Делегировать управление пользователями и ролями

sunchee

Добрый день!
Подскажите, как делегировать права на управление учетными записями пользователей и ролями, а именно чтобы дать возможность сотруднику:
- создавать, редактировать учетные записи
- создавать редактировать роли
- назначить и редактировать назначения ролей учетным записям
- не быть при этом полным админом (без SAP_ALL)

Попробовал назначить роли
SAP_BC_USER_ADMIN
SAP_BC_BASIS_ADMIN
SAP_BC_AUTH_DATA_ADMIN
SAP_BC_AUTH_PROFILE_ADMIN - пользователи создаются, но роли им редактировать не дает (ошибка "нет полномочий на присвоение ролей").

Буду признателен за помощь.

Ice_age

ADM 940 ABAP AS Authorization Concept :rtfm:

sunchee

Спасибо конечно, есть у меня этот ADM940, 380 страниц английского текста ...

Пока найденное частичное решение: роль SAP_BC_USER_ADMIN + подредактировать ее, добавив действие 22 (присвоить) и перегенерировать профиль
Недостаток решения: пользователь может сам себе повышать права

Skif

sunchee написал(а):

Спасибо конечно, есть у меня этот ADM940, 380 страниц английского текста ...

Пока найденное частичное решение: роль SAP_BC_USER_ADMIN + подредактировать ее, добавив действие 22 (присвоить) и перегенерировать профиль
Недостаток решения: пользователь может сам себе повышать права

Сложные проблемы обычно имеют простые неправильные решения

sunchee

Так если Вы говорите, что оно неправильное, то будьте добры, подскажите какое решение у проблемы правильное...

Ice_age

sunchee написал(а):

Так если Вы говорите, что оно неправильное, то будьте добры, подскажите какое решение у проблемы правильное...

Правильное иметь хоть какое-то представление о концепции ролей и полномочий, а не отмахиваться - "есть у меня этот кирпич на 380 листов, ножку стола подпирает, оч.удобно". Правильно это не трогать роли принадлежащие САП.
Вот реально, без обид, вы фактически приходите и говорите - ребят я вот в этом вообще не понимаю и понимать не хочу просто дайте мне список объектов, мне для работы надо, начальство задачу поставило.

katko

А Вы не хотите просто создать отдельную роль для админ. ролей?
Или Вы хотите именно стандартными ролями воспользоваться?

Можно разрулить след. полномочиями:
S_USER_AGR Система полномочий: проверка для ролей
S_USER_AUT Ведение основных записей пользователей: полномочия
S_USER_GRP Ведение основных записей пользователей: группы пользователей
S_USER_PRO Ведение основных записей пользователей: профиль полномочий
S_USER_SAS Ведение осн. данных пользователя: специф. сист. присвоения
S_USER_SYS Ведение ОснЗпсПользователей: система для ЦентральнВедПользов
S_USER_TCD Система полномочий: транзакции в ролях
S_USER_VAL Система полномочий: значения полей в ролях

Ice_age

Да я злой, но почему так сложно провести просто пару итераций?
1. почитал хоть какую-то доку
2. открыл pfcg, посмотрел стандартные роли
3. открыл su21, посмотрел-почитал для чего конкретные объекты полномочий
4. запилил свою роль
5. потестил
6. столкнулся с проблемой и перешел к п.1
:pivo:

sunchee

Вопрос почти решен. katko, спасибо за список нужных полномочий!

Правила форума

Делегировать управление пользователями и ролями

Кто сейчас на конференции