Никогда не заморачивалась системой полномочий. думала что все прекрасно разводится в ролях. Но совсем недавно обнаружила, что report - овские отчеты не сильно и смотрят на прописанные полномочия. Т.е. если у меня в роли в полномочиях стоит БЕ ХХХХ, а в отчете Report Painter есть на экране выбора поле БЕ, я спокойно могу просмотреть отчет по любой БЕ, которую выберу.
А скажите, есть ли проверки по полномочиям при выполнении ABAP- отчетов. Т.е. в такой же ситуации при выборе, к примеру БЕ YYYY будет ли выдано сообщение, что у меня нет полномочий на данную БЕ?
Если стандартно - нет, как обеспечивается программа полномочий.

Например вот так :

AT SELECTION-SCREEN ON BUKRS.
AUTHORITY-CHECK OBJECT 'F_BKPF_BUK'
ID 'BUKRS' FIELD BUKRS
ID 'ACTVT' FIELD '03'.

IF SY-SUBRC NE 0.
....(Выдать нужное сообщение)
ENDIF.

А тогда вопрос в дополнение, как создать свои полномочия, чтобы проверять полномочия на доступ к полям не относящимся к SAP. т.е. не стандартным.
Конкретный пример - необходимо ограничить доступ к выполнению отчетов для определенных ролей.
А в идеале, например - выводить для редактирования строки из таблицы согласно полномочиям.

Как создать - можно так:
SE80 - обработать объект - закладка "Другие" - Объект полномочий.

Подскажите, я правильно понимаю следующий момент.
Но по порядку.
Задача - ограничить запуск отчетов, прог и т.д.
Я сделал роли для ограничения полномочий по группам пользователей. Полномочия по объектам дается через поле "группа полномочий". Пример - нельзя посмотреть лицевой счет пользователю, если у него в роли стоит значение, отличное от значения этого поля в счете. Т.е. стандартный функционал работает. Теперь надо разобраться с отчетами. ФМ Authority-Check чекает объект полномочий в целом, без конкретики. Т.е. вначале нужно выбрать из БД значение поля по какому-либо счету, вставить в ФМ юзера и все что нужно, в том числе и значение поля, взятое из БД. При отрицательной проверке запретить. Теперь вопрос - можно ли обойтись без выборок значений поля авторизации, т.е. конкретно применять авторизацию, с указанием конечного объекта?
Спасибо.

1. ограничить запуск прог и отчетов можно через ограничение на транзакции, и соответственно вызывать эти проги тоьлко через транзакции, запретив вызов se38 и ей подобных ...
2. проверять объект полномочий можно и без конкретных параметров, например, указав в качестве значений DUMMY ... ток вот на вскидку не помню, если объект полномочий у пользователя отсутствует, какой sy-subrc вернется ... но сдается мне, что не 0 ...

**** ---------------------- MAIN -------------------------*****
START-OF-SELECTION.
AUTHORITY-CHECK OBJECT 'M_MATE_WRK'
ID 'WERKS' FIELD p_werks
ID 'ACTVT' FIELD '03'.
IF sy-subrc <> 0.
WRITE:/ 'НЕТ ПОЛНОМОЧИЙ НА ЗАВОД:', p_werks.
STOP.
ENDIF.
***
Думаю с БЕ то-же только AUTHORITY-CHECK OBJECT - другой!

В целом понятно, как работать с существующими объектами полномочий. Но у меня такое ощущение, что мне необходимо создать собственный объект полномочий.
Опишу ситуацию: в системе есть несколько таких контрагентов, которые нельзя показывать никому. Нельзя показывать даже основные данные. Однако стандартные объекты полномочий не дают возможности выбирать код кредитора/дебитора. Более того, их даже копировать нельзя, чтобы на их основе сделать что-то своё.
Конечно, есть вариант создать группу счетов для этих кредиторов, но, согласитесь, это не самое приятное решение.
Подскажите, как мне быть?

Могу прислать описание "Проверка полномочий в ABAP программах". Очень хорошо описано. Но у вас нет E_MAIL.

для своих полномочий тр su20 su21 su22

Любаша, а можно мне описание на troshkov()mtservice.ru

Поправил аватар. С нетерпением жду!

Кстати, я за это время худо-бедно создал объект полномочий, но реально нигде вводимые мной ограничения не проверяются. Стандартные средства поиска прописаны в программах (authority-check).
Я добавил свой объект полномочий в транзакции через su22, su24. Но проверок все равно никаких нет. Руки опустились.

А больше всего меня смутила ситуация, что полномочия никак не влияют на средства поиска. Допустим, при просмотре кредитора (fk03,xk03) средство поиска вываливает все записи которые есть в системе, даже не обращая внимания на ограничения в стандартных объектах полномочий.
Конечно, посмотреть данные дальше нельзя, но в моем случае необходимо добиться, чтобы некоторые контрагенты вообще не светились перед "рядовыми пользователями" SAP.

Тогда надо ещё немного будет поабапить, модифицирую стандартные саповские объекты (и средства поиска в том числе) и добавляя проверку полномочий в соответствии с вашими объектами полономочий.

Ну, да... написано неплохо. Появилась некая чёткая последовательность действий. Однако, в описании приводится пример для собственной транзакции. Разве нельзя никак на стандартную транзакцию навесить эти ограничения?
Скажите мне кто-нибудь: что надо сделать, чтобы в стандартных транзакциях появилось authority check для новых объектов? Разве su24 этого не делает?
Или действительно новые объекты полномочий могут быть использованы только в своих программах и транзакциях?

Ничего не сделаете, кроме прямой модификации стандартных программ SAP со всеми вытекающими...

Однако, Сергей прав: не существует никакого другого способа проверки полномочий кроме AUTHORITY-CHECK (т.е. программного способа). При отсутствии желания возиться с ABAP создавайте для отчета транзакцию и используйте стандартный объект полномочий S_TCODE