SAP用户权限管理维护手册要点

1、密级:秘密SAP用户权限管理维护手册目录1SAP系统权限设置3维护角色3授权管理工具142用户授权设置16创建新用户17修改用户18显示用户18复制新用户18锁定解锁用户19修改密码193权限管理流程及用户授权策略20SAP系统安全管理流程20用户授权策略204附录21附录A 修改请求（Change request）管理文档21附录B 权限修改请求表管理文档22附录C 权限管理常用事务代码231SAP系统权限设置权限角色是SAP系统的重要的一个环节，权限角色可以控制用户登录SAP系统后对SAP操作的各种权限，所以要严格设置. 用户对SAP系统权限进行申请时(指对在生产系统上的权限配置，对非生产

2、系统，一般有各模块负责人审批就行了)，必须走公司规定流程，得到各级部门审批后，BASIS方给予进行处理. 进行权限设置时，先在开发系统DEV系统进行配置，配置时严格按照用户或模块顾问提供的权限文档来进行(有不明白的地方应该马上与顾问或用户取得联系，并确认)，设置确认无误后，对所设置的权限角色生成CHANGE REQUEST，释放后在测试系统里提供给用户或顾问进行测试，测试正确后，才正式同步传输到生产系统，然后用邮件或电话的方式通知用户。维护角色通过调用事务代码t-code:PFCG调用，或者是 工具 - 系统管理 - 用户维护 - 角色管理 - 角色角色代表一个特殊的任务或交易处理或功能：（1

3、）创建单一角色T-CODE：pfcg进入角色维护界面，根据权限模版填写角色名称分配事务代码，选择菜单-事务-分配交易在 权限 页，我们可以为一个配置文件生成所有必需的授权对象。通过查找确定授权对象及字段进行修改。授权的创建基于在菜单维护屏幕中选择的菜单。通过选择权限 页和修改授权数据（Change authorization data），你可以选择你想维护的明确的选项。如果第一次生成该权限，系统会提示会生成所有显示的组织层次。该值用于生成该权限。如果所有显示区域由配置生成器填充（特别的，如果该区域仅包括组织层次需求），系统会为该权限显示绿灯。如果有权限的区域还没有输入值，系统会显示黄灯。只有当

4、用户为该区域输入值以后，系统才会显示绿灯。通过选择工具 显示技术名称，我们可以显示每个授权对象的技术名称。如果我们想删除一个独立的权限对象，我们需要通过点击 将它de-active，然后该权限对象将会用红色 列出 未被激活 状态。 点击 按钮我们可以将它再激活，或者通过点击 将它从配置文件中删除。 点击 可以手工添加权限对象。修改完成后，点击生成或shift+F5激活，退出该界面。在用户栏进行用户分配，注意用户比较。角色直接赋值给用户可以在 用户 页实现。 完成赋值后，需要做 “User Compare” ，而 UMR (用户主数据) 将相应的更新。 标志从红色变成绿色代表UMR成功更新。（2

5、）创建复合角色T-CODE：pfcg进入角色维护界面，复合角色即组件角色，由多个单一角色组成。填写角色名称保存菜单栏选择读菜单，刷新角色。最后根据用户分配，输入用户ID保存。授权管理工具有些情况下，授权可能会出现错误，特别是用户被限制不能使用某些功能。在这种情况下，事务代码SU53可以帮助我们跟踪哪个授权对象有用但是在这个配置文件中丢失。事务代码SUIM推荐使用与授权报告。SUIM集成的授权报告包括任何选择标准。例如：选择所有拥有“S_USER_PRO (用户主记录维护：授权配置文件)”对象。2用户授权设置配置文件生成器可以通过调用事务代码SU01调用，或者是 工具 - 系统管理 - 用户维护

6、 - 用户。其功能包括：创建新用户、修改用户信息和权限、删除用户、复制、锁定解锁、修改用户口令。创建新用户在“用户”中输入需要创建的用户名称，如：test在菜单选取：用户名创建 地址：必须维护的字段为“姓”；登录数据：必须维护的字段为“口令”；角色：需要付给的权限角色；修改用户在“用户”中输入需要修改的用户名称，如：test在菜单选取：用户名修改显示用户在“用户”中输入需要创建的用户名称，如：test在菜单选取：用户名显示复制新用户此功能的作用是以现有的用户做模板来创建新用户，新创建的用户具有原模办用户相同的权限和基本信息。在“用户”中输入的模板用户名称，如：template在菜单选取：用户名

7、复制锁定解锁用户在“用户”中输入需要锁定或解锁的用户名称，如：test在菜单选取：用户名锁定或解锁修改密码在“用户”中输入需要修改密码的用户名称，如：test在菜单选取：用户名修改密码3权限管理流程及用户授权策略SAP系统安全管理流程系统安全管理策略的另一个重要方面是制定标准的规范流程来管理用户对权限变动的申请。在项目的进行中，东软项目小组会结合客户的实际特点，制定系统安全管理流程。用户授权策略授权防止用户获取认证的SAP数据。授权管理包括许多步骤与参与者。定义功能（角色矩阵）在这个周期中特别重要。这个框架的质量将会决定一个好的功能和安全授权实施的成功。PG（参数文件生成器）是事项授权的最有用

8、的工具。SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制，其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件，这些角色与参数文件一旦被分配，所持有者就可以对系统内部作出相应的管理操作，当然就会对整个系统产生非常大危险性，故此我们一定要在开始就得慎用，并且设定符合自身的管理规则。在SAP安装完毕后，也会有几个特殊的用户，在系统安装设置阶段，都要完成特殊的功用，那么我们在设置阶段结束后，一定要妥善的管理者几个用户：1) SAP*-系统初始用户，拥有系统所有权限2) DDIC-系统初始化进行配置使用的用户，拥有系统所有权限3) SAPCPIC-系统通讯用途

9、的超级用户4) EarlyWatch-用来做系统分析的超级用户控制策略：1) 通过设定参数login/no_automatic_usr_sapstar =0 此时运用SE38 运行程序RSUSR003查看上述用户的初始密码，更改所有密码2)通过SUIM审核是否CCA存在，去掉不必要的职责不相容，严格遵从权限分离制度3) 设置一定的密码规则对于简单通用密码可以使用SE16运行表USR40查看，通知用户及时更改通过以下参数设置可以制定用户密码策略1)login/min_password_lng-定义密码最小允许长度2)login/password_expiration_time-定义密码过期时间3

10、)login/fails_to_user_lock-密码登陆错误次数4)login/failed_user_auto_unlock-晚上密码自动解锁5)login/fails_to_session_end-超过制定错误登陆数后，结束所有用户进程6)login/disable_multiple_gui_login-拒绝多用户使用单一用户名登陆7)login/multi_login_users-允许多用户使用相同用户名登陆8)login/min_password_diff-定义新旧密码重复使用次数9)login/password_max_new_valid-定义对新建用户的密码有效期10)logi

11、n/password_max_reset_valid-定义密码重置有效期11)login/min_password_digits/_letters/_specials-定义特殊字符密码规则12)login/disable_password_logon & login/password_logon_usergroup控制被撤销密码的登陆13)login/disable_cpic-拒绝cpic通讯接入14)rdisp/gui_auto_logout-定义系统自动空置时间15)login/no_automatic_user_sapstar-控制sap系统用户4附录附录A 修改请求（Change re

12、quest）管理文档传输类型： ABAP 程序 配置数据 SAPScript Report paint 主数据源系统: DEV（开发系统） QAS（测试系统） PRD（生产系统） 状态： 批准 拒绝 已传输NO.修改请求描述修改请求号目标系统开发测试系统生产系统1002003007008001234567签名：申请人: 顾问批准人: 操作者: . 项目经理: 附录B 权限修改请求表管理文档修改权限类型： 事物码添加 增加角色 增加权限 其他修改权限原因： 批准 拒绝 增加描述权限日期： 以下项目组填写：角色名称：限制条件：其它：备注：是否涉及价格等公司机密申请人: 部门经理： . 批准人： 操

13、作者: 时间： 项目经理：_ 附录C 权限管理常用事务代码事务代码菜单路径描述PFCG工具系统管理用户维护角色管理角色Maintain Roles (Profile Generator)SU01工具系统管理用户维护用户Maintain Activity Groups (Profile Generator)SU02工具系统管理用户维护权限和参数文件维护手工编辑参数文件Maintain Authorization ProfilesSU03工具系统管理用户维护权限和参数文件维护手工编辑权限文件Maintain AuthorizationsSU53Trace which authorization is missed.ST01工具系统管理监视器跟踪系统轨迹System Trace including authorization.SU24Maintain check indicators for transaction codesSU25Installing and upgrading the Profile GeneratorSUIM/SARPInfosystem AuthorizationsSESSSession ManagerSU10工具系统管理用户维护用户批维护Mass Changes to User Master Reco