Übersicht
Je nach Perspektive sind unterschiedliche Berechtigungen erforderlich, wir unterscheiden hier im Wesentlichen diese drei Rollen:
  1. Anwender
    Hier ist grundsätzliche eine Berechtigung zum Ausführen von S10 Anwendungen erforderlich. Zudem muss ggf. eine im Programm festgelegte Rolle zugewiesen sein. Weitere Berechtigungsprüfungen obliegen dann dem Entwickler innerhalb der jeweiligen Anwendung, z.B. für Tabellenzugriffe, Aufruf von Funktionsbausteinen und so weiter.

  2. Entwickler
    Grundsätzlich benötigt ein Entwickler die Berechtigungen zum Pflegen von ABAP Programmen und dem Bearbeiten von Objekten im MIME-Repository. Für weitere optionale Funktionen wie Debugging, Anwendungs- oder Systemtrace etc. sind dann noch weitere Berechtigungen erforderlich.

  3. Administratoren
    Für den Betrieb einer S10 Anwendung müssen unterschiedliche SAP-Komponenten gepflegt werden, insbesondere der SAP ITS (Internet Transaction Server). Sie finden eine Beschreibung der SAP-Transaktionen und ihre Verbindung zum S10 Framework im Kapitel "nützliche SAP-Transaktionen".
1. Berechtigungen für S10 Anwender
Die Anmeldung bei einer S10 Anwendung erfolgt grundsätzlich mit dem jeweiligen SAP-Benutzernamen. Der Benutzer muss die Berechtigung für das Ausführen der Transaktion /S10/MAIN haben. Weitere Berechtigungen müssen dann in der jeweiligen ABAP Klasse vom Entwickler geprüft werden.



Prüfen einer bestimmten Rolle
Wird bei Angabe der S10 Lizenz der Parameter "role=" gesetzt, prüft das S10 Framework bei der Anmeldung eines Benutzers zusätzlich, ob ihm diese Rolle im SAP System zugewiesen wurde. Ist dies nicht der Fall, ist eine Anmeldung nicht möglich: 
* set S10 license
    s10setlicense( 'Demo license number=100
 role=s10demo_role maxusers=10 signature=1.2.3' ).

Beispiel für eigene Berechtigungsprüfung:
Sie können in einer S10 Klasse Standard SAP-Berechtigungsobjekte prüfen oder auch selbst angelegte, wie hier in diesem Beispiel. Ist die Berechtigungsprüfung nicht erfolgreich, gibt das S10 Framework eine Fehlermeldung am Frontend aus und beendet die weitere Verarbeitung an dieser Stelle im Coding: 
* Use a self defined authority object
    authority-check object 'Z_S10_BARC'
      id 'ACTVT' field '10'.

* not authorized -> message to user and stop processing
    if sy-subrc <> 0.
      s10errormessage(
         exporting
          msgid             =     'CACSIB'
          msgno             =      503
      ).
    endif.
2. Berechtigungen für S10 Entwickler
Die Entwicklung von S10 Anwendungen folgt dem MVC (Model View Controller) Prinzip. Die Anwendungslogik wird im Wesentlichen in einer ABAP Klasse realisiert. Hierfür benötigt der Entwickler entsprechende Berechtigungen. Die Views werden in HTML realisiert und anschließend im MIME-Repository abgelegt, wofür wiederum die Berechtigungen zum Ändern dieser Objekte notwendig sind.

Hier sehen Sie die minimal notwendigen Berechtigungen dafür, wobei in diesem Beispiel keine Einschränkung auf bestimmte Entwicklungsobjekte gesetzt ist:


3. Berechtigungen für S10 Administratoren
Für die Installation, Konfiguration und Überwachung des S10 Framework sind unterschiedliche Berechtigungen notwendig, je nachdem, welche Aufgaben in welchem Umfang durchgeführt werden sollen.
Grundsätzlich müssen bei der Installation die S10 Komponenten in das System transportiert werden (TA STMS). Darüber hinaus gibt es eine Reihe an Transaktionen und Werkzeugen für die Administration der Anwendungen z.B. den Anwendungslog, System-Trace, ICM Monitor und die Administration des Fiori Launchpad. Weite Informationen dazu finden Sie im Kapitel "nützliche SAP-Transaktionen".

Komponente S10 Framework