הרשאות בעולם UI5 – חידושים שכדאי להכיר

היי חברים,

השבוע נסקור היבטים שונים של הרשאות בעולם של SAPUI5, ואיך זה בא לידי ביטוי בפתרונות סטנדרטיים ולא סטנדרטיים המבוססים על SAPUI5. בניוזלטר זה נסקור את אופן מימוש ההרשאות בארבעת עולמות תוכן הבאים (הם שונים במהותם גם מבחינה עסקית וגם טכנית):

הרשאות לסביבת SAP NetWeaver Gateway
הרשאות SAP Fiori Launchpad
הרשאות עבור שירותי ODATA
הרשאות אפליקטיביות (ברמת האוביקט / פעילות)

הרשאות SAP NetWeaver Gateway

מכיוון שמדובר במערכת נפרדת (לפי המלצה של SAP) אנו נתחיל ביסודות – לתת הרשאות למשתמשים בהתאם לתפקידם במערכת. אלו הרשאות תשתית כלליות שנדרש לתת לכולם עוד לפני שמתחילים לרדת לרזולוציה עסקית.

משתמשי קצה רגילים – תבנית /IWFND/RT_GW_USER
מפתחים – /IWFND/RT_DEVELOPE
אדמיניסטרטורים – /IWFND/RT_ADMIN

כאן תוכלו למצוא תיעוד עבור תבניות ההרשאות שקיימות במערכת. מכיוון שהמשתמשים במערכת יפעילו יישומי UI5 ששולפים מידע ממערכות מקור כמו SAP ECC – נדרשת הרשאה להרצה של פונקציות במערכות אלו (אובייקט S_RFC).

הרשאות SAP Fiori Launchpad

הרשאות אלו הינן הרשאות גישה לאפליקציות דרך SAP Fiori Launchpad, הניתנות למשתמשים דרך שני סוגי תפריטים שונים המתוארים בהמשך. בנוסף יש להקים הרשאות "בסיס" לכלל המשתמשים – כאן תוכלו למצוא מידע לגבי הדרישות סף.

קטלוג

קטלוג הינו אובייקט המחזיק בתוכו יכולות גישה (target mapping) לאפליקציה, בין אם היא סטנדרטית או פיתוח משלכם, והגדרות של אריחים המאפשרים ניווט לאפליקציות אלו בתוך ה-Launchpad. ישויות אלה הן בעצם "master data" של התפריטים – המשתמש יכול לגשת לזה דרך "מאתר היישומים", אך לא מדובר בתפריטי ברירת המחדל שרואים כאשר נכנסים ל-launchpad. גם אם המשתמש לא צריך לעבוד עם Launchpad עקב סיבות כלשהן וניגש תמיד לכתובת URL של האפליקציה – עדיף שזאת תהיה כתובת של האפליקציה ב-Launchpad – אתם מרוויחים יכולת ניהול הרשאות וגם פיצ'רים אחרים – עיצוב דרך Theme Editor, ניווט ליישומים אחרים ועוד.

קבוצה

קבוצה היא בעצם תפריט שמורכב מאריחים שנמצאים בקטלוגים שונים. לא חייב להיות קשר ישיר בין קטלוג לקבוצה – למשתמש יכולים להיות המון קטלוגים "זמינים" עם ים אפליקציות, ורק קבוצה אחת המגדירה את ברירות המחדל. בדרך כלל קבוצה תגדיר אוכלוסיה של משתמשים – פרסונות.

אופן מימוש והמלצות

את הקטלוגים וקבוצות מקימים דרך כלי קסטומיזציה של Fiori Launchpad, ואז משייכים אותם לרול הרשאה רגיל PFCG
אנו ממליצים ליצור קטלוגים לפי מודולים עסקיים (רכש \ פיננסי \ משאבי אנוש וכו') ואת הקבוצות לבנות לפי פרסונות (מנהל מרחב \ איש מכירות וכו')
מעבר לקבוצות שניתן לתת למשתמש דרך הרשאות – כל משתמש יכול ליצור לעצנו קבוצות אישיות ולשייך אליהן אריחים מהקטלוג, לכן ההרשאות של קטלוג הן בעצם חשובות הרבה יותר מההרשאות לקבוצות. אם ישנם "מקרה קצה" של משתמש שהפרסונה שלו לא ברור – תדריכו אותו איך להגדיר קבוצה שלא נכנסנת לשום הגדרה במערכת

הרשאות ODATA

הגישה של יישומי UI5 / Fiori למערכת המקור נעשית דרך שכבה ששמה ODATA – אתם בטח כבר שולטים בחומר, ואם לא – מוזמנים להעמיק בנושא דרך הבלוג שלנו.

כל שירות ODATA מהווה בעצם נתיב גישה לפונקציות שונות במערכת, ולכן נדרש לאבטח אותו היטב. ההרשאה לשירות ODATA ניתנת באופן רגיל – דרך אוביקט הרשאה "TADIR", כאשר שם התוכנית היא R3TR וסוג התכנית היא IWSV.

הרשאות אפליקטיביות

במקרה ואתם עובדים על פיתוח UI5 שמחייב לנהל הרשאות ברמה פונקציונלית (לדוגמא הצגת רכיבים ויכולות בהתאם להרשאות) – תצטרכו לאפיין ולפתח מנגנון הרשאות עבור הצורך העסקי שלכם. נניח ואתם רוצים לאפשר לגורמים שונים בארגון לבצע פעולות שונות במסך UI5 – נדרש לפתח שכבה נוספת ששולפת הרשאות עבור המשתמש הנוכחי ומתאימה את האפליצקיה להרשאות אלו.

לסיכום

למרות שבדרך כלל ההרשאות מקבלות מענה בסוף הפרויקט – אנו ממליצים לעשות תהליך חשיבה מקדים ולמפות את הצרכים לפני שתופרים את הפתרון, על מנת לא לעקם את המודל האפליקטיבי בסוף הפרויקט עקב מודל הרשאות לקוי. תכנון הרשאות ראשוני יכול לספק לכם גמישות בתחזוקה וניהול המערכת בכל שלבי מחזור החיים.