Добрый вечер!

1. Как можно запретить доступ к конкретным программам (например через se38) и таблицам (sm30)?

2. Как ограничить доступ к конкретным таблицам только чтением?

3. Из программы вызывается транзакция, какой механизм использовать для контроля полномочий на эту транзакцию (кому-то надо запретить, а кому-то разрешить)?

Спасибо!

1. Объект полномочий S_DEVELOP.
1.1 и так же S_PROGRAM, группу полномочий можешь в свойствах найти.
2. Объект полномочий S_TABU_DIS, только сначала надо посомтреть какая группа полномочий у таблицы смотреть в se54 и там же можно присвоить.
3. просто кому надо даешь полномочия, которые проверяются при работе транзакции, кома не надо не даешь.

В SAP нельзя запретить, можно только НЕ разрешить.

Johnny_nvkz, спасибо! С программами всё получилось. С таблицами делаю по аналогии, но не получается.
В роль добавляю объект S_TABU_DIS, в поля ACTiViTy и authorizationGroup ставлю звездочки, но всё равно пользователю нет доступа к таблицам в se11.
Что не так делаю?

А как быть с группами функций? Как управлять полномочиями на запуск функций?

Во всех случаях, когда у пользователя что-то не получается по причине отсутствия полномочий, помагает трассировка в ST01.

S_TABU_DIS это полномочие на ведение таблиц через SM30 sm31,
se11 тут не причем
se11 это же ведение словаря а не таблицы. пользерам нечего там делать.

понял.

1. а на функции как давать права (надо разрешить вызов функций из транзакции)?

2. Предположим у пользователя есть куча профилей. И в одном из них к несчастью дан доступ ко всем программам. Получается, не меняя эти профили, я никак не смогу запретить доступ к конкретной программе? Ведь я могу только разрешать...

По второму пункту именно так.
а на счет функций я наверное не очень понимаю о чем речь.

в классе разработки (package) кроме программ, таблиц, транзакции есть группы функций (function groups), каждая из которых содержит функциональные модули. Как понимаю, эти функциональные модули вызываются из программ и на них надо дать права.

ну в S_DEVELOP есть Object Type FUGR - Function Module group
ну на него и раздвай права

в ведении профиля встань на S_DEVELOP и нажми F1 там расписано на какие типы объектов можно раздвавать права.

S_DEVELOP дает право просматривать/менять код функционального модуля.
Часто для вызова чего-то существенного из транзакции необходимо иметь определенное Activity для объектов.
Я бы советовал включить трассировку в ST01 и сделать несколько тестов, чтобы понять, что проверяется при вызове различных функций.

S_TABU_DIS это полномочие на ведение таблиц через SM30 sm31,
se11 тут не причем
se11 это же ведение словаря а не таблицы. пользерам нечего там делать.[/quote]


S_TABU_DIS - объект полномочий на просмотр (изменение) СОДЕРЖИМОГО таблиц (транзакции: sm30, se16, se11 и т.д.)