SAP 权限设计思路及方法

1、sap权限和角色设计一般来说，权威是“某人能做某事”和“某人不能做某事”的结合。在sap系统中，事务代码(也称为事务代码，或事务代码)用来表示用户可以做什么。例如，mm01用于维护材料数据，migo用于接收货物，fs00用于维护会计科目等。使用su01创建新标识时，默认权限为空，即新创建的标识不能做任何事情，也不能使用任何交易代码。这样，“某人能做某事”只能通过将相应的tcode分配给相应的标识来实现，它的补充是“某人不能做的事”。但是，我们不能在su01中直接将tcode分配给一个标识。我们必须通过角色转移它。也就是说，一串tcode形成一个角色，然后这个角色被分配给一个id，然后这个id得

2、到一串tcode。这些只是sap权限控制的主要概念。要理解整个sap权限控制，我们还必须理解以下概念。1.角色、共同角色和本地角色如上所述，role是tcode的集合，它当然还包括必要的“权限对象”、“权限字段”、“允许的操作”和“允许的值”。我们用pfcg来维持角色。为了测试系统并满足sap实施项目的阶段性需求，角色进一步分为“一般角色”和“本地角色”。例如，很容易理解：一般角色类似于“生产订单编制者”，本地角色对应于“长城国际装配第一分厂生产订单编制者”。因此，本地角色和一般角色的区别在于，在相同的操作权限(交易代码)下，前者有更具体的限制值。这个极限值可能是组织结构或其他业务的极限。例如

3、，第一个分厂的制证员不能维护第二个分厂的制证员；分厂制单员只能维护甲类单据，不能维护乙类单据，依此类推。有关详细信息，请参见以下概念。2.授权对象、授权字段、允许的操作和允许的值。大致说来，有几个tcode构成了这个角色。实际上，在role和tcode之间有一个中间概念“权限对象”:角色包含几个权限对象，它们之间的关系存储在透明表agr_1250中。权限对象包含几个权限字段、允许的操作和允许的值，角色/对象/字段/值之间的关系体现在透明表agr_1251中。有一个特殊的权限对象，用于包含多个交易代码。该权限对象称为“s_tcode”，该权限对象的权限字段称为“tcd”，该字段中允许的字段值为交

4、易代码；有一个特殊的权限字段，用于指示可以对权限对象执行哪些操作，即允许创建、修改、显示、删除或其他操作。权限字段称为“actvt”，该字段的允许值存储允许的操作代码，01表示创建，02表示修改，03表示显示，等等。思爱普的权限控制被控制在字段级别，换句话说，它的权限控制机制可以检查您是否有权限维护某个透明表的某个字段。系统有多个权限对象，默认控制多个权限字段(对应于透明表的一些字段)。您可以使用事务代码su20来检查系统拥有哪些权限字段，使用su21来检查系统拥有哪些默认权限对象。所以我们知道事务代码和权限对象之间的区别。从权限控制的角度来看，事务代码属于一个特殊的权限对象。在执行事务代码的

5、过程中，为了判断一个标识是否具有执行事务代码的权限，还可以检查其他几个常见的权限对象。使用su22查看事务代码中包含哪些权限对象。在透明表usobx中，存储了事务代码和权限对象之间的对应关系。3.自定义权限对象上文所说的系统自带权限对象与权限字段仅能满足有限的需要，其权限审核的逻辑也是系统硬编码了的，我们能做的只是是否启用某项权限对象的检查（使用su22)。如果需要自定义，通过su20、su21定义即可。调用的时候在程序中加入类似代码：授权-检查对象z _ vkorg标识vkorg字段rec _ vkorg-vkorg .如果sy-surbrc 0 .消息没有授权！e型endif .下面的程序

6、zcrtuser是建立用户扎克（初始密码123qaz)并赋予思爱普*用户的所有权限的参考程序。程序zcrtuser .数据zusr02类似于usr02 .*1 .根据ddic创建用户zsthacker从usr02选择单一*进入zusr02其中ddic .zusr 02-bname=zssachker .zusr02-bcode=e3b796bb09f7901b .从zusr02插入usr02 .*2 .复制授权。来自思爱普*(或其他)的对象*如果将其中，bname=思爱普*去掉，基本就是复制所有的授权对象像usrbf2那样的数据zusrbf2在标题行出现0 .选择*从usrbf2到tablez

7、usrbf2其中，bname=思爱普* .在zusrbf2处循环。zusrbf 2-bname=zssachker .修改zusrbf 2 index sy-tabix transporting name .结束循环。从表zusrbf2插入接受重复钥匙。如果思爱普*可能被删除，还可直接将tobj中包含的所有的精力授权对象全部赋予给一个用户。以下程序zallobj是赋予所有的标准授权对象给用户扎克。zallobj计划。像tobj这样的数据ztobj在标题行出现0 .数据zusrbf2，如usrbf2 .从tobj中选择*进入表ztobj .在ztobj转弯。zusrbf2-mandt=sy-ma

8、ndt .zusrbf 2-bname=zssachker .zusrbf2-objct=ztobj-objct .zusrbf2-auth=_sap_all .修改usrbf2 fromzusrbf2 .结束循环。也可跨客户建立用户和赋予权限，只要使用客户端指定就可以。zclient程序。像usrbf2一样的数据zusrbf2 .从usrbf2中选择*进入zusrbf2，其中bname=sap* .zusrbf 2-bname=zssachker .zusrbf2-mandt=100 .插入usrbf2客户端指定值zusrbf2 .结束选择。下面是一句话修改思爱普*的密码为123456的程序，同样，假设用户屠夫的密码丢失，我只要随便在一台服务器上建立一个用户也叫屠夫，然后密码设置为1qaz2wsx，则其在任何系统任何客户加密后的密码必为bf02