dokumente zu verwalten. Um einem Anwender solche Berechtigungen zuzuweisen muss in den Benutzeroptionen die Berechtigung für Dokumente aktiviert werden.

Neben dem Eigner ist es außerdem möglich, auch ein Berechtigungsobjekt zu vergeben. Über dieses Berechtigungsobjekt lassen sich dedizierte Berechtigungen für die Neuanlage, das Ändern, das Kopieren und das Löschen von Dokumenten vergeben. Es ist ebenfalls steuerbar, ob ein Anwender ein Dokument versionieren oder archivieren darf. Die Berechtigungen werden im Programm "Berechtigungen verwalten" (MN10810) mit dem Berechtigungsobjekt *DMS hinterlegt.

Beispiel: Ein Anwender soll für die Dokumente innerhalb einer definierten Grenze nicht löschen dürfen:

Beispiel: Ein Anwender soll Ordner innerhalb einer definierten Grenze nur erfassen:

Explorer-Knotenberechtigung *NODE

Mit dem Berechtigungsobjekt *NODE ist möglich in Programm-Explorer Berechtigungen für Knoten zu vergeben. Der Knoten ist dann für einen Anwender verborgen, er kann ihn also nicht auswählen.

Zum Beispiel kann man einem Anwender im Teilestamm-Explorer den Knoten Produktionsdaten (UTLST4) entziehen. Folgende Regel muss hierfür erstellt werden:

Nach dem aktivieren der Regel wirkt sich das für Anwender wie folgt aus:

Zum Ermitteln des Knotennamens muss der betroffene Knoten ausgewählt und der blaue Punkt geöffnet werden

Die Knoten-Information liefert den Namen:

Grundsatzfragen

Wo werden Berechtigungen geprüft

Firmenberechtigung

Die Firmenberechtigung wird bei der Anmeldung und dort auch beim Matchcode für die Firmen explizit geprüft. Im weiteren Ablauf ist dann das Firmenfeld in die übliche Prüfung der Datenrechte eingebunden.

Programmberechtigung

Die Berechtigung für den Programmaufruf wird geprüft

• durch Programm MN10209J
• Beim Aufbau der Menüs (falls ein Berechtigungsprogramm hinterlegt ist)
• Bei der direkten Eingabe eines Menübefehles
• Bei "Senden An"
• durch Programm US60302J
• Beim Aufbau des Menübaumes/der Tabelle der Folgemasken für das Auskunftssystem

Die Transaktionsberechtigung für das Programm (Ändern/Löschen …) wird beim Programmstart ermittelt.

Datenberechtigung

Die direkte Prüfung der Datenrechte erfolgt:

• In den ..._get-Modulen (rtv… und get…) mit den jeweiligen Transaktionen (*READ, *GET …..)
• In den ...Check-Modulen (cky… ) mit den jeweiligen Transaktionen (*NEW, …)

Die Prüfung für die Auflistungen ist direkt ins Listframework eingebunden. Dort wird der SQL-Befehl ggf. um die Bedingungen für die Berechtigung ergänzt (Listprogram - firstlist - setRecortAuthority).

Wie wird geprüft

Beim Start einer neuen Sitzung werden alle relevanten Berechtigungsdaten (MN10810) einmalig geladen.

Relevant sind alle Daten mit

• Kennwortidentifikation leer oder = aktuelle Kennwortidentifikation
• Berechtigungsklasse = leer oder
• Berechtigungsobjekt = FIRM und Berechtigungsklasse = Berechtigungsklasse Firmen (aus den Benutzeroptionen)
• Berechtigungsobjekt = *PGM und Berechtigungsklasse = Benutzerklasse Programme (aus den Benutzeroptionen)
• Alle anderen Berechtigungsobjekte und Berechtigungsklasse = Berechtigungsklasse (aus den Benutzeroptionen)
• Firma = leer oder = aktuelle Firma

Diese Daten werden in der Reihenfolge sortiert:

• Firma absteigend
• Kennwortidentifikation
• Benutzerklasse
• Einschließlich / Ausschließlich
• Einzelwert/von-bis

Einzelprüfungen (in den …_get-Modulen)

Bei der Einzelprüfung werden nun diese Daten in der angegeben Reihenfolge abgearbeitet.

Wird ein zutreffender Satz gefunden (Inhalt des Berechtigungsobjektes liegt in den angegebenen Grenzen) so wird

• Bei einschließlicher Prüfung der Funktionswert der Transaktionsberechtigung zurückgeliefert
• Bei ausschließlicher Prüfung der Wert "nicht berechtigt" zurückgeliefert

Falls kein zutreffender Satz gefunden wurde, so wird,

• Falls ausschließliche Berechtigungsdaten vorhanden sind, wird der Funktionswert der Transaktionsberechtigung mit den ersten ausschließlichen Datenkennzeichen zurückgeliefert
• Falls keine ausschließliche Berechtigungsdaten vorhanden sind, so wird "nicht berechtigt" zurückgeliefert

Im Allgemeinen wird als Feldinhalt für die Prüfung der Inhalt des Feldes selbst verwendet (z. B. Ländernummer). Es kann aber über die Klasse ein abhängiges Feld einer anderen Tabelle definiert werden. In diesem Fall wird der Inhalt des abhängigen Feldes für die Prüfung verwendet
(Adressberechtigungsklasse PKADBK für Klasse PKNR)

Erweiterungen der Abfrage in Listprogrammen

Auch hier wird die Liste der relevanten Daten in der angegeben Reihenfolge abgearbeitet.

Für jede einschließliche Prüfung wird eine Bedingung der Form hinzugefügt:

"and (case when Feld is null then 1 when Feld = "then 1 when Feld between von and bis then 1 else 0) = 1"

Für jede ausschließliche Prüfung wird eine Bedingung der Form hinzugefügt:

"and (case when Feld is null then 1 when Feld = "then 1 when Feld between von and bis then 0 else 1) = 1"

Im Allgemeinen wird hier für "Feld" das eigentliche Datenfeld verwendet. Es kann aber über die Klasse ein abhängiges Feld einer anderen Tabelle definiert werden (z. B. das Berechtigungsobjekt PKADBK der Adressen Klasse PKNR).

Dann wird ggf. noch eine Join-Verknüpfung der Abfrage angefügt und das abhängige Feld dafür eingesetzt
 

Transaktionsrechte

Was wird geprüft

Einzelprüfungen

Bei den Einzelprüfungen (get… rtv…) werden alle Felder des aktuellen Datensatzes, für deren Klassen Berechtigungsdaten hinterlegt sind, geprüft.

Da nun innerhalb der chk-Methoden wiederum Prüfungen mit rtv-Methoden durchgeführt werden, können durchaus unangenehme Nebeneffekte auftreten.

Beispiel :
Anwender NOAUT hat nur Rechte an der Firma 190, darf also andere Firmen nicht einmal ansehen. Dieser Anwender verwaltet nun Teilestammsatz xy. Dieser Teilestammsatz xy hat auch einen Disponenten. Dieser Disponent wird via rtvMkenw geprüft.
Nun hat dieser Disponent in seinen Benutzeroptionen als Standardfirma die Firma 990 hinterlegt

• Der Anwender NOAUT hat an diesem Disponent keine Rechte
• Der Anwender NOAUT darf den Teilestammsatz xy nicht verwalten.

Listprogramme

Bei den Listprogrammen werden für jedes Feld der aktuellen Datei, für dessen Klasse Berechtigungsdaten hinterlegt sind, die Bedingungen hinzugefügt (ggf. mit zusätzlichen Joins). Dasselbe geschieht auch für zusätzliche Prüfungen, die via extRtv… definiert sind.
Auch das kann analog den Einzelprüfungen dieselben unerwünschten Nebeneffekte haben.