SAP权限的设定

SAP权限的设定,YOLANDAV李伟ModifyByOlivia内部教材CONFIDENTIAL,目录,综述权限维护的内部规定权限设定的常规方法权限检查,综述权限设定的注意事项,权限的设定非常重要，其调试也非常繁琐，需要异常谨慎原则上权限的设定是不允许在生产机上直接做的，需要在开发机上测试成功之后传到生产机上权限的变更必须要申请，审批完成之后方可维护权限维护人员是最终在系统中维护权限的，如果对user的权限设定的不合理，有权退回权限维护过程中必须对其进行记录,综述sap权限架构,Roletemplate-Description-Menu-Authorizations,Authorizationprofile-Objectclass-Authorizationobject-Authorizations.,Assignto,Bindwith,Assignto,SAPUseraccount-Address-Logondata-Group.,综述sap权限架构,名詞解釋（英譯中）Useraccount就是我們平常說的“帳號”也稱為“USERID”。Role同類的USER使用SAP的目的和常用的功能都是類似的例如業務一定需要用到開S/O的權限。當我們把某類USER需要的權限都歸到一個集合中這個集合就是“職能”(Role)。所謂的“角色”或者“職能”是sap4.0才開始有的概念其實就是對user的需求進行歸類使權限的設定更方便。(面向對象的權限!)分為singlerole和compositerole兩種后者其實是前者的集合。,综述sap权限架构,Profile:真正記錄權限的設定的文件從sap4.0開始是與Role綁定在一起的。雖然在sap4.6c還可以單獨存在但按sap的行為推測以后將不能“一個人活着”TemplateRole:Role的模板一般是singlerole.但這個模板具有一個強大的功能能通過更改模板而更改所有應用(sap稱為Derive“繼承”）此模板的Role(sap稱之為adjust),Role的命名和分类,以“Z+”開頭都是UserRole,直接assign給userid。Z+module+英文描述以“sap+”開頭都是systemRole,特殊情况下可参考系统中几个特殊的角色：Z_COMMON_FOR_ALL_USERSZ_SAP_ALLZ_SAP_ALL_1,权限设定的操作,上面說過權限的大架構由UserID,Role,Profile三層組成那么權限的設定自然也會有三層。但由于sap4.6是Profile與Role是捆綁在一起的所以在建立Role的時候Profile是會自動創建的（具體見后文）。而UserID的建立比較簡單。所以我將主要說明Role的部分。,USERID的建立1,TCODESU01,USERID的建立2,填好这些栏目,在某些用户用SAP系统打印时，需要输出这些信息，比如采购部门,USERID的建立3,設定初始密碼,有效期一般不設定,别名,一般当公司多了后，要把用户分成不同的用户组,USERID的建立4,一般是自己公司设定好的标准菜单,输出设备是执行打印功能时，所用的打印机,USERID的建立5,所有用户共有,USERID的建立6,USERID的建立7,接著按save就把USERID创建好了,USERID创建好了下面我們看看如何建Role。,Role的建立,新创建建Role主要有三种方式。TCODEPFCG1.由始至終新建;2.繼承;3.復制（COPY）,Role的建立完全新建,輸入Rolename,注意選第二項,Role的建立完全新建,描述一般與Rolename一致,記錄此Role的創建者,記錄此Role的最后修改者,把描述填好后按save,然后點擊menu頁簽,Role的建立完全新建,建立新目錄,修改TEXT,項目下移,項目上移,刪除項目,手動增加Tcode,從SAPMenu中增加Tcode,從其他Role中CopyMenu,這些是常用的功能,Menu頁簽定義的是USERMENU（個人化菜單）的內容。,Role的建立完全新建,請大家按圖所示建立目錄第一層是職能這里是EXCEPTION下面分“標准”(Standark)和“外挂”(AddOn)兩個目錄。讓菜單保持清晰可以令User的個人菜單清楚不混亂。我們MIS檢查權限也比較方便。,Role的建立完全新建,Role的建立完全新建,Role的建立完全新建,OBJECT完全沒有給值,OBJECT只有部分給值,OBJECT已經全部有值,請注意綠燈只是表示全部有值而已但不一定就是我們所需要的值,這時標准Tcode所需要的Object系統會自動帶出來。,Role的建立完全新建,這個Object是任何權限設定文件中都應該有的這是給予啟動Tcode的權限如果Tcode沒有出現在這個列表中user連這個指令的畫面都無法進入,Role的建立完全新建,對Org.Level都給值之后會發現相當一部分的Objectvalue都已經給值了但還有一些Object是紅燈或者是黃燈這些Object是要單獨給值的。,Role的建立完全新建,按一下標志就可以輸入值按保存在這里介紹一下的作用點擊它就相當於給這個Object一個“*”(star)“*”的意義是AllAuthorization不卡任何權限。Object給值后就變成綠色不能點擊了。,Role的建立完全新建,如果是外挂的Tcode就只能用“直接添加”的方式加入到菜單中需要注意的是外挂的Tcode的Object不會自動帶出來需要自己手工添加。按點擊Y-AUTH-PRT前的,Role的建立完全新建,變為后按屏幕上方的插入Object.注意外挂的Tcode除了前面所說的列表中要有外這里框住的地方要給Tcode否則user還是不會有權限,Role的建立完全新建,都給好值后按保存按“勾”。然后按激活。退出。,Role的建立完全新建,Authorization已經變成綠燈這表示權限的設定已經可用了。點擊USER,AssignUSERID給這個Role,Role的建立完全新建,點擊USERCOMPARE再點擊Completecompare就完成了COMPARE。至此此權限已經Assign完畢FORTEST這個帳號已經具有VA01和YF30的權限,Role的建立繼承,大家注意這個地方建立“繼承”關系就是靠這里了,Role的建立繼承,執行菜單Edit中的Copydata,系統會提示這個操作不可反轉。按“勾”繼續,執行完畢后我們會看到許多Object已經變成綠燈了。,Role的建立繼承,當所有權限（其實只是設定Org.level)都設定完畢后按激活設定Assign給USERID,就完成了。,Role的建立復制,一開始當然是進入PFCG了先把TemplateRole名輸進去然后按COPY按鈕,Role的建立復制,Role的建立復制,紅色框住的都是要填入值的地方最好先填完Org.level,Role的建立復制,與其它方式建立的Role一樣,當所有權限都設定完畢后按激活設定Assign給USERID一個Role就設定完成了,Role的修改,1.Merge2.新增/刪除TCode3.從其它Role導入4.Adjust,Role的修改Merge,紅框框住的兩個Object,是同樣的Object,而且其Value又是第一個包含第二個。,Role的修改Merge,上頁紅框里的兩項被合并了。,選擇菜單Utilities里的Merge,Role的修改從其它Role導入,當我們要處理的RoleA與某個RoleB的設定十分相似可以通過Insert功能把RoleB的Object設定導入到RoleA中。,請留意實際上是導入Profile哦所以一般還要去看RoleB的ProfileName不是很方便。,Role的修改從其它Role導入,需要注意的是這樣導入進去的Object的設定都跟RoleB的一樣一定要把其中對RoleA不適用的部分更正過來。對RoleB不熟悉不要亂用這功能哦。還是那句老話欲速不達不熟的事沒有把握的事一定要謹慎。,Role的修改Adjust,Adjust是專門針對存在繼承關系的母子Role的一項功能。在Role的建立一章我們學習到從子Role可以通過CopyData從母Role得到ObjectValue。現在我們看看從母Role傳送ObjectValue到子Role的功能Adjust。,Role的修改Adjust,用Display模式進入TemplateRole的Profile選擇菜單上的Generatederivedroles即可。從操作來看十分簡單。注不要用Change進入TemplateRole否則Adjust會造成TemplateRole本身最后修改日期和最后修改人發生改變對查對權限產生誤會,Role的修改Adjust,簡單比較CopyData和Adjust,Role的傳輸產生RequestNum,在PFCG的開始畫面可以看到。由于單個Role的傳送比大批量的傳送從操作上來說要簡單而且類似所以我們重點說大批量傳送的操作。,大批量的傳輸,單個Role的傳輸,Role的傳輸產生RequestNum,如果這個Role第一次傳輸這里一定要打勾否則傳輸到其它client后會沒有Assign到UserID。但如果不是第一次傳輸請不要打勾因為只要打了勾就要到目標的Client端去做一次Compare的動作權限才能激活,沒有起用,Role的傳輸產生RequestNum,如果要新建一個Request按其他的传输操作同程序的传输,如果現在已經有一個還沒有Release的可用的RequestNum請在這里輸入然后打勾,Role的傳輸產生RequestNum,單個Role的傳輸RequestNum產生的過程與打批量的相似只是開始不一樣而已。單個傳輸直接KeyRole名字按按鈕其它操作就一樣了,Role的刪除,在PFCG中填好Role的名字按按鈕確認即可把Role及其專屬Profile刪除。,Role的刪除,請注意如果需要利用傳輸功能在多個環境中刪除Role一定要按以下順序進行1.對Role產生傳輸的RequestNum2.刪除本環境的Role3.Release;(此時本環境中已經沒有這個Role了）4.傳輸,帳號刪除,帳號（UserID）的刪除操作也十分簡單在SU01中輸入帳號名稱按就可以了,帳號刪除,刪除一個帳號后為其專設的Role（即Z或W開頭的）也要刪除（包括測試和正式環境）減少系統無用的資料也減少不必要的查對。或許有人會認為保留這些Role雖然占用一點硬盤但如果以后這個帳號再次起用不就可以不用重設權限嗎這個理由咋看起來很有道理。實際上USER一旦決定刪除某個帳號在相當長的時間內都不會再起用（一個帳號的費用不菲決定不會輕易下的）在經過長時間后即使需要再次起用其權限需求也要重新審視與其把其新需求與舊有設定一項一項對比修改還不如重新設定來得方便快捷而且更安全。,Debug/查看,有一些工具對權限的問題處理很有幫助1.SU532.SUIM雖然還有一些其它工具但一般很少用或者不實用這里就不介紹了。,Debug/查看SU53,當一個帳號反映沒有某個應有的權限時我們可以在系統出現沒有權限的信息時馬上輸入“/NSU53”,Debug/查看SU53,Debug/查看SU53,上頁紅色框住的就是沒有權限的地方而藍色框住的是跟這個帳號已經有的權限。但是請注意SU53給出的信息并不詳細大部分情況只能作為一個大方向的參考有時還可能指示不出來問題所在。但無論如何有一個參考總比沒有好。,Debug/查看SUIM,SUIM其實就是Information系統的一個集合界面。我們最常用的功能是已知某個TCode查找含有這個TCode的Role。,Debug/查看SUIM,Debug/查看SUIM,輸入TCode后執行就可以得到含有這個Tcode的Role的列表。請注意其判斷條件是Role的Menu而不是Profile,其它知識,Object的狀態Standard/Manually/Maintained/Changed,其它知識Object的狀態,其它知識Object