sap erp权限管理

SAP 系统 权限管理,1,权限设置,2,4,用户权限管理,3,权限特殊功能技巧介绍,内容,权限概念,1,2,掌握R3系统权限的概念掌握系统中权限的设置掌握和权限相关的事务代码了解用户权限的管理掌握用户申请权限的流程和处理方式,目标,3,权限设置,2,4,用户权限管理,3,权限特殊功能技巧介绍,内容,权限概念,1,4,权限的概念,5,什么是授权,权限的概念,6,用 SAP 的语言来说.,权限的概念,7,SAP 授权概念,在缺省状态下，所有用户最初是没有执行任何事务的权限的通过各种授权赋予执行事务的权限一个用户可以执行的事务数量反映出其授权的大小,权限的概念,8,权限的概念,9,权限的概念,10,权限的概念,11,事务基于“角色”进行分组角色是指在业务中事先定义的执行特殊职能的工作例如，在下面的事务中有两个角色 ：,权限的概念-角色,12,权限的概念-用户,13,权限的概念,14,授权对象,权限的概念-授权对象,15,授权对象 = 运行事务的权限,没有 授权对象,没有事务权限,=,权限的概念-授权对象,16,进入一个 SAP 事务代码 就好象.,权限的概念-授权对象,17,即使只缺少一个对象 ，用户都不能够运行事务代码,权限的概念-授权对象,18,权限的概念-授权对象,19,例如: 事务 MIRO 发票凭证,用户必须具有下列对象才能够运行事务代码.,这些对象是进入并运行事务代码必需的钥匙,权限的概念-授权对象,20,对象参数,权限的概念-对象参数,21,“参数” = 特征,例如:会计帐目:科目类型的授权有两个参数,权限的概念-对象参数,22,有两种类型的参数:,组织数值，例如公司代码帐目类型销售组织,约束值，例如行为授权组合购买凭证类型,权限的概念-对象参数,23,对象参数决定了用户在事务代码中操作的特殊.,问题:这个用户能操作哪个帐户类型？,权限的概念-对象参数,24,用户 是由几个 角色 组成的角色 是一系列 事务代码事务代码 需要一些 授权对象 来运行授权对象 由它的参数来定义,用户,权限的概念-对象参数,25,权限设置,2,4,用户权限管理,3,权限特殊功能技巧介绍,内容,权限概念,1,26,权限设置,27,权限设置,28,权限设置,权限设置,29,权限设置,2,4,用户权限管理,3,权限特殊功能技巧介绍,内容,权限概念,1,30,权限特殊功能技巧介绍,SU01用户维护,SU02参数文件,SU24维护事务权限对象的分配,SU3维护用户参数文件,SUPC参数文件的批量生成,SU53显示用户的权限数据,ST01系统轨迹跟踪,PFCG职责维护,31,权限设置,2,4,用户权限管理,3,权限特殊功能技巧介绍,内容,权限概念,1,32,用户管理标准化用户ID命名规则用户主数据用户组用户管理维护流程基本用户角色修改角色内容（增减事务代码，组织结构等）增加或删除用户ID,用户管理操作 用户ID共享 创建用户ID 用户密码重设 用户ID的锁定及解锁,用户权限管理,33,用户权限管理,34,用户主数据用于存储用户地址信息、登陆数据以及权限数据。 最终用户应该用事务代码su01在系统中维护相关的信息： 如地址、通讯方式等关键信息将用于用户的分类、识别以及便于实现如查找、修改、报告等功能的用户管理。系统管理员应该统一用户界面，以便最终用户使用登录语言: ZH日期格式: YYYY/MM/DD十进制符号: 1234567.89输出设备: 根据实施地点预先设定开始菜单: 遵从角色菜单，同时多余菜单应删除参数: 根据每个功能的要求预先设定主要组织参数，以便于业务流程运行对于临时用户，系统管理员应根据用户类型设定用户主数据有效期,用户权限管理用户主数据,35,用户组-最终用户在登陆时，选择自己所在的用户组，也方便系统管理员的管理。 用户组也可以用作查找标准，以便于用户管理。例如：查找财物功能组，使用“财务”组；查找已锁定的用户ID， 使用“临时雇员”组。,用户权限管理用户主数据,36,权限管理员授权管理权限参数文件及角色的增加和修改对已分配给用户的权限与所批准的权限是否一致进行周期性审查向用户主数据分配SAP角色用户账户管理受理用户ID申请增加和修改用户主数据终止用户ID,用户权限管理-基本角色描述,37,系统维护人员 配置人员 在开发系统中，进行配置调整工作； 在测试系统中，进行测试工作； 在生产系统中，进行查看数据工作； ABAP 开发员开发及测试系统ABAP程序开发ABAP程序测试生产系统跟踪调试显示,用户权限管理-基本角色描述,38,部门职责 业务部门： 负责指定本部门的权限规范者，权限审批者； 负责填写，规范和审核SAP权限申请表 对权限申请后形成的业务结果负责IT系统部门： 负责制定R/3系统系列管理规范 负责对新增用户的审批，从而管理控制系统中的用户数量 负责提供对业务部门权限规范者的咨询、支持和培训 负责对业务部门权限规范者提供的规范结果进行技术审查，并完成R/3系统内的权限 配置工作 负责对系统中用户及用户权限定期进行审核 对R/3系统的数据安全、系统安全负责,用户权限管理职责与流程,39,权限规范者应具备三方面的基本条件：熟悉本部门业务相关的流程、术语熟悉权限规范的工作流程认真负责，能够坚持原则权限规范者的基本职责：负责并管理本部门的操作用户和查询用户能够及时调整新到岗人员系统用户权限的增减及离岗人员用户的删除严格控制本部门R3用户查询及操作系统中数据的范围，从而保证系统的安全性按照系统用户管理规范的要求，定期对本部门的用户个数和各用户的权限进行审核,用户权限管理职责与流程,40,R/3系统权限申请流程需求提出： 业务部门根据实际业务需要，需要增加、修改或者减少R/3系统用户的权限时， 即可提出R/3系统权限申请填写申请： 申请者根据实际业务需求，在权限需求栏详细填写SAP用户权限申请表， 向本部门的权限规范者提出申请权限规范： 权限规范者接到本部门用户的SAP用户权限申请表，与申请者及相关人员 进行必要沟通，准确了解业务需求，进行需求分析，通过系统用户名、角色 编号及名称、事务代码等专业术语，准确描述本部门的权限需求，在SAP用 户权限申请表中“权限规范者填写部分”填写，完成权限规范，并送交本部门 的权限审批者进行审批,用户权限管理职责与流程,41,权限审批 权限审批者接到权限规范者递交的SAP用户权限申请表，从全局考虑，把握业务需求的 正确性，对本部门的业务需求及权限规范结果进行签字认可 如果需要申请非本部门的操作或查询权限，权限规范者需将经本部门权限规范者审批通过的 SAP用户权限申请表，送交数据所属部门的权限规范者，由数据所属部门的权限审批者 进行审批 如果为新增用户，要由IT部门负责人进行审批递交申请 权限规范者将经过审批后的SAP用户权限申请表，统一递交IT部门权限管理员。 权限管理员只受理业务部门指定权限规范者递交的、并经权限审批者批准的SAP用户 权限申请表的文件权限配置 IT部门权限管理员接到SAP用户权限申请表，并确认无误后，在三个工作日内完成 权限设置，并通知权限规范者检查使用,用户权限管理职责与流程,42,用户管理维护流程,权限确认及反馈： 权限规范者在接到权限配置完成的信息后，应及时通知相关用户，并督促用户在3个工作日 之内测试申请的权限，如有问题，由权限规范者统一反馈给权限接口人。 如在3个工作日之内无问题反馈，权限管理员则视此权限设置正确，如以后再发现此问题 将需要重新递交权限申请。文档维护： IT部门权限管理员完成权限设置以后，应该同时维护相关权限文档。用户审核流程 各部门权限规范者应在一年中对于本部门的系统用户进行两次的审核，审核内容包括： 每个用户的权限是否有所变化，是否有已经离职或停用的用。 各个部门的权限规范者将本部门变动的情况提交给IT部门，由IT部门进行系统内的变动 调整。,用户权限管理职责与流程,43,开始,业务人员权限申请,权限规范者接受申请,规范者规范权限申请报告,递交业务人员所属部门,审批者 审批,内部顾问,IT负责人对申请进行审批,权限管理员在系统中 配置权限,业务人员：权限申请者,反馈给权限规范者,审批未通过,审批通过,不批准增加用户,批准,用户权限管理职责与流程,44,终止用户ID有时十分敏感， 因此在实施前，应先实施相应安全措施，以避免系统遇到潜在威胁。终止用户ID的流程需要多个用户组的协调工作用于用户主数据模板的用户ID将被保存，以用于简化将来的用户管理流程。用户SM37负责检查用户ID是否有进行后台工作用户ID终止的3种情况辞职: 在移交期间，应该有对应的用户ID到期日荒废的用户ID : 进行定期检查，以删除荒废的用户ID工作调动: 原有用户ID应删除，创建新的用户ID,用户权限管理用户ID管理注意事项,45,用户ID共享是一种安全隐患，因为：用户对其行为可不负责任不便进行职责分配不能对用户管理进行有效的控制用户ID共享控制在一个共享组中，挑选出一个用户ID负责人当一个用户ID共享组中某个用户离开系统时，用户ID的负责人必须立即申请重新设定密码权限管理员应该对于生产系统中的用户进行定期的检查，对于系统中过了有效期的临时 用户进行锁定，临时用户在三个月之后，没有申请解锁可将其删除,用户权限管理用户ID管理注意事项,46,开发环境系统配置员，开发员，超级用户将由手工创建测试环境首次创建用户将通过集团复制方式集团复制源 = 开发环境中的用户主数据新增用户将由手工创建对于每个角色，至少创建属于此角色的一个用户，其用户名将遵从角色名培训环境由集团复制创建用户集团复制源 = 培训环境中的用户主数据新增用户将由手工创建生产环境权限管理员通过手工方式或bdc程序创建用户,用户权限管理用户ID管理注意事项,47,当最终用户忘记密码时可向权限管理员申请重新设置用户密码 用户密码重设的请求需要被核实，以防出现欺骗行为对于共享的用户ID，此ID的负责人通知所有共享