- 概念介绍
- 常规应用
- 操作实战
企业常见的权限工作举例
一、权限相关的概念介绍
SAP权限设置对象概览
SAP系统权限
某SAP操作用户能在SAP系统中做哪些操作。比如(大致概念)用户XX-A只能查看物料信息,在SAP系统中就分配事物码MM03给XX-A。SAP的权限控制是控制到字段级的,换句话说,其权限控制机制可以检查你是否有权限维护某张透明表的某一个字段。
用户(User)
具体操作SAP系统的用户,即登陆SAP Logon输入的用户。使用事物码SU01创建一个新的用户ID ,默认的权限是空白的,不允许任何操作。
单一角色( Single Role )
简单的说就是一个事物码的集合。其中包含了控制事物码操作的”权限对象”、
“权限字段"以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。
复合角色( Comp. Role )
又叫通用角色,即是多个单一角色的集合。复合角色中可以包含多个单一角色,此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的 ”权限对象”、“权限字段”以及允许的 字段值 及 字段 操作。用事物码PFCG维护。
单一角色和复合角色
单一角色好比“IT部员”, 复合角色好比"IT经理”每个IT部员 所操作的权限范围不同,而IT经理可以具备多有部员的权限, IT经理的权限就是多位IT部员的权限的一个集合,即在IT经理的权限中添加多为IT部员的权限即可。就是将多个单一角色分配在一个复合角色当中,取并集。
授权对象及其参数
授权对象即运行事务的权限。进入一个 SAP 事务代码就好像从一扇门进入一个房间,授权对象就是开门的钥匙。
角色包含了若干权限对象,在透明表AGR_ 1250中有存储二者之间的关系。
权限对象包含了若干权限字段、允许的操作和允许的值,在透明表AGR_ 1251中体现了ROLE/0bject/Field/Value之间的关系。
有一个特殊的权限对象用来包含了若干事务码。
这个权限对象叫“S_ TCODE”,该权限对象的权限字段叫“TCD”,该字段允许的值(Field Value)存放的就是事务代码。
有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作,是允许创建、修改、显示、删除或者其他呢。
该权限字段叫“ACTVT”, 该字段允许的值(Field Value) 存放的就是允许操作的代码,01代表创建、02代表修改、03代表显示等。
SAP系统自带了若干权限对象、默认控制了若干权限字段(对应到透明表的某些字段)。
可以用事务码SU20来查看系统有哪些权限字段,用SU21来查看系统有哪些默认的权限对象。这就是事务代码与权限对象的区别。
从权限控制的范畴来看,事务代码属于一种特殊的权限对象;
事务代码在执行过程中,为了判断某个ID是否有权限执行此事务代码,还可能检查其他若干普通的权限对象。使用SU22来查看某个事务代码包含了哪些权限对象。
在透明表US0BX中,存放了事务码与权限对象的对应关系。
二、常规应用
SAP权限设置常用的TCODE
- SU01 :创建用户(SU01,SU02,SU03)
- SU22 :查看事物码中的权限对象(SU20,SU21,SU22)
- PFCG :创建角色
- SU53 :权限测试
授权级别示意图
权限对象及参数
三、操作实战
1.USER ID 的建立
SU01创建账户
填写地址相关的信息
输入初始密码和缺省值信息,点击保存
创建成功
注意:
USER ID创建好了,但这时这个ID没有赋予(Assign) 任何权限,是什么都不能做的。也就是说USER得到这样的账号没有任何意义。
USER ID除了分配角色,还有分配权限参数,初始化密码,解锁账号等功能;
与关键用户和最终用户有关的用户账号参数一般通过Tcode:SU3进行设置;
2.Role建立的方式
新创建Role主要有三种方式(事务代码:PFCG)
方式一、由始至终新建
1)手工添加角色
2)从SAP菜单添加角色菜单、事务代码
3)点击自动设置权限参数文件,更改权限数据
更改权限对象设置
(注意:标准事务代码所需要的Object﹐系统会自动带出来,而对于开发的事务代码则需要手工分配权限对象)
点击编辑状态进行字段值和作业的设置
当全部显示绿色时,表示权限设置成功
4)继续添加用户
添加成功后,可以查看用户已经有了该事务代码权限
方式二、继承
所谓“继承”,是指两个Role形成这样的母子关系﹕
- 子Role的所有Menu, Authorization(组织级别除外) 都源于母Role,并与母Role保持一致。(通用角色与本地角色)
- 母Role 与 子Role 是 1 对 多 的 。
方式三、复制(COPY)
创建角色时可以直接复制
3.角色的传输-产生Request Number
4.权限的检查常用的事务代码
