SAP Identity Management (IdM) verwendet zum Auslesen von Tabellen des Application Server ABAP (AS ABAP) den Funktionsbaustein RFC_READ_TABLE. Damit lassen sich beispielsweise innerhalb von Initial-Load- und Update-Jobs Wertehilfen für Anreden und Titel laden. Oftmals wird der Baustein auch dafür genutzt, Daten aus SAP HCM (Human Capital Management) für eine HR-Integration zu laden, beispielsweise die Tabellen PA0000, PA0001 etc.

 

Daten für SAP IdM nicht mehr lesbar

Mit einem neuen Basis-Release (mindestens 0026) wurden die Funktionalitäten und die Datenstrukturen des Funktionsbausteins RFC_READ_TABLE geändert. Das hat zur Folge, dass SAP IdM keine Daten mehr über diesen Baustein lesen kann. Das Symptom ist eine leere Wertemenge, es werden keine Daten zurückgegeben.

 

Einspielen einer SAP Support Note

Um SAP IdM das Lesen von Daten wieder zu ermöglichen, muss die SAP Support Note 2246160 eingespielt werden. Damit stehen die bisher verwendeten Datenstrukturen wieder zur Verfügung und die Rückgabewerte sind wieder korrekt.

 

PFCG-Rolle konfigurieren

Da mit dem Funktionsbaustein RFC_READ_TABLE potenziell jede Tabelle ausgelesen werden kann, wird empfohlen, die Berechtigungen des von SAP IdM verwendeten Kommunikationsbenutzers einzuschränken und ihm nur Zugriff auf Tabellen zu gewähren, die er benötigt. Solche maßgeschneiderten PFCG-Rollen auf Basis eines Berechtigungstrace lassen sich beispielsweise mithilfe von SECMENDO.authority_generator erstellen.

 

Sie möchten die Benutzerrollen und Zugriffsrechte Ihrer Anwender managen?

Entdecken Sie SAP Identity Management

Weitere interessante Beiträge: