中石油SA权限培训文档

中国石油ERP系统

权限培训文档中国石油ERP系统实施项目2009年3月26日日期Date:

目录二、SAP权限的架构三、权限的基本概念四、用户和角色的创建及命名规则五、权限设置的步骤六、权限实施计划表一、权限的重要性权限的重要性权限本身的重要性在SAP系统中，业务人员是否能够行使该业务范围的操作是由权限来实现的。

权限工作的好坏是系统能否成功上线的基础之一。

最终用户是权限的直接使用者，权限设计的好坏会直接影响到最终用户对使用ERP系统的信心。权限的重要性权限实施工作的重要性权限实施是ERP系统上线的必备条件之一，权限设计的合理性、实施的准确性和测试的精准度是系统能否成功上线的基础之一。在权限设计、实施和测试全过程，由于地区公司人员最了解其自身业务，因此由地区公司权限组全程参与权限设计和实施工作，将从ERP技术角度和地区公司业务角度双重保障权限实施的质量，进而保证ERP项目的顺利上线。项目准备蓝图设计系统实现权限设计、实施、测试最后准备上线支持权限的重要性权限运维工作的重要性在项目上线及运维阶段，系统处于稳定运行状态，权限变更安全合理才能防止越权和误操作发生，从而保证系统数据安全。通过ERP项目权限组和地区公司权限组在权限设计实施期间的相互配合，提高了地区公司权限组的问题处理能力，将在项目进入上线支持及运维期后，有效保证了权限变更工作的顺利进行。项目准备蓝图设计系统实现上线支持运维最后准备上线支持5日期Date:

目录一、权限的重要性

三、权限的基本概念四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划二、SAP权限的架构SAP权限的架构SAPUserID-地址-登录数据-组............分配Role-描述-菜单-权限……………分配BindwithAuthorizationprofile-组织级别值-权限对象-用户………………..日期Date:

目录一、权限的重要性二、SAP权限的架构

四、用户和角色的创建及命名规则五、权限实施中注意要点六、权限工作计划三、权限的基本概念权限的基本概念名词解释：Useraccount﹕就是我们平常说“USERID”(注意用户类型）dialog用户、……权限：它允许或禁止用户在系统中进行操作和处理事务，一般以角色分配给用户角色（Role）﹕权限的集合，基于业务要求创建所谓的“角色”﹐是sap4.0才开始有的概念﹐其实就是对user的需求进行归类﹐使权限的设定更方便。分为singlerole和compositerole两种﹐后者其实是前者的集合Profile:

真正记录权限的设定的文件,和角色绑定在一起，一个角色生成一个PROFILE权限对象：被授权的业务对象，由字段值和参数组成日期Date:

SPEXSAPR/3ProjectVersion1.0AuthorizationConcept 授权就是给个人（或组）一个方式或权力来行使一些特殊的职责用

SAP

的语言来说….它允许或禁止用户在系统中进行操作和处理事务权限的概念—授权权限的概概念－授授权对象象授权对象象=运行事务务的权限=没有授权对象没有事务权限日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept进入一个SAP事务代码就好象….从一扇

门进入一个房间Transaction授权对象

就是开门的

钥匙授权对象权限的概念－－授权对象日期Date:SPEXSAPR/3ProjectVersion1.0AuthorizationConcept即使只缺少一个对对象，用户都不能够运行事务代码码运行事务代码需要先具备所有的授权对象!

(即整套钥匙)授权对象1授权对象2授权对象3授权对象4授权对象5权限的概念－－授权对象日期Date:授权级别图用户是由几个个角色组成的的角色下包括一一些事务代码码角色下包括的的事务代码权限的概念－－授权ProfileProfile:真正记录权限限设定的文件件Profile与Role是捆绑在一起起的。在建立Role的时候﹐Profile是会自动创建建的，（有弊弊端），我们们根据每个项项目每个模块块的不同，根根据需求表对对每个角色定定义一个profile。AuthorizationProfileObjectclass权限对象（Authorizationobject）参数权限的概念－－权限对象业务、岗位及及用户之间的的关系用户：基于业务要求求而赋予岗位位相适合的角角色，用户和和角色一对多多的关系角色：执行相相关业务所需需要的权限集集合。业务关键点业务关键点业务关键点角色A角色B角色C用户1用户2业务流程岗位用户日期Date:目录一、权限的的重要性二、SAP权限的基本架架构三、权限的的基本概念五、权限实实施中注意要要点六、权限工工作计划四、用户户和角色的创创建及命名规规则日期Date:USERID的命名规则SAP系统分为门户户和后台两类类系统，后台台系统包括ECC和BI系统。在所有有SAP系统中，同一一用户的ID是唯一的，用用户ID最长不超过12位。ERP用户ID以中石油邮箱箱用户名为准准，若超过12位，按如下方方法进行处理理：如如果没有邮件件地址，必须须申请一个少于11位的邮箱地址址。有邮件地址的的用户，取邮邮件地址的用用户名为用户户ID；如果用户名名超过11位，应另外申申请一个少于于11位的邮箱地址址；举例如下：正常用户名：：，ID：ZHANGXING超长用户名：：，重新申请：：ZHANGXINGY注：保留一位是是为区分CNPC和PetroChina不同邮箱，如如果产生冲突突，则在用户户名前加前缀缀，集团ERP用户ID前加前缀V，股份ERP用户ID前加前缀U。举例如下：CNPC：，ID：VZHANGXINGPetroChina：，ID：UZHANGXING日期Date:相关事务代码码SU01－用户维护PFCG－职责维护SU24－维护事务权限限对象的分配配SU3－维护用户参数数文件SU53－显示用户的权权限数据SUGR－维护用户组SUIM－用户信息系统统SU10－帐号批维护日期Date:USERID的建立T_code﹕SU01SU01SU01日期Date:USERID的建立输入要创建的UserID1单击建立图标2USERID的建立选择“对话””类型设定初始密码码用户组选择此此用户对应的的组，地区二二级管理员管管理日期Date:USERID的建立填好这些字段段注：1.通讯方法选择择：INTE-mail2.如果输入座机机号，分机号号必须填写00USERID的建立这些都是必填填项USERID的建立用户组最好跟跟前面设置的的一样，这个个用户组是总总部技术组管管理用户用的的USERID的建立USERID创建好了﹐但这时这个ID没有赋予(Assign)任何权限﹐是什么都不能能做的。USER得到这样的帐帐号没有任何何意义。如何Assign权限给一个帐帐号﹖主要就是Assign一个Role给这个帐号了了。下面我们们看看如何建建Role和给权限。点击SAVE，这个用户就就创建好了帐号的批维护护有时我们需要要对账户进行行批量维护,例如：当公司地址变变了，需要变变更所有用户户的公司地址址。月结时，需要要将除了月结结人员外，其其它的所有用用户暂时锁定定。T_CODE：SU10帐号的批维护护全选用户后，，点击transfer可以批量修改改“新疆油田田咨询顾问””的前台信息息，包括添加加角色、锁定定用户等创建用户组T_CODE：SUGR例如如：：创建建勘勘探探与与生生产产项项目目新新疆疆油油田田咨咨询询顾顾问问用用户户组组EXJYTZZYH业务务板板块块缩缩写写项目目名名称称缩缩写写最终终用用户户用户户组组命命名名规规则则ROLE的建建立立T_CODE：PFCGROLE的建建立立创建建Role主要要有有三三种种方方式式：1.新建建2.继承承3.复制制（（COPY）ROLE的命命名名根角角色色的的创创建建输入入role的角角色色记录录此此Role的创创建建者者描述述须能能表表示示Role的内内容容及及属属性性根角角色色的的创创建建点击击““事事务务””添添加加tcode按照照profile命名名规规则则进进行行命命名名根角角色色的的创创建建标准准Tcode所需需要要的的Object,系统统会会自自动动带带出出来来OBJECT完全全没没有有给给值值OBJECT只有有部部分分给给值值OBJECT已经经全全部部有有值值请注注意意﹕绿灯灯只只是是表表示示全全部部有有值值而而已已﹐但不不一一定定就就是是我我们们所所需需要要的的值值根角角色色的的创创建建根角角色色的的创创建建在这这里里介介绍绍一一下下的作作用用﹐点击击它它﹐就相相当当于于给给这这个个Object一个个““*””(star)﹐﹐““*””的意意义义是是AllAuthorization﹐﹐不卡卡任任何何权权限限。。根角角色色的的创创建建然后后按按激激活活，退出出已经经变变成成绿绿灯灯﹐这表表示示权权限限的的设设定定已已经经可可用用了了点击击，，再再点点击击此权权限限已已经经分分配配完完毕毕，，test001这个个帐帐号号已已经经具具有有了了主主数数据据维维护护的的权权限限派生生角角色色的的定定义义所谓谓派生生角角色色,是指根Role和派生生

根Role与派生Role是1对多的。根角色与派派生角色之之间的关系系公司组织机构地区公司1地区公司3员工1地区公司2根角色A角色子角色A1子角色A3地区公司1子角色A2地区公司2地区公司3子角色B1子角色B3地区公司1子角色B2地区公司2地区公司3根角色B根角色C根据根据岗岗位分配按限制范围派生出不同的子角色员工2员工3员工1员工2员工3员工1员工2员工3派生角色的的创建根据公司代代码派生的的，创建好好后点击“创建角色”组织级别代代码字典表表派生角色的的创建角色继承就就是通过这这派生角色的的创建这时候的派派生角色还还没有完全全继承，要要返回根角角色里点击击生生成派生生角色这时候一个个派生角色色就创建完完成了角色的复制制输入角色，，点击copy复制角色这时候一个个角色就复复制完成了了角色的创建建-继承与复制制小结﹕用继承的方方式建立新新Role,继承后﹐只需维护好组织织级别﹐Object就全部是绿绿灯了。用复制的方方式﹐全部是绿灯灯。这是两者操作上的最大特特点。角色的修改改对Role的修改最常常见的就是是TCode的新增/删除，这种种改动﹐一般是从菜菜单开始。。添加VF01（创建客户户发票）角色的修改改角色的修改改当Role所包含的TCode经过多次修修改后﹐可能产生多多个同样的的Object﹐其Value可能互相包包含。这时可以通通过合并的的动作使同同一个Object内Value相同或者互互相包含的的Item合并起来﹐使权限的条条目更清晰晰Debug/查看有一些工具具对权限的的问题处理理很有帮助助1.SU532.SUIM3.SU24Debug/查看-SU53当一个帐号号反映没有有某个应有有的权限时时﹐我们可以在在系统出现现没有权限限的信息时时﹐马上输入“/NSU53”Debug/查看-SU53但是请注意意﹕SU53给出的信息息并不详细细﹐大部分情况况只能作为为一个大方方向的参考考﹐有时还可能能指示不出出来问题所所在。Debug/查看-SUIMSUIM其实就是Information系统的一个个集合界面面。我们最常用用的功能是是﹕已知某个TCode﹐查找含有这这个TCode的Role。Debug/查看-SU24查看XD01检查哪些权权限对象Debug/查看-SU24查看F_KNA1_BED检查哪些Tcode日期Date:几点需要注注意的地方方权限设定非非常重要﹐﹐而且一旦旦有问题，，排错非常常繁琐、耗耗時,所以以请大家设设定时一定定要非常谨谨慎,每次次更改都要要记录。权限设定除除非特殊情情況﹐不允允许在生产产机直接更更改﹐请在在开发机修修改好再传传到生产机机。IT人员不是决决定user权限的人﹐﹐而是user大大小小的的leader﹐所以﹐要变变更权限设设定﹐务必要求user提供经过审核的的申请表。当然﹐对于于user不合理的权权限要求﹐﹐IT人员也有责责任退回。。日期Date:目录一、权限限的重要性性二、SAP权限的基本本架构三、权限限的基本概概念四、用户户和角色的的创建及命命名规则六、权限限工作计划划五、权权限实施中中注意要点点日期Date:角色命名规规则要慎重重在创建角色色时需要遵遵循一个规规则，这个个规则要求求权限管理理员与业务务顾问进行行充分的讨讨论后，制制定出一个个能够满足足业务需求求的权限命命名规则在对角色命命名过程中中，最好把把可变部分分放到最后后，不变的的放在命名名前。为以以后上二级级单位管理理员做好准准备。例：：Z:E_XJYT_FI001_BS日期Date:第一轮权限限测试要做做细在权限测试试过程中，，最少应进进行两轮测测试，第一一轮测试需需对每个模模块抽取一个种子角色进进行测试，，这个测试试过程非常常重要，在在以后的角角色创建过过程中，都都将会对这这个角色进进行复制工工作。因此此第一轮测测试应该安安排的时间间最长，做做的最完善善，以免以以后造成重重复工作。。在做第一一轮测试时时应注意事事项有：日期Date:权限测试注注意事项权限测试要要重视，要要指派专门门的业务人人员与权限限管理员共共同完成整整个测试过过程。对事务代码码的测试要要详细，对对每个事务务代码都要要完全测一一遍，以免免以后发现现漏测的现现象。种子角色中中的权限对对象要干净净，对于重重复的权限限对象要对对其进行合合并，在角角色中避免免出现红色色OBJECT值的现象。。统一做权限限的登录界界面，建议议全部以中中文方式登登录SAP系统进行操操作。在做权限过