SAP权限设定
最近項目中正在做權限設置,因為自己是菜鳥,所以在網上搜了很多資料,加上自己在操作的情況,借鑒了前輩們的經驗,總結如下:
?????? 首先介紹一下SAP權限的幾個基本概念:
??? * SAP系統權限:某SAP操作用戶能在SAP系統中做哪些操作。比如(大致概念)用戶XX-A只能查看物料信息,在SAP系統中就分配事物碼MM03給XX-A。SAP的權限控制是控制到字段級的,換句話說,其權限控制機制可以檢查你是否有權限維護某張透明表的某一個字段。
??? *
????? 用戶(User):具體操作SAP系統的用戶,即登陸SAP Logon輸入的用戶。使用事物碼SU01創建一個新的用戶ID,默認的權限是空白的,不允許任何操作。
??? *
????? 單一角色(Single Role):簡單的說就是一個事物碼的集合。其中包含了控制事物碼操作的“權限對象”、“權限字段”以及允許的操作及允許的值。用事物碼PFCG維護。單一角色是相對應復合角色而言的。
??? *
????? 復合角色(Comp. Role):又叫通用角色,即是多個單一角色的集合。復合角色中可以包含多個單一角色,此復合角色包含了這多個單一角色所控制的權限。復合角色還可以維護具體的“權限對象”、“權限字段”以及允許的字段值及字段操作。用事物碼PFCG維護。
??? *
????? 單一角色和復合角色:單一角色好比“IT部員”,復合角色好比“IT經理”,每個IT部員所操作的權限范圍不同,而IT經理可以具備多有部員的權限,IT經理的權限就是多位IT部員的權限的一個集合,即在IT經理的權限中添加多為IT部員的權限即可。就是將多個單一角色分配在一個復合角色當中,取并集。
??? *
????? 權限對象(Authorization Object),權限字段(Authorization Field),允許的操作(Activity),允許的值(Field Value)
?????? 角色包含了若干權限對象,在透明表AGR_1250中有存儲二者之間的關系;權限對象包含了若干權限字段、允許的操作和允許的值,在透明表 AGR_1251中體現了ROLE/Object/Field/Value之間的關系;有一個特殊的權限對象用來包含了若干事務碼。這個權限對象叫 “S_TCODE”,該權限對象的權限字段叫“TCD”,該字段允許的值(Field Value)存放的就是事務代碼;有一種特殊的權限字段用來表示可以針對該權限對象做哪些操作,是允許創建、修改、顯示、刪除或者其他呢。該權限字段叫 “ACTVT”,該字段允許的值(Field Value)存放的就是允許操作的代碼,01代表創建、02代表修改、03代表顯示等;SAP 系統自帶了若干權限對象、默認控制了若干權限字段(對應到透明表的某些字段)。可以用事務碼SU20來查看系統有哪些權限字段,用SU21來查看系統有哪些默認的權限對象。于是我們知道了事務代碼與權限對象的區別。從權限控制的范疇來看,事務代碼屬于一種特殊的權限對象;一個事務代碼在執行過程中,為了判斷某個ID是否有權限執行此事務代碼,還可能檢查其他若干普通的權限對象。使用SU22來查看某個事務代碼包含了哪些權限對象。在透明表USOBX中,存放了事務碼與權限對象的對應關系。
?????? 如果大家理解了上面的概念(不理解也沒關系,因為我也一開始也沒懂),我們開始用實例來講解如何維護一個用戶的權限。
?????? SAP權限設置常用的事物碼:
??? * SU01:創建用戶
??? * SU22:查看事物碼中的權限對象
??? * PFCG:創建角色
??? * SU53:權限測試
1.創建用戶
事物碼SU01,輸入新建用戶名:SAPMOON_01
2.創建單一角色ZR_SAPMOON_01,事物碼:PFCG。有三種方法:
(1)手工創建
(2)復制創建
(3)繼承創建:輸入要繼承的角色
*繼承與復制的區別:
復制:A復制B,A創建好后與B沒有聯系,A可以自由維護添加事物碼
繼承:A繼承B,B變更后,A也相應變更,A中不能添加事物碼,可以刪除繼承關系后單獨添加。
(4)維護菜單:此處添加允許操作的事物碼,報表或其他功能
(5)維護權限,生產權限參數文件。
這里我們維護的是“菜單”頁中事物所控制的權限字段
維護權限字段值(紅燈變綠的),點擊生成參數文件,保存。
(6)可將單一角色直接分配給用戶,分配用戶,進行用戶比較
(7)保存退出,單一角色ZR_SAPMOON_01創建完畢
3.創建復合角色
(1)創建復合角色ZC_SAPMOON_01,事物碼同樣是PFCG。
(2)復合角色中分配單一角色,不能添加事物碼
(3)點擊“讀菜單”,讀取單一角色的菜單。
(4)將復合角色分配給用戶,用戶比較。
(5)保存退出,創建復合角色成功。
?
4.SU22:維護事物碼所控制的權限對象及權限字段
(1)SU22,輸入事物碼,F8運行。
(2)左邊為CO01所有可控制的權限對象。兩種狀態:YES、NO
YES:運行CO01時,程序檢查此權限對象,判斷用戶是否可操作。
NO:運行CO01時,程序不檢查此權限字段
(3)維護權限字段檢查狀態及權限字段值。變更后會產生請求號。
5.SU53:權限測試
?
6.SUIM:權限報表
可以更加各種條件查詢用戶權限信息
粘圖粘的好幸苦啊!?????????
總結
- 上一篇: sap权限控制
- 下一篇: SAP系统权限管理及参数设置