SAP权限设计培训.ppt

1,SAP权限概念,2,用SAP的语言来说.,权限的概念,什么是授权,3,SAP授权概念,在缺省状态下，所有用户最初是没有执行任何事务的权限的通过各种授权赋予执行事务的权限一个用户可以执行的事务数量反映出其授权的大小,权限的概念,4,事务基于“角色”进行分组角色是指在业务中事先定义的执行特殊职能的工作例如，在下面的事务中有两个角色：,权限的概念角色,5,权限的概念用户,6,进入一个SAP事务代码就好象.,权限的概念授权对象,7,即使只缺少一个对象，用户都不能够运行事务代码,权限的概念授权对象,8,可以对授权对象进行更详细的参数限制，有两种类型的参数:,组织数值，例如公司代码帐目类型销售组织,约束值，例如行为授权组合购买凭证类型,权限的概念对象参数,9,SPEXSAPR/3ProjectVersion1.0AuthorizationConcept,例如:事务MIRO发票凭证,用户必须具有下列对象才能够运行事务代码.,这些对象是进入并运行事务代码必需的钥匙,权限的概念授权对象,10,“参数”=特征,例如:会计帐目:帐目类型的授权有两个参数,权限概念对象参数,11,SPEXSAPR/3ProjectVersion1.0AuthorizationConcept,对象参数决定了用户在事务代码中操作的特殊Objectparametersdeterminethespecificpermissionsausercanperforminatransaction.,问题:ThisusercanperformWHATACTIVITIEStoWHICHACCOUNTTYPES?,权限概念对象参数,12,用户是由几个角色组成的实际工作岗位可能对应于系统中的几个角色的集合角色是一系列事务代码事务代码需要一些授权对象来运行授权对象由它的参数（组织架构，约束值等）来定义,用户,授权级别图表,工作岗位1,工作岗位2,2020年5月24日星期日,13,每一位系统操作人员对应有一个系统用户；每个系统用户对应多个复合角色以满足一人对应企业中多个岗位的要求；单一角色为定义一个业务操作单位的最小单元；每个单一角色下可以对应多个事务代码；,授权的概念-权限的组成,User,Co.Role,Co.Role,Role,Role,Role,Tcode,Tcode,Tcode,Tcode,Tcode,Tcode,IPSystemnumberClient,ObjecttypeObjectfield,Profile,2020年5月24日星期日,14,总体设计,对SAPR3开发、测试、质量保证、生产系统进行不同权限配置，以完成相应的功能；SAP可以透过对用户几个维度的管理来达到权限管理的目的：组织架构（如公司代码、仓库、。）在系统中可以操作的业务（如执行交易、查询数据、更改数据、审批数据等）的事务码授权对象（如授与用户A总账科目展示,创建,删除权限）SAP中的用户权限完全由分配给他的权限参数文件决定，分配到的权限参数文件越大、越多，其可以执行的操作也越多,2020年5月24日星期日,15,授权的原则,16,岗位,MRO-P04-S02-E01发料流程,需用单位,仓库保管员,流程开始,查询库存物资需求情况(MD04),确认发货需求及数量创建预留,根据预留、工单提出发货请求,打印发货单,发货(MB1A),结束,移动类型：241：从仓库发货到资产(项目类物资)ZB1：发料到成本中心(营业费用)ZB3：发料到成本中心(管理费用)ZB5：发料到成本中心(生产成本)ZB7：发料到成本中心(长期待摊物资),签字确认,业务科室专业计划员,是否工单,发货（MB1A),是,否,此处的岗位在系统中叫角色，不等于我们实际工作中的岗位,17,通用角色创建PFCG,事务码：PFCG,18,通用角色角色描述,此处输入角色描述,点击菜单并保存,19,通用角色添加事务码,点击事务按钮，添加此角色所需的事务码,20,通用角色生成参数文件,点击权限进一步维护此角色的详细参数,21,通用角色生成参数文件,点击更改授权数据来维护此角色的详细参数,此处暂无参数名称,22,通用角色组织级别,特别注意：红灯表示组织级别尚未维护，只能点击组织级别按钮进去维护，切勿在此处直接维护,此处维护组织级别，通用角色的组织级别仅用来测试,23,通用角色对象参数,在此页维护：行为：创建、显示等凭证类型授权组合,此处的选择决定了此角色可以维护哪些物料主数据视图,24,通用角色激活参数,凭证类型,点击激活按钮，即可生成参数文件,无需修改参数文件名称,25,通用角色查看参数文件,返回到前一屏幕即可看到参数文件,26,本地角色创建,事务码：PFCG,输入本地角色名称,27,本地角色维护继承关系,在此处维护继承的通用角色,确认后本地角色即创建完成，还需再集中生成参数文件,28,本地角色复制,点击复制按钮，即可参照已有的本地角色复制新本地角色,事务码：PFCG,29,本地角色复制选项,确认后本地角色即复制完成，还需再集中生成参数文件,30,本地角色继承关系被复制,注意：继承关系也同时被复制,31,本地角色集中生成,通过修改通用角色而集中生成本地角色,32,本地角色集中生成,1.点击菜单：权限调整派生生成派生的角色2.将把通用角色的参数值复制到所有他的本地角色3.并同时生成本地角色的参数文件4.需要为本地角色重新维护组织级别5.以后再作派生是通用角色不再覆盖本地角色,33,本地角色维护特定组织级别,运行PFCG，修改本地角色，如：Z：MPMM001001,34,本地角色维护特定组织级别,输入本地角色的组织级别,35,本地角色重新激活,36,通用角色和本地角色,通用角色,采购管理员,北京基地采购管理员,天津基地采购管理员,本地角色,继承,用户的维护(SU01),用户维护事务代码：SU01,权限的管理,主要使用到了下面的事务代码：SE43、SU03、SU02、SE93、SUIMSU53、SU20、SU21、SU22、SU24、SU10/SU12,程序中权限的检查,在用户能在系统中进行某项操作之前，需要进行适当的授权。登录到R/3系统后，系统在用户主记录进行检查，看看有权使用哪些事务。每个敏感事务都要实施授权检查。如果要保护某项事务操作，则必须实施授权检查。这意味着必须：在事务定义中分配授权对象；对AUTHORITY-CHECK进行编程。AUTHORITY-CHECKOBJECTIDFIELDIDFIELDID