SAP权限设计培训.ppt

1、1,SAP 权限概念,2,用 SAP 的语言来说.,权限的概念,什么是授权,3,SAP 授权概念,在缺省状态下，所有用户最初是没有执行任何事务的权限的 通过各种授权赋予执行事务的权限 一个用户可以执行的事务数量反映出其授权的大小,权限的概念,4,事务基于“角色”进行分组 角色是指在业务中事先定义的执行特殊职能的工作 例如，在下面的事务中有两个角色 ：,权限的概念角色,5,权限的概念用户,6,进入一个 SAP 事务代码 就好象.,权限的概念授权对象,7,即使只缺少一个对象 ，用户都不能够运行事务代码,权限的概念授权对象,8,可以对授权对象进行更详细的参数限制，有两种类型的参数:,组织数值，例如

2、公司代码 帐目类型 销售组织,约束值，例如 行为 授权组合 购买凭证类型,权限的概念对象参数,9,SPEX SAP R/3 Project Version 1.0 Authorization Concept,例如: 事务 MIRO 发票凭证,用户必须具有下列对象才能够运行事务代码.,这些对象是进入并运行事务代码必需的钥匙,权限的概念授权对象,10,“参数” = 特征,例如: 会计帐目: 帐目类型的授权有两个参数,权限概念对象参数,11,SPEX SAP R/3 Project Version 1.0 Authorization Concept,对象参数决定了用户在事务代码中操作的特殊Objec

3、t parameters determine the specific permissions a user can perform in a transaction.,问题: This user can perform WHAT ACTIVITIES to WHICH ACCOUNT TYPES?,权限概念对象参数,12,用户 是由几个 角色 组成的 实际工作岗位可能对应于系统中的几个角色的集合 角色 是一系列 事务代码 事务代码 需要一些 授权对象 来运行 授权对象 由它的参数（组织架构，约束值等）来定义,用户,授权级别图表,工作岗位1,工作岗位2,2020年9月23日星期三,13,每一位

4、系统操作人员对应有一个系统用户； 每个系统用户对应多个复合角色以满足一人对应企业中多个岗位的要求； 单一角色为定义一个业务操作单位的最小单元；每个单一角色下可以对应多个事务代码；,授权的概念 - 权限的组成,User,Co. Role,Co. Role,Role,Role,Role,Tcode,Tcode,Tcode,Tcode,Tcode,Tcode,IP System number Client,Object type Object field,Profile,2020年9月23日星期三,14,总体设计,对SAP R3开发、测试、质量保证、生产系统进行不同权限配置，以完成相应的功能； SA

5、P可以透过对用户几个维度的管理来达到权限管理的目的： 组织架构（如公司代码、仓库、。） 在系统中可以操作的业务（如执行交易、查询数据、更改数据、审批数据等）的事务码 授权对象（如授与用户A总账科目展示, 创建, 删除权限） SAP中的用户权限完全由分配给他的权限参数文件决定，分配到的权限参数文件越大、越多，其可以执行的操作也越多,2020年9月23日星期三,15,授权的原则,16,岗位,MRO-P04-S02-E01 发料流程,需用单位,仓库保管员,流程开始,查询库存物资 需求情况 (MD04),确认发货 需求及数量 创建预留,根据预留、工单 提出发货请求,打印发货单,发货 (MB1A),结束

6、,移动类型： 241：从仓库发货到资产(项目类物资)ZB1：发料到成本中心(营业费用)ZB3：发料到成本中心(管理费用)ZB5：发料到成本中心(生产成本)ZB7：发料到成本中心(长期待摊物资),签字确认,业务科室 专业计划员,是否工单,发货 （MB1A),是,否,此处的岗位在系统中叫角色，不等于我们实际工作中的岗位,17,通用角色创建PFCG,事务码：PFCG,18,通用角色角色描述,此处输入角色描述,点击菜单 并保存,19,通用角色添加事务码,点击事务按钮，添加此角色所需的事务码,20,通用角色生成参数文件,点击权限进一步维护此角色的详细参数,21,通用角色生成参数文件,点击更改授权数据来维

7、护此角色的详细参数,此处暂无参数名称,22,通用角色组织级别,特别注意：红灯表示组织级别尚未维护，只能点击组织级别按钮进去维护，切勿在此处直接维护,此处维护组织级别， 通用角色的组织级别 仅用来测试,23,通用角色对象参数,在此页维护： 行为： 创建、显示等 凭证类型 授权组合,此处的选择决定了此角色可以维护哪些物料主数据视图,24,通用角色激活参数,凭证类型,点击激活按钮，即可生成参数文件,无需修改参数文件名称,25,通用角色查看参数文件,返回到前一屏幕即可看到参数文件,26,本地角色创建,事务码：PFCG,输入本地角色名称,27,本地角色维护继承关系,在此处维护继承的通用角色,确认后本地角

8、色即创建完成，还需再集中生成参数文件,28,本地角色复制,点击复制按钮，即可参照已有的本地角色复制新本地角色,事务码：PFCG,29,本地角色复制选项,确认后本地角色即复制完成，还需再集中生成参数文件,30,本地角色继承关系被复制,注意： 继承关系也同时被复制,31,本地角色集中生成,通过修改通用角色而集中生成本地角色,32,本地角色集中生成,1.点击菜单：权限调整派生生成派生的角色 2.将把通用角色的参数值复制到所有他的本地角色 3.并同时生成本地角色的参数文件 4.需要为本地角色重新维护组织级别 5.以后再作派生是通用角色不再覆盖本地角色,33,本地角色维护特定组织级别,运行PFCG，修改

9、本地角色，如：Z：MPMM001001,34,本地角色维护特定组织级别,输入本地角色的组织级别,35,本地角色重新激活,36,通用角色和本地角色,通用角色,采购管理员,北京基地采购管理员,天津基地采购管理员,本地角色,继承,用户的维护(SU01),用户维护事务代码：SU01,权限的管理,主要使用到了下面的事务代码： SE43、SU03、SU02、SE93、SUIM SU53、SU20、SU21、SU22、SU24、SU10/SU12,程序中权限的检查,在用户能在系统中进行 某项操作之前，需要进行适当的授权。登录到 R/3 系统后，系统在用户主记录进行检查，看看有权使用哪些事务。每个敏感事务都要实施授权检查。如果要保护某项事务操作，则必须实施授权检查。这意味着必须： 在事务定义中分配授权对象； 对 AUTHORITY-CHECK 进行编程。 AUTHORITY-CHECK OBJECT ID FIELD ID FIELD ID FIELD . 其中：OBJEC