1、權(quán)限相關(guān)概念簡介

一、首先我們先來介紹以下這幅圖（PFCG），這里面包含幾個權(quán)限相關(guān)的概念。

以上圖為例，我們來簡單的介紹上圖中的幾個概念：

1、Role：一堆TCODE的集合，當然還包含有TCODE必備的“權(quán)限對象”、“權(quán)限字段”、“字段值”等。這個大家比較熟悉，用戶如果要添加某些權(quán)限，那么可以把相關(guān)的角色賦予相應(yīng)的用戶。

2、Authorization Objects：包含了若干權(quán)限字段、允許的操作和允許的值。有一個特殊的權(quán)限對象用來包含了若干事務(wù)碼，這個權(quán)限對象叫“S_TCODE”，該權(quán)限對象的權(quán)限字段叫“TCD”，該字段允許的值（Field Value）存放的就是事務(wù)代碼。

3、Authorization Group：顧名思義，這個就是若干個權(quán)限對象的集合。

4、Authorization Field：是AuthorizationObjects的相關(guān)元素，比如：操作、公司代碼、一個事務(wù)等。有一種特殊的權(quán)限字段用來表示可以針對該權(quán)限對象做哪些操作，是允許創(chuàng)建、修改、顯示、刪除或者其他。該權(quán)限字段叫“ACTVT”，該字段允許的值（Field Value）存放的就是允許操作的代碼，01代表創(chuàng)建、02代表修改、03代表顯示等。

5、Field Value：確定可進行的操作或操作范圍，如：權(quán)限字段是工廠，權(quán)限字段的值是1010，那么擁有該角色的用戶只能進行1010工廠的相關(guān)操作。

6、Profiles：當一個角色生成的時候，會生成一個相應(yīng)的參數(shù)文件，同樣的，該參數(shù)文件也包含與相應(yīng)角色一樣的權(quán)限對象。（可以把一些非生成的參數(shù)文件賦予相關(guān)的用戶）

介紹完以上幾個概念后，大家來看看我們平時用SU53得到的截圖（以下是在800用YLKJ_MM賬號操作ME21N的截圖）：

就可以很清楚知道圖中的意思了（該用戶缺少權(quán)限對象類MM_E中的權(quán)限對象M_BEST_EKO下的字段ACTVT的值01(創(chuàng)建)的權(quán)限，后續(xù)會介紹怎么根據(jù)該圖，查找相應(yīng)的角色）。

二、介紹以上幾個概念后，接下來介紹一下用戶組（User Group）

用戶組，顧名思義就是用戶的集合，可以根據(jù)單位、部門對用戶進行分組，對相應(yīng)的用戶組賦予相應(yīng)的權(quán)限。

2、權(quán)限設(shè)置過程

下面以：為了控制事務(wù)代碼ZMM100的使用，而創(chuàng)建ZMM_TEST角色的過程為例介紹角色的創(chuàng)建。

1、? 權(quán)限對象類的創(chuàng)建

輸入事務(wù)代碼SU21,如下圖：

???

如上圖，點擊“Object Class”，如下圖：

按上圖填寫權(quán)限對象類的名稱及描述，填寫完后點擊保存，彈出如下對話框：

點擊“本地對象”，權(quán)限對象創(chuàng)建成功(注意：如果是正式情況不能點擊本地對象，要點擊保存)！

2、? 權(quán)限字段的創(chuàng)建

輸入SU20,如下圖：

點擊上圖中的按鈕，進入如下圖：

如上圖，填寫字段名及數(shù)據(jù)元素（注意：如果所需要的字段已經(jīng)存在，比如：WERKS或者ACTVT等，則不需要操作此步驟），點擊保存，彈出如下界面：

點擊保存，即可！

3、? 創(chuàng)建權(quán)限對象及字段設(shè)置

選中創(chuàng)建好的權(quán)限對象類，點擊右鍵，選中“CreateAuthorization Object” ，如下圖：

彈出如下界面：

?

在上圖中填寫“對象名稱”、“對象描述”、“字段名”填寫完后，點擊保存，彈出如下界面：

點擊保存，彈出如下界面：

點擊，回到如下界面：

點擊，權(quán)限對象及字段設(shè)置成功，如下圖：

4、? 設(shè)置事務(wù)代碼的權(quán)限對象

輸入事務(wù)代碼SU24，如下圖：

?

如上圖，輸入需要維護的事物代碼，點擊，如下圖：

如上圖，每個事務(wù)代碼都有默認的一個相關(guān)權(quán)限對象S_TCODE用于檢查事務(wù)代碼，（大家平?？赡軙幸蓡?#xff1a;有些自開發(fā)的程序，如果沒有對它設(shè)置權(quán)限控制的時候，為什么顧問的賬號可以操作該事務(wù)代碼，而一般用戶的賬號卻不能操作呢？？答案就在于顧問賬號中分配的Z_KEYUSER_DISP_NOHR（顯示權(quán)限ALL-非HR）角色中的S_TCODE權(quán)限對象字段值設(shè)置為如下：）點擊上圖中的按鈕，維護相關(guān)的事務(wù)代碼，如下：

?

點擊上圖中的按鈕，增加權(quán)限對象（其它按鈕的作用，大家自己測試一下就知道了），彈出如下對話框：

如上圖，在對話框中輸入已經(jīng)創(chuàng)建的權(quán)限對象，點擊回車，如下：

增加完權(quán)限對象后點擊保存，會提示設(shè)置請求號，大家可以隨便創(chuàng)建一個，到時候把其釋放即可。創(chuàng)建完請求號后，彈出下圖提示，說明維護沒有問題了。

5、? 角色的創(chuàng)建（只介紹手工創(chuàng)建，復(fù)制、上載及繼承大家自己測試，還有種組件角色大家也可以去了解一下）

輸入事務(wù)代碼PFCG，如下圖：

如上圖，輸入角色的名稱，點擊“創(chuàng)建角色”按鈕，如下：

如上圖，輸入角色名稱，并點擊保存，然后點擊“菜單”分頁，如下：

點擊按鈕，如下：

如上圖，輸入要分配的事物代碼，點擊按鈕，如下：

點擊保存，后點擊“權(quán)限”分頁中的按鈕，如下圖：

點擊菜單欄上的“實用程序”——>“顯示技術(shù)名稱”再選擇角色，點擊上圖中的，如下圖：

從上圖中大家可以清楚的發(fā)現(xiàn)SU24中“Proposal Status”的作用了（當然，S_TCODE是不受影響的）

這邊只帶出權(quán)限對象ZMAT_CHECK，如果想繼續(xù)增加其他的權(quán)限對象，則可以點擊菜單欄上的“編輯”——>“插入權(quán)限”或者上圖中的按鈕進行權(quán)限對象的增加（注意：“選擇標準”不能添加自定義的權(quán)限對象）這邊點擊，如下圖：

如上圖，輸入要增加的權(quán)限對象，點擊回車，如下圖：

點擊，對權(quán)限字段值進行維護，如下：

設(shè)置完字段值后，點擊上圖中的按鈕，角色的權(quán)限維護成功。

最后點擊“用戶”分頁進行相應(yīng)用戶的維護，并進行用戶的比較。（比較簡單不再詳細說明）

6、? 程序中的權(quán)限控制

如果有的人認為以上操作完就，就可以進行權(quán)限控制了，那就錯了。其實以上的設(shè)置對權(quán)限限制完全起不到任何作用，真正的權(quán)限限制是在事務(wù)代碼相應(yīng)的程序中增加如下代碼：

AUTHORITY-CHECK?OBJECT?'ZMAT_CHECK'
???????????ID?'ACTVT'?FIELD?'01'.
才能達到權(quán)限的控制，即以上的操作才起作用。

3、角色傳輸（只介紹批量角色的傳輸，單個傳輸就點擊即可）

1、請求號的生成：

輸入事務(wù)代碼PFCG ，如下圖：

進入大量傳輸界面，如下：

如上圖輸入要傳輸?shù)慕巧?#xff0c;點擊，如下圖：

?

點擊回車，如下圖：

回車，進行相應(yīng)請求號的創(chuàng)建，這邊不再詳細說明。請求號創(chuàng)建完后，跳轉(zhuǎn)如下界面：

到此，角色相應(yīng)的請求號生成成功。

2、請求號傳輸：（沒有權(quán)限操作，這邊不再詳細截圖）

跨集團傳輸：

STMS，在源系統(tǒng)操作，即如果要把120的角色傳輸至240，則在120系統(tǒng)執(zhí)行STMS;

同一個集團不同客戶端傳輸:

SCC1，在統(tǒng)一集團的目的系統(tǒng)操作，即如果要把120的角色傳輸至160，則要在160系統(tǒng)進行SCC1的操作。

4、權(quán)限相關(guān)表及事務(wù)代碼（基本上所有的權(quán)限問題都可以根據(jù)下面的表或事務(wù)代碼進行處理，這邊留給大家自己研究吧）

1、相關(guān)事務(wù)代碼

?SU53

?當一個賬號反映沒有某個應(yīng)有的權(quán)限時，可以輸入T-code：SU53，查詢系統(tǒng)出現(xiàn)沒有權(quán)限的信息。

?SUIM

?SUIM 其實就是Information 系統(tǒng)的一個集合界面。

?最常用的功能是：已知某個 T-code，查找含有這個T-code的角色。

?輸入 T-code后執(zhí)行，就可以得到含有這個T-code 的角色的列表。

?注意：其判斷條件是角色的角色菜單，而不是 Profile參數(shù)文件。

?(一)創(chuàng)建Role(角色)的相關(guān)T-code:

?PFCG 創(chuàng)建角色

?PFAC 創(chuàng)建系統(tǒng)模板標準角色

?PFAC_CHG改變系統(tǒng)模板標準角色

?PFAC_DEL刪除系統(tǒng)模板標準角色

?PFAC_DIS顯示系統(tǒng)模板標準角色

?PFAC_INS新建系統(tǒng)模板標準角色

?PFAC_STR

?ROLE_CMP比較

?SUPC 批量建立角色參數(shù)文件

?SWUJ 測試

?SU03 檢測 authorization data（授權(quán)數(shù)據(jù)）

?SU25, SU26檢查 updated profile（更新的參數(shù)文件）

?(二)創(chuàng)建用戶的相關(guān) T-code:

?SU0

?SU01 創(chuàng)建用戶

?SU01D

?SU01_NAV

?SU05

?SU50，SU51，SU52

?SU1

?SU10 批量創(chuàng)建用戶

?SU12 批量修改用戶

?SUCOMP維護用戶公司地址

?SU2 修改用戶參數(shù)

?用戶組

?SUGR 維護用戶組

?SUGRD顯示用戶組

?SUGRD_NAV維護用戶組

?SUGR_NAV顯示用戶組

?(三)關(guān)于 profile & Authorization Data

?SU02 直接創(chuàng)建角色參數(shù)文件，不用角色創(chuàng)建

?SU20 細分 Authorization Fields（授權(quán)范圍）

?SU21(SU03)維護 Authorization Objects（授權(quán)對象）

?對具體 transaction code（事務(wù)代碼）細分

?SU22，SU24維護事務(wù)權(quán)限對象的分配

?SU53 檢查缺失的 authorization objects（授權(quán)對象）

?SU56 分析 authorization data buffers（授權(quán)數(shù)據(jù)緩沖器）

?SU87 檢查用戶改變產(chǎn)生的 history（歷史記錄）

?SU96，SU97，SU98，SU99

?SUPC 批量產(chǎn)生角色

?

2、相關(guān)的表

?TOBJ All available authorization objects

?USR12用戶級 authorization（授權(quán)）值

?USR01主數(shù)據(jù)

?USR02密碼在此

?USR04授權(quán)在此

?USR03 User address data

?USR05 User Master Parameter ID

?USR06 Additional Data per User

?USR07 Object/values of last authorizationcheck

?USR08 Table for user menu entries

?USR09 Entries for user menus (work areas)

?USR10 User master authorization profiles

?USR11 User Master Texts for Profiles (USR10)

?USR12 User master authorization values

?USR13 Short Texts for Authorizations

?USR14 Surcharge able Language Versions perUser

?USR15 External User Name

?USR16 Values for Variables for UserAuthorizations

?USR20 Date of last user master reorganization

?USR21 Assign user name address key

?USR22 Logon data without kernel access

?USR30 Additional Information for User Menu

?USR40 Table for illegal passwords

?USR41當前用戶

?USREFUS

?USRBF3

?UST04 User Profile在此

?UST10CComposite profiles

?UST10S Single profiles

?AGR_1250角色與權(quán)限對象的關(guān)聯(lián)表

?AGR_1251角色與權(quán)限對象及操作值關(guān)聯(lián)表

?TSTC????事務(wù)代碼表

?UST12???參數(shù)文件與權(quán)限值的對應(yīng)

?AGR_1016角色與參數(shù)文件對應(yīng)表

?USRBF2??這個表是對應(yīng)到所用的authorzizationobjects的.

?USOBX ???事務(wù)代碼與權(quán)限對象

?

總結(jié)

以上是生活随笔為你收集整理的Sap权限相关设置、控制及传输的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。