SAP BASIS权限使用总结

1、1SAP 权限概念权限概念2授权就是给个人（或组）一个授权就是给个人（或组）一个方式方式或或权力权力来来行使行使一些的职责一些的职责用用 SAP 的语言来说的语言来说.权限的概念权限的概念什么是授权什么是授权3在缺省状态下，所有用户在缺省状态下，所有用户最初最初是没有执行任何是没有执行任何事务的权限的事务的权限的通过通过各种授权各种授权赋予赋予执行事务的权限执行事务的权限一个用户可以执行的事务数量反映出其授权的一个用户可以执行的事务数量反映出其授权的大小大小权限的概念权限的概念4事务基于事务基于“角色角色”进行分组进行分组角色是指在业务中事先定义的执行特殊职能的工作角色是指在业务中事先定义的执

2、行特殊职能的工作例如，在下面的事务中有两个角色例如，在下面的事务中有两个角色 ： 事务事务: 事务事务: 权限的概念角色权限的概念角色5角色角色: 角色角色: 例如:TCODE1TCODE2TCODE3TCODE4TCODE5TCODE6TCODE7TCODE8TCODE9TCODE1TCODE2TCODE3TCODE10TCODE11TCODE12TCODE13TCODE14TCODE15权限的概念用户权限的概念用户6进入一个进入一个 就好象就好象. 从从z间间 就是开门的就是开门的 权限的概念授权对象权限的概念授权对象7即使即使，用，用户都户都运行事务代码运行事务代码运行事务代码需要先具备

3、运行事务代码需要先具备授权对象授权对象! (即整套钥匙)权限的概念授权对象权限的概念授权对象8可以对可以对授权对象授权对象进行更详细的参数限制，有两种类型的参数进行更详细的参数限制，有两种类型的参数: 组织数值，例如组织数值，例如 公司代码 帐目类型 销售组织 约束值，例如约束值，例如 行为 授权组合 购买凭证类型权限的概念对象参数权限的概念对象参数9 SPEX SAP R/3 Project Version 1.0 Authorization Concept 例如例如: 事务事务 发票凭证发票凭证用户必须具有下列对象才能够运行事务代码用户必须具有下列对象才能够运行事务代码. 这些对象是进入并

4、运行事务代码必需的这些对象是进入并运行事务代码必需的权限的概念授权对象权限的概念授权对象10“参数参数” = 特征特征例如:参数参数1 12 2权限概念对象参数权限概念对象参数11 SPEX SAP R/3 Project Version 1.0 Authorization Concept 在这个例子中，有两在这个例子中，有两个对象参数个对象参数对象参数决定了用户在事务代码中操作的特殊Object parameters determine the a user can perform in a transaction. 问题:This user can perform to ?权限概念对象参数

5、权限概念对象参数12参数参数参数授权对象授权对象授权对象授权对象授权对象工作岗位工作岗位1工作岗位工作岗位25/4/202213每一位系统操作人员对应有一个系统用户；每个系统用户对应多个复合角色以满足一人对应企业中多个岗位的要求；单一角色为定义一个业务操作单位的最小单元；每个单一角色下可以对应多个事务代码；授权的概念 - 权限的组成UserCo. RoleCo. RoleRoleRoleRoleTcodeTcodeTcodeTcodeTcodeTcodeIP System numberClientObject typeObjectfieldProfile5/4/202214总体设计对SAP R

6、3开发、测试、质量保证、生产系统进行不同权限配置，以完成相应的功能；SAP可以透过对用户几个维度的管理来达到权限管理的目的：组织架构（如公司代码、仓库、。）在系统中可以操作的业务（如执行交易、查询数据、更改数据、审批数据等）的事务码授权对象（如授与用户A总账科目展示, 创建, 删除权限）SAP中的用户权限完全由分配给他的权限参数文件决定，分配到的权限参数文件越大、越多，其可以执行的操作也越多5/4/202215授权的原则16岗位MRO-P04-S02-E01 MRO-P04-S02-E01 发料流程发料流程需用单位仓库保管员流程开始查询库存物资需求情况(MD04)确认发货需求及数量创建预留根据

7、预留、工单提出发货请求打印发货单发货(MB1A)结束移动类型：241：从仓库发货到资产：从仓库发货到资产( (项目类物资项目类物资) )ZB1：发料到成本中心发料到成本中心(营业费用营业费用)ZB3：发料到成本中心发料到成本中心(管理费用管理费用)ZB5：发料到成本中心发料到成本中心(生产成本生产成本)ZB7：发料到成本中心发料到成本中心(长期待摊物资长期待摊物资)签字确认业务科室专业计划员是否工单发货（MB1A)是否此处的此处的岗位岗位在在系统中系统中叫叫角色角色，不等，不等于我们于我们实际工实际工作中的作中的岗位岗位17通用角色创建通用角色创建PFCGPFCG事务码：事务码：PFCG18通

8、用角色通用角色角色描述角色描述此处输入此处输入角色描述角色描述点击菜单点击菜单并保存并保存19通用角色通用角色添加事务码添加事务码点击事务按点击事务按钮，添加此钮，添加此角色所需的角色所需的事务码事务码20通用角色通用角色生成参数文件生成参数文件点击权限进点击权限进一步维护此一步维护此角色的详细角色的详细参数参数21通用角色通用角色生成参数文件生成参数文件点击更改点击更改授权数据授权数据来维护此来维护此角色的详角色的详细参数细参数此处暂无此处暂无参数名称参数名称22通用角色通用角色组织级别组织级别特别注意：红灯表示组织级别特别注意：红灯表示组织级别尚未维护，只能点击组织级别尚未维护，只能点击组

9、织级别按钮进去维护，按钮进去维护，切勿在此处直切勿在此处直接维护接维护此处维护组织级别，此处维护组织级别，通用角色的组织级别通用角色的组织级别仅用来测试仅用来测试23通用角色通用角色对象参数对象参数在此页维护：在此页维护：行为： 创建、显示等凭证类型 授权组合此处的选此处的选择决定了择决定了此角色可此角色可以维护哪以维护哪些物料主些物料主数据视图数据视图24通用角色通用角色激活参数激活参数凭证类型点击激活按点击激活按钮，即可生钮，即可生成参数文件成参数文件无需修改参无需修改参数文件名称数文件名称25通用角色通用角色查看参数文件查看参数文件返回到前一返回到前一屏幕即可看屏幕即可看到参数文件到参数

10、文件26本地角色本地角色创建创建事务码：事务码：PFCG输入本地输入本地角色名称角色名称27本地角色本地角色维护继承关系维护继承关系在此处维护继在此处维护继承的通用角色承的通用角色确认后本地角确认后本地角色即创建完成色即创建完成，还需再集中，还需再集中生成参数文件生成参数文件28本地角色本地角色复制复制点击复制按点击复制按钮，即可参钮，即可参照已有的本照已有的本地角色复制地角色复制新本地角色新本地角色事务码：事务码：PFCG29本地角色本地角色复制选项复制选项确认后本地角色即复制完成，还确认后本地角色即复制完成，还需再集中生成参数文件需再集中生成参数文件30本地角色本地角色继承关系被复制继承关

11、系被复制注意：注意：继承关系也同时继承关系也同时被复制被复制31本地角色本地角色集中生成集中生成通过修改通过修改通用通用角色角色而集中生而集中生成本地角色成本地角色32本地角色本地角色集中生成集中生成1.点击菜单：权限点击菜单：权限调整派生调整派生生成派生的角色生成派生的角色2.将把通用角色的将把通用角色的参数值参数值复制到所有他的本地角色复制到所有他的本地角色3.并同时生成本地角色的参数文件并同时生成本地角色的参数文件4.需要为需要为本地角色重新维护组织级别本地角色重新维护组织级别5.以后再作派生是通用角色不再覆盖本地角色以后再作派生是通用角色不再覆盖本地角色33本地角色本地角色维护特定组织

12、级别维护特定组织级别运行运行PFCG，修改本地角色，如：，修改本地角色，如：Z：MPMM00100134本地角色本地角色维护特定组织级别维护特定组织级别输入本地角色的组织级别输入本地角色的组织级别35本地角色本地角色重新激活重新激活36通用角色和本地角色通用角色和本地角色通用角色通用角色采购管理员采购管理员北京基地采购管理员北京基地采购管理员天津基地采购管理员天津基地采购管理员本地角色本地角色角色类型角色类型相同点相同点不同点不同点联系及影响联系及影响 采购管理员采购管理员通用角色通用角色事物代码事物代码和约束值和约束值（如：创建、（如：创建、修改、显示、修改、显示、凭证类型）凭证类型）无需维

13、护组无需维护组织级别织级别为通用角色添加、删除事务时，继承于为通用角色添加、删除事务时，继承于她的她的本地角色本地角色同时也改变同时也改变北京基地采购管北京基地采购管理员理员本地角色本地角色维护维护北京基北京基地地的组织级的组织级别别继承于通用角色，通用角色被更改时本继承于通用角色，通用角色被更改时本地角色的事务代码和权限值同时被修改地角色的事务代码和权限值同时被修改，但本地角色保持各自原有的组织级别，但本地角色保持各自原有的组织级别不变，用户只能申请本地角色不变，用户只能申请本地角色天津基地采购管天津基地采购管理员理员本地角色本地角色维护维护天津基天津基地地的组织级的组织级别别继承继承用户的维护(SU01)用户维护事务代码：SU01权限的管理主要使用到了下面的事务代码：SE43、SU03、SU02、SE93、SUIMSU53、SU20、SU21、SU22、SU24、SU10/SU12程序中权限的检查 在用户能在系统中进行 某项操作之前，需要进行适当的授权。登录到 R/3 系统后，系统在用户主记录进行检查，看看有权使用哪些事务。每个敏感事务都要实施授权检查。如果要保护某项事务操作，则必须实施授权检查。这意味着必须： 在事务定义中分配授权对象； 对 AUTHORITY-C