- 概念介紹
- 常規(guī)應(yīng)用
- 操作實(shí)戰(zhàn)
企業(yè)常見的權(quán)限工作舉例
一汤徽、權(quán)限相關(guān)的概念介紹
SAP權(quán)限設(shè)置對象概覽
SAP系統(tǒng)權(quán)限
某SAP操作用戶能在SAP系統(tǒng)中做哪些操作涵叮。比如(大致概念)用戶XX-A只能查看物料信息坤邪,在SAP系統(tǒng)中就分配事物碼MM03給XX-A熙含。SAP的權(quán)限控制是控制到字段級的,換句話說,其權(quán)限控制機(jī)制可以檢查你是否有權(quán)限維護(hù)某張透明表的某一個(gè)字段。
用戶(User)
具體操作SAP系統(tǒng)的用戶,即登陸SAP Logon輸入的用戶艇纺。使用事物碼SU01創(chuàng)建一個(gè)新的用戶ID ,默認(rèn)的權(quán)限是空白的,不允許任何操作怎静。
單一角色( Single Role )
簡單的說就是一個(gè)事物碼的集合。其中包含了控制事物碼操作的”權(quán)限對象”黔衡、
“權(quán)限字段"以及允許的操作及允許的值蚓聘。用事物碼PFCG維護(hù)。單一角色是相對應(yīng)復(fù)合角色而言的员帮。
復(fù)合角色( Comp. Role )
又叫通用角色,即是多個(gè)單一角色的集合或粮。復(fù)合角色中可以包含多個(gè)單一角色,此復(fù)合角色包含了這多個(gè)單一角色所控制的權(quán)限。復(fù)合角色還可以維護(hù)具體的 ”權(quán)限對象”捞高、“權(quán)限字段”以及允許的 字段值 及 字段 操作。用事物碼PFCG維護(hù)渣锦。
單一角色和復(fù)合角色
單一角色好比“IT部員”, 復(fù)合角色好比"IT經(jīng)理”每個(gè)IT部員 所操作的權(quán)限范圍不同硝岗,而IT經(jīng)理可以具備多有部員的權(quán)限, IT經(jīng)理的權(quán)限就是多位IT部員的權(quán)限的一個(gè)集合,即在IT經(jīng)理的權(quán)限中添加多為IT部員的權(quán)限即可。就是將多個(gè)單一角色分配在一個(gè)復(fù)合角色當(dāng)中,取并集袋毙。
授權(quán)對象及其參數(shù)
授權(quán)對象即運(yùn)行事務(wù)的權(quán)限型檀。進(jìn)入一個(gè) SAP 事務(wù)代碼就好像從一扇門進(jìn)入一個(gè)房間,授權(quán)對象就是開門的鑰匙听盖。
角色包含了若干權(quán)限對象胀溺,在透明表AGR_ 1250中有存儲二者之間的關(guān)系。
權(quán)限對象包含了若干權(quán)限字段皆看、允許的操作和允許的值仓坞,在透明表AGR_ 1251中體現(xiàn)了ROLE/0bject/Field/Value之間的關(guān)系。
有一個(gè)特殊的權(quán)限對象用來包含了若干事務(wù)碼腰吟。
這個(gè)權(quán)限對象叫“S_ TCODE”无埃,該權(quán)限對象的權(quán)限字段叫“TCD”徙瓶,該字段允許的值(Field Value)存放的就是事務(wù)代碼。
有一種特殊的權(quán)限字段用來表示可以針對該權(quán)限對象做哪些操作嫉称,是允許創(chuàng)建侦镇、修改、顯示织阅、刪除或者其他呢壳繁。
該權(quán)限字段叫“ACTVT”, 該字段允許的值(Field Value) 存放的就是允許操作的代碼荔棉,01代表創(chuàng)建闹炉、02代表修改、03代表顯示等江耀。
SAP系統(tǒng)自帶了若干權(quán)限對象剩胁、默認(rèn)控制了若干權(quán)限字段(對應(yīng)到透明表的某些字段)。
可以用事務(wù)碼SU20來查看系統(tǒng)有哪些權(quán)限字段祥国,用SU21來查看系統(tǒng)有哪些默認(rèn)的權(quán)限對象昵观。這就是事務(wù)代碼與權(quán)限對象的區(qū)別。
從權(quán)限控制的范疇來看舌稀,事務(wù)代碼屬于一種特殊的權(quán)限對象;
事務(wù)代碼在執(zhí)行過程中啊犬,為了判斷某個(gè)ID是否有權(quán)限執(zhí)行此事務(wù)代碼,還可能檢查其他若干普通的權(quán)限對象壁查。使用SU22來查看某個(gè)事務(wù)代碼包含了哪些權(quán)限對象觉至。
在透明表US0BX中,存放了事務(wù)碼與權(quán)限對象的對應(yīng)關(guān)系睡腿。
二语御、常規(guī)應(yīng)用
SAP權(quán)限設(shè)置常用的TCODE
- SU01 :創(chuàng)建用戶(SU01,SU02,SU03)
- SU22 :查看事物碼中的權(quán)限對象(SU20,SU21,SU22)
- PFCG :創(chuàng)建角色
- SU53 :權(quán)限測試
授權(quán)級別示意圖
權(quán)限對象及參數(shù)
三、操作實(shí)戰(zhàn)
1.USER ID 的建立
SU01創(chuàng)建賬戶
填寫地址相關(guān)的信息
輸入初始密碼和缺省值信息席怪,點(diǎn)擊保存
創(chuàng)建成功
注意:
USER ID創(chuàng)建好了应闯,但這時(shí)這個(gè)ID沒有賦予(Assign) 任何權(quán)限,是什么都不能做的挂捻。也就是說USER得到這樣的賬號沒有任何意義碉纺。
USER ID除了分配角色,還有分配權(quán)限參數(shù)刻撒,初始化密碼骨田,解鎖賬號等功能;
與關(guān)鍵用戶和最終用戶有關(guān)的用戶賬號參數(shù)一般通過Tcode:SU3進(jìn)行設(shè)置;
2.Role建立的方式
新創(chuàng)建Role主要有三種方式(事務(wù)代碼:PFCG)
方式一、由始至終新建
1)手工添加角色
2)從SAP菜單添加角色菜單声怔、事務(wù)代碼
3)點(diǎn)擊自動設(shè)置權(quán)限參數(shù)文件态贤,更改權(quán)限數(shù)據(jù)
更改權(quán)限對象設(shè)置
(注意:標(biāo)準(zhǔn)事務(wù)代碼所需要的Object﹐系統(tǒng)會自動帶出來,而對于開發(fā)的事務(wù)代碼則需要手工分配權(quán)限對象)
點(diǎn)擊編輯狀態(tài)進(jìn)行字段值和作業(yè)的設(shè)置
當(dāng)全部顯示綠色時(shí)捧搞,表示權(quán)限設(shè)置成功
4)繼續(xù)添加用戶
添加成功后抵卫,可以查看用戶已經(jīng)有了該事務(wù)代碼權(quán)限
方式二狮荔、繼承
所謂“繼承”,是指兩個(gè)Role形成這樣的母子關(guān)系﹕
- 子Role的所有Menu, Authorization(組織級別除外) 都源于母Role,并與母Role保持一致。(通用角色與本地角色)
- 母Role 與 子Role 是 1 對 多 的 介粘。
方式三殖氏、復(fù)制(COPY)
創(chuàng)建角色時(shí)可以直接復(fù)制