ABAP - Autorisation et développement.







L’objet de ce Tuto est de fournir des aides aux développeurs sur les objets d’autorisation. La création de rôles n’est pas comprise dans ce Tuto ainsi que 
l’utilisation de la transaction PFCG. 


Définition:

Rôle :Le rôle définit les autorisations d’un ou plusieurs utilisateurs.
        On crée, modifie et affiche les rôles par la transaction PFCG.




Lorsque l’on affiche le rôle on obtient une liste d’onglets permettant de gérer le rôle.On modifie des autorisations dans un rôle en modifiant le menu du rôle :




On peut aussi attribuer directement des autorisations des objets d’autorisation par l’onglet autorisation mais il est fortement déconseillé de passer par cet onglet 
pour construire un rôle ou pour modifier de façon importante un rôle. Cet onglet permet plus particulièrement d’ajouter des objets spécifiques à un rôle.

La liste des objets est visible via le bouton : ‘Afficher données d’autorisation’ de l'onglet autorisation.



Chaque ligne correspond à un groupe d’autorisation qui contient divers objets d’autorisation.



L’onglet ‘Utilisateur’ va permettre d’affecter le rôle créé aux utilisateurs. 
Il est dorénavant déconseillé de passer par la transaction SU01 pour affecter des profils ou des rôles.




Transaction Utile:

		La transaction SU03

Cette transaction donne la liste des objets d’autorisation par classe d’objet, elle permet aussi de trouver l’ensemble des objets d’autorisation d’une classe 
d’objet et la documentation liée à ces objets.




En double-cliquant sur une des lignes , on obtient la liste des objets d’autorisation pour cette classe.

Classe FI:



On peut ensuite afficher les zones correspondant à l’objet en cliquant une fois sur l’objet et en sélectionnant le bouton : Afficher zones.


		Transaction SU01




Elle permet de gérer les données utilisateurs : adresse, constantes, paramètres, etc.
Mais permet aussi de voir les rôles et les profils rattachés à un utilisateur via l'onglet Role.



		Transaction SU53

La transaction SU53 permet d' afficher les données d'autorisations et de connaître l’objet d’autorisation testé ainsi que les valeurs pour cet objet lors 
d’un problème d’autorisation.
Le user ABAPDEV essaie d’afficher une demande d’achat par la transaction ME53N et rencontre le message suivant :  "Vous n 'avez pas d'autorisation...
"Il tape alors dans la fenêtre de transaction : /NSU53 juste après avoir eu le message. 
Il obtient alors un descriptif de l’objet d’autorisation qui a été testé avec sa classe 
d’objet et la valeur qui a été testé pour cet objet ainsi que les valeurs que cet utilisateur possède pour cet objet dans ces rôles,bien pratique.


		Transactio  SU24



A l execution on clic surle bouton ‘Code contrôle’ pour afficher la liste des objets gérés et contrôlés :





On choisit le bouton ‘Valeurs de zone’ pour afficher les valeurs des zones des objets gérés :




		Transaction SUIM


Cette transaction correspond au système d’information des autorisations.





Ce système d’information permet entre autre de :

lister des profils à partir :
•	du nom et texte du profil
•	d’un rôle
•	d’une autorisation contenue
•	d’une valeur d’autorisation

lister des objets d’autorisation à partir :
•	du nom et texte de l’objet
•	de la classe d’objet

lister des rôles par :
•	affectation d’utilisateurs
•	affectation de transactions
•	objet d’autorisation

lister des transactions :
•	exécutables pour utilisateur
•	exécutables avec profil


Le système d’information est très utile aussi pour obtenir le nom technique des champs d’un objet d’autorisation :


		Transaction ST01




Cette transaction correspond à la trace système.Elle permet entre autre de tracer les autorisations testées lors d’opérations effectuées par un utilisateur.
On choisit alors de tracer le contrôle d’autorisation (Composante trace : Cocher Ctrle autorisations).
En pratique, on ouvre un mode pour la trace qui va nous servir à activer, désactiver et lister la trace. On travaille dans un second mode.
Par exemple pour tracer les autorisations de la transaction ME53N. On ouvre un mode avec ST01 et un mode initial sur le menu SAP.

On sélectionne ‘Ctrle autorisations’.
On active ensuite la trace.
Dans le mode initial, on tape ME53N et on valide.
On desactive ensuite la trace on liste .

On double clique sur la trace et on obtient une boîte de dialogue pour l’analyse. 
On choisit ‘Trace pour contrôles autorisations’ et on indique le user.
On obtient différentes information et en particulier la liste des objets contrôlés ainsi que les valeurs de ces objets :


		Utilisation ABAP AUTHORITY-CHECK

Basic form 
AUTHORITY-CHECK OBJECT object ID name1 FIELD f1 
  ID name2 FIELD f2 
  ... 
  ID name10 FIELD f10. 

	Exemples
	Dans un programme ABAP : en général

    authority-check object 'Q_CHAR_PRC'
         id 'WERKS' field g_qiwltab-prplatzwrk
         id 'ARBPL' dummy
         id 'QESTATOLD' dummy
         id 'QESTATNEW' field '6'.
    if sy-subrc ne 0.
Message d' erreur,suppression d' une ligne cas boucle dans table interne...
    endif.


Ce que l’on vérifie dans l’authority-check c’est donc le code retour. En testant le code retour on peut obtenir l’information sur les autorisations du user.
Dans un programme ABAP : pour bloquer l’accès à une transaction spécifique
Dans l’évènement ‘Initialization’ :

authority-check object 'S_PROGRAM'
        id 'P_ACTION' dummy
        id 'P_GROUP' field 'ZCO01000'.

  if sy-subrc <> 0.
    message id 'Z3' type 'A' number 002 with 'Utilisateur non autorisé'.
  endif.

Dans les propriétés d’un programme ABAP



		Transaction SE55
		Le générateur de gestion de table 

Il faut au préalable créer dans le ‘Générateur gestion de table’ un nouveau groupe 
d’autorisation :




On crée ici un nouveau groupe d’autorisation que l’on affectera à notre table.L’objet lié au groupe d’autorisation d’un table est : S_TABU_DIS.


		Aide sur la zone :

Groupe d'autorisations auquel un programme est affecté. Le système vérifie l'appartenance d'un utilisateur à une groupe d'autorisations :

•	avant l'exécution ou l'édition d'un programme
•	(--> objet d'autorisation S_DEVELOP)
•	lors de la gestion des attributs
•	lors de l'utilisation d'autres utilitaires propres au développement.
•	(--> objet d'autorisation S_PROGRAM)

Utilisation
Dans la bliothèque des programmes
Protection de l'accès.