1. Gli oggetti di autorizzazione definiscono a quali funzionalità
dell'applicazione è possibile accedere . Questi oggetti vengono generalmente definiti durante la progettazione dell'applicazione, quando gli aspetti di sicurezza dell'applicazione sono documentati. Vengono creati durante la creazione dell'applicazione, dallo sviluppatore o da un team di sicurezza. 2. Gli sviluppatori di applicazioni (SAP per codice standard SAP, ad esempio, altri per codice standard non SAP) creeranno funzionalità nelle loro applicazioni che controllano le autorizzazioni rispetto a tali oggetti di autorizzazione (utilizzando AUTHORITY-CHECK). Ogni autorizzazione può avere una o più attività ad essa associate ( visualizzazione , creazione , approvazione ecc.) Che sono specificate durante la creazione dell'oggetto di autorizzazione. 3. In fase di runtime, quando l'utente esegue l'applicazione, vengono controllate le autorizzazioni dell'utente. Se il controllo fallisce, l'applicazione sarà responsabile della gestione di tale errore in qualsiasi modo sia ritenuto appropriato - visualizzazione di un errore, non visualizzazione di determinati dati, ecc. Ad esempio, l'autorizzazione "visualizza l'ordine di acquisto nel codice aziendale 1000". Lo sviluppatore dell'applicazione avrà creato un controllo nel proprio programma, utilizzando AUTHORITY-CHECK, che verifica le autorizzazioni rispetto all'oggetto di autorizzazione appropriato, fornendo il codice dell'azienda come parametro. Quando l'utente esegue quel codice, viene eseguito il controllo dell'autorizzazione e vengono verificate le autorizzazioni memorizzate sul record anagrafico di quell'utente (tramite i ruoli assegnati). Se l'utente non ha l'autorizzazione, verrà eseguita qualsiasi logica per il caso di errore di autorizzazione.